Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース1 (11.1.1) E67347-01 |
|
前 |
次 |
OTP Anywhereは、リスク・ベースの第2のチャレンジ・ソリューションであり、構成されたアウト・オブ・バンド・チャネルを経由してエンド・ユーザーに送信されるサーバー生成のワンタイム・パスワードで構成されます。サポートされているOTPデリバリ・チャネルには、ショート・メッセージ・サービス(SMS)、電子メールおよびインスタント・メッセージがあります。
この章では、第2のリスク・ベースのユーザー・チャレンジにOTPを使用するためのOracle Adaptive Access Managerの設定に焦点を当てます。即時利用可能な機能として、OAAMには、ユーザー・メッセージング・サービス(UMS)が配信方法として備えられています。その他のカスタム・メソッドは、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。
この章には次の項が含まれます:
この項では、ワンタイム・パスワード(OTP)の概念およびOracle Adaptive Access Managerでの使用方法について説明します。
この項のトピックは次のとおりです。
ワンタイム・パスワードは、ランダムに生成される使い捨ての認証資格証明です。OTPとは、標準ユーザー名およびパスワード資格証明に加えて使用される第2認証の形式であり、既存の認証および認可プロセスを強化することにより、ユーザーに追加セキュリティを提供します。ユーザーがOTPのチャレンジを受けると、ワンタイム・パスワードが生成され、構成済チャネルの1つによってユーザーに提供されます。ユーザーはワンタイム・パスワードを取得し、ワンタイム・パスワードが期限切れになる前に、要求に応じて入力する必要があります。
ワンタイム・パスワードは数値または英数字のいずれで、任意の長さで構成することができ、ランダム化アルゴリズムはプラガブルです。
帯域外OTPを使用する主な利点は次のとおりです。
OTPは構成済チャネルのいずれかによって有効なユーザーに提供されます。SMS、インスタント・メッセージング(IM)および電子メールのチャンネルがあります。
ユーザーは、独自のハードウェアまたはいかなる種類のクライアント・ソフトウェアも必要としません。
Oracle Adaptive Access Manager 11gには、次の3つの帯域外チャネルによるOTPの配信をサポートするOTP認証機能があります。
電子メール
ショート・メッセージ・サービス(SMS)
インスタント・メッセージング
デフォルトでは、携帯電話登録のみがOTP登録ページに表示されます。
OAAMでの登録処理中に、ユーザーは質問、イメージ、フレーズおよびOTP (電子メール、電話など) (デプロイメントでOTPがサポートされている場合)に登録するよう要求されます。正常に登録すると、OTPを第2認証として使用し、ユーザーにチャレンジできます。
デプロイメントでOTPがサポートされている場合、管理者はOTPを有効化できます。ログイン・プロセスは、標準ユーザー名およびパスワード資格証明を入力することにより開始されます。たとえば、セッション中にユーザーが大規模なトランザクションを実行している場合、ユーザーがOTPのチャレンジを受けると、パスワードが構成済デリバリ・チャネルによってユーザーに提供されます。ユーザーはワンタイム・パスワードを取得し、入力します。
正しい回答を指定すると、ユーザーは操作を続行するよう指示されます。ユーザーの回答が正しくない場合、正しく回答するか、または失敗回数が特定数に達してアカウントからロックアウトされるまで、さらに試行できます。デフォルトでは、ユーザーは正しい回答の指定を3回試行できます。
失敗カウンタは、OTPチャレンジ中にユーザーが誤った回答を指定すると増分されます。OTP失敗はセッションをまたいでカウントされます。
連続した複数のOTP失敗の後、ユーザーがロックアウトされるか、またはOTPを再度指定する必要があるかどうかは、失敗カウンタ値(管理者によって設定されるOTPチャレンジの最大数)によって異なります。失敗カウンタがこの値を超えると、ユーザーはOTPロックされ、別の回答をさらに指定することはできません。ユーザーがOTPロックされた場合は、カスタマ・サービス担当に問い合せてロック解除してもらうことができます。
正しいOTPがユーザーによって指定された場合、失敗カウンタは0にリセットされ、ユーザーは操作を続行できます。
チャレンジ・タイプは、OTPをユーザーに送信するのに使用されるデリバリ・チャネルです。たとえば、ポリシーでチャレンジ・タイプ(電子メール、SMSまたはIM)経由のOTPを使用し、チャレンジできます。
表9-1 OTPチャレンジ・タイプ
チャレンジ・タイプ | 説明 |
---|---|
ChallengeEmail |
電子メール経由のOTPチャレンジ |
ChallengeSMS |
SMS経由のOTPチャレンジ |
ChallengeIM |
インスタント・メッセージング経由のOTPチャレンジ |
インテグレータでは、チャレンジに使用される秘密を生成してその秘密をユーザーに送信し、最後にユーザーの入力を検証するなど、チャレンジ・タイプを作成または構成して、必要なチャレンジを処理できます。
チャレンジ・タイプ・プロパティは、チャレンジ・タイプをチャレンジ・プロセッサ(チャレンジの作業を実行するために必要なJavaコード)に関連付けるのに使用されます。
Oracle Adaptive Access Managerのデプロイメントでは、KBAとOTPの両方を使用することも、それぞれを別々に使用することも、チャレンジ・メカニズムを一切使用しないことも選択できます。デプロイメントでKBAとOTPの両方を使用する場合、セキュリティ・チームは、最初に高リスクの状況でOTPを使用し、次にKBAを使用することを選択できます。
たとえば、ユーザーの通常のログイン元である市区町村内にある新しいIPアドレスからログインしているユーザーは、それ自体が比較的低リスクであるため、このユーザーが有効であるという追加検証を得るには、KBAチャレンジは適切なオプションです。ただし、ユーザーが以前に使用したことがないアクセス元のデバイスとロケーションを使用して$1000以上の資金決済を試み、ユーザーがそれまで決済を行ったことがない場合、OTP Anywhereなどのより強力な手段が必要となります。
カスタマがKBAとOTPの両方を有効にしている場合、プロパティを介して優先度を構成できます。デフォルトでは、最初に、高リスクの状況でOTPチャレンジが実行され、次に、KBAチャレンジが実行されます。
KBAおよびOTP Anywhereの優先度の詳細は、表11-22「OAAMチャレンジのトリガー組合せ」を参照してください。
OTP Anywhereの使用を開始する最初の手順は、OAAM管理でプロパティ・エディタを使用してOTP Anywhereを有効にすることです。
このチェックリストは、即時利用可能なOTP Anywhereを有効にするための基本手順を示しています。関連ドキュメントおよび前提条件へのリンクが含まれています。
表9-2 即時利用可能なOTPを有効化するためのクイック・スタート
# |
タスク | 詳細 |
---|---|---|
1 |
「OTP Anywhere登録」を有効化します。 |
デフォルトでは、OTPチャレンジは有効化されていません。次のプロパティをtrueに設定して、有効化する必要があります。
|
2 |
SMSチャレンジ・タイプを使用可能にします。 |
SMSチャレンジ・タイプを有効にするには、次のプロパティをtrueに設定します。
これにより、ポリシーで、SMS経由のOTPを使用してチャレンジを行うことができるようになります。 |
3 |
UMS URLおよび資格証明を構成します。 |
次のプロパティを設定します。
|
表9-3に、OAAMで使用するためにOTPを構成する場合の高レベル・タスクを示します。
表9-3 OTP設定タスク
番号 | タスク | 情報 |
---|---|---|
1 |
OAAMサーバーで構成されているメッセージ送信の中継ポイントであるSOA上のSMSデリバリ・ゲートウェイ、およびSMSデリバリ・チャネルに対して、ユーザー・メッセージング・サービス(UMS)を有効化および構成します。 UMSには、特定のチャネルの通信量を処理する多数のドライバが備わっています。ワンタイム・パスワードの送信にSMSを使用するようUMSを構成します。 |
|
2 |
OAAMでWebサービスAPIを経由してUMSサーバーと通信し、チャレンジ・タイプを使用してOTPコードをユーザーに送信できるよう、UMS URLおよび資格証明を設定します。 |
|
3 |
第2認証が必要な場合にユーザーへのチャレンジに使用できるよう、SMSチャレンジ・タイプを有効化します。 |
|
4 |
登録とユーザー・プリファレンスを有効化します。ユーザーはプロファイルを登録したりOTPプロファイルをリセットするために、このページを使用できます。 |
|
5 |
即時利用可能なポリシーがあり、アクティブであることを確認します。 |
9.8項「OTPチャレンジを使用するためのポリシーおよびルールの構成」 |
6 |
ユーザーの登録とプリファレンスのページの入力フィールドを設定します。入力プロパティには、ユーザーが入力できる電子メール・アドレスの最大長や電子メール・アドレスの検証フィールド(式)などが含まれます。 注意: ユーザーが使用する文字列はすべてリソース・バンドルに複製する必要があります。 |
|
7 |
デバイスのタイプは特定タイプのチャレンジに対して定義されます。 |
|
8 |
登録ページは、リソース・バンドル(client_resource_<locale>.propertiesファイル)を使用してカスタマイズします。また、リソース・バンドル・ファイルにカスタム値を指定し、OAAM拡張共有ライブラリを使用して変更をデプロイすることにより、チャレンジ・タイプ・メッセージの件名、メッセージの本文およびメッセージ自体を完全にカスタマイズできます。 |
|
9 |
OTP生成をカスタマイズします。 |
|
アプリケーションにOTPを構成する前に、次の前提条件が満たされていることを確認してください。
図9-1に、OTP導入を示します。
Oracle SOA Suiteにはユーザー・メッセージング・サービス(UMS)が含まれています。Oracle User Messaging Service (UMS)ドライバとOTPを構成するには、事前にSOAスイート11gをインストールしてSOAドメインを構成し、管理サーバーとSOAサーバーを実行しておく必要があります。また、Oracle Enterprise Manager Fusion Middleware管理コンソールにアクセスする必要もあります。
詳細は、『Oracle Fusion Middleware Oracle SOA Suite and Oracle Business Process Management Suiteインストレーション・ガイド』を参照してください。
ユーザー・メッセージング・サービス(UMS)自体を構成するコンポーネントに加え、メッセージング環境における他の主なエンティティは、各メッセージング・チャネルに必要な外部ゲートウェイです。これらのゲートウェイはユーザー・メッセージング・サービス(UMS)またはOracle WebLogic Serverの一部ではありません。UMSドライバは広く採用されているメッセージング・プロトコルをサポートしているため、UMSは電子メール・サーバーやXMPPサーバーなどの既存インフラストラクチャと統合できます。または、SMPPがサポートされているSMSサービスの外部プロバイダにUMSを接続できます。
UMSは、OAAMサーバーで構成されているメッセージ送信の中継ポイントであるSOA上の適切なデリバリ・ゲートウェイに構成する必要があります。
UMSドライバがUMSをメッセージング・ゲートウェイに接続します。このドライバが特定のチャネルのトラフィックを処理します。ドライバを構成するには、メッセージの送信元である適切な配信サーバー、プロトコルなどのプロパティを指定する必要があります。OAAMサーバーをチャネル用に設定します。ドライバを構成するには、『Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suite管理者ガイド』のUser Messaging Serviceドライバの構成に関する項の手順に従います。
『Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suite管理者ガイド』の電子メール・ドライバの構成に関する項を参照して、SMTPサーバーに対して電子メール・ドライバを構成します。リモート・ゲートウェイに接続するためのパラメータ値を指定する必要があります。
表9-4 SMTPサーバーへの接続
パラメータ | 説明 |
---|---|
OutgoingMailServer |
電子メールの送信が必要な場合は必須です。例: |
OutgoingMailServerPort |
SMTPサーバーのポート番号。 |
OutgoingMailServerSecurity |
使用可能な値はTLSとSSLです。 |
OutgoingDefaultFromAddress(オプション) |
電子メール・メッセージの送信者として指定される電子メールのアドレス。 |
OutgoingUsername |
電子メールの送信元であるユーザー・アカウント。 |
OutgoingPassword |
アカウントのパスワード(暗号化形式で格納されています)。 |
「適用」を押します。これらの設定を有効にするには、ドライバを再起動する必要があります。
Short Message Peer-to-Peer (SMPP)は、最も一般的なGSM SMSプロトコルの1つです。ユーザー・メッセージング・サービスには、事前作成のSMPPプロトコルの実装がドライバとして含まれています。このドライバは、ショート・メッセージを送受信できます。
注意: SMSの場合、即時利用可能なようにデプロイされている電子メール・ドライバとは異なり、構成を変更する前に、まずSMPPドライバをデプロイする必要があります。 |
『Oracle Fusion Middleware Oracle SOA Suite管理者ガイド』のSMPPドライバの構成に関する項の説明に従って、SMPPドライバを構成します。ドライバのゲートウェイ・ベンダーに接続するためのパラメータ値を指定する必要があります。
表9-5 ベンダーへの接続
パラメータ | 説明 |
---|---|
SmsAccountId |
SMS-CのアカウントID。これは、ベンダーから取得する必要があるベンダー・アカウントIDです。 |
SmsServerHost |
SMS-Cサーバーの名前(またはIPアドレス)。TransmitterSystemId |
TransmitterSystemPassword |
送信側システムのパスワード。パスワードのタイプ(「間接パスワード、新規のユーザーの作成」、「間接パスワード、既存のユーザーの使用」、「クリアテキスト・パスワードの使用」から選択)とパスワードが含まれています。これは、ベンダー・アカウントIDに対応するパスワードです。 |
TransmitterSystemType |
送信側システムのタイプ。デフォルトはLogicaです。 |
ReceiverSystemId |
メッセージの受信に使用するアカウントID。ReceiverSystemPassword |
ReceiverSystemType |
受信側システムのタイプ。デフォルトはLogicaです。 |
ServerTransmitterPort |
送信側サーバーのTCPポート番号。 |
ServerReceiverPort |
受信側サーバーのTCPポート番号。 |
DefaultEncoding |
SMPPドライバのデフォルトのエンコーディング。デフォルトはIA5です。ドロップダウン・リストから「IA5」、「UCS2」または「GSM_DEFAULT」を選択します。 |
DefaultSenderAddress |
デフォルトの送信者アドレス。 |
プロパティ・エディタを使用して次のプロパティを変更することで、OAAMがUMSサーバーを使用するように設定します。UMSサーバーのURLと資格証明用に設定するプロパティを、表9-6に示します。UMSサーバー・プロパティを設定した後、アプリケーションを再起動します。
注意: エンド・ポイントは、OAAMでコールをUMSに送信するために使用するWebサービスURLです。
表9-6 UMSサーバーURLおよび資格証明
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.ums.integration.webservice |
UMSサーバーのWebサービスURL http://<UMSサーバーURL>:<UMSポート>/ucs/messaging/webservice |
|
bharosa.uio.default.ums.integration.parlayx.endpoint |
UMSサーバーのParlayXエンドポイントURL http://<UMSサーバーURL>:<UMSポート>/sdpmessaging/parlayx/SendMessageService |
|
bharosa.uio.default.ums.integration.useParlayX |
false |
Webサービスまたはparlayx APIの使用を構成します。値はデフォルトでfalseです(Webサービス推奨)。 |
bharosa.uio.default.ums.integration.userName |
UMSサーバーのユーザー名 |
|
bharosa.uio.default.ums.integration.password |
UMSサーバーのパスワード |
|
bharosa.uio.default.ums.integtaion.policies |
UMS認証ポリシー |
|
bharosa.uio.default.ums.integration.fromAddress |
demo@company.example.com |
OTPメッセージ用のOAAM送信元アドレス |
bharosa.uio.default.ums.integration.message.status.poll.attempts |
3 |
待機ページが表示されるたびにステータス・ポーリングを試みる回数 |
bharosa.uio.default.ums.integration.message.status.poll.delay |
1000 |
待機ページが表示されているときのステータス・ポーリング間の遅延 |
bharosa.uio.default.ums.integration.sleepInterval |
10000 |
|
bharosa.uio.default.ums.integration.deliveryPage.delay |
3000 |
UMSサーバー・プロパティを設定した後、アプリケーションを再起動します。
チャレンジ・タイプとは、ユーザーにチャレンジするためにOTPで使用できるチャネル(電子メール、SMS、IMなど)のことです。チャレンジ・タイプ・プロパティは、チャレンジ・タイプをチャレンジ・プロセッサ(チャレンジの作業を実行するために必要なJavaコード)に関連付けるのに使用されます。
使用可能なフラグを設定するのに第2認証が必要な場合は、ユーザーへのチャレンジに使用するOTPチャレンジ・タイプを有効化します。bharosa.uio.default.challenge.type.enum.ChallengeSMS.available
をtrue
に設定します。
その後、登録の必須フィールドなどのOTPチャレンジ・タイプのプロパティを定義して、チャレンジ処理を行うチャレンジ・プロセッサを登録できます。
チャレンジ・タイプ(ChallengeEmail、ChallengeSMS、ChallengeQuestionなど)を有効化および定義するには、次の手順を実行します。
OAAM管理にログインします。
ナビゲーション・ツリーで、「環境」ノードの下の「プロパティ」をダブルクリックします。プロパティ検索ページが表示されます。
bharosa.uio.default.challenge.type.enum
を検索し、即時利用可能なOTPチャレンジ・タイプのプロパティを編集します。
次に、OTPのSMSチャレンジを定義する列挙の例を示します。
表9-7 SMSチャレンジ・タイプのプロパティ
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.challenge.type.enum.ChallengeSMS |
2 |
SMSチャレンジの列挙値 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.name |
SMSチャレンジ |
SMSチャレンジ・タイプの名前 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.description |
SMSチャレンジ |
SMSチャレンジ・タイプの説明 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.processor |
com.bharosa.uio.processor.challenge.ChallengeSMSProcessor |
SMSチャレンジ・タイプのプロセッサ・クラス このタイプのチャレンジを処理するためのJavaクラスを指定します。チャレンジ・メカニズムはJavaクラスを通じてカスタマイズ可能です。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.requiredInfo |
mobile |
SMSチャレンジ・タイプでユーザーにチャレンジするための必須フィールド 登録入力列挙からの入力のカンマ区切りリスト |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.available |
false |
SMSチャレンジ・タイプの可用性フラグ チャレンジ・タイプが使用可能(サービスが準備され構成されている)かどうかを指定します。OTPチャレンジ・タイプを有効/無効にするには、可用性フラグを設定する必要があります。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.otp |
true |
SMSチャレンジ・タイプのOTPフラグ |
次に、OTPのチャレンジ・タイプ(電子メール・チャレンジ)を定義する列挙の例を示します。
表9-8 電子メール・チャネル・タイプのプロパティ
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.challenge.type.enum.ChallengeEmail |
1 |
電子メール・チャレンジの列挙値 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.name |
電子メール・チャレンジ |
電子メール・チャレンジ・タイプの名前 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.description |
電子メール・チャレンジ |
電子メール・チャレンジ・タイプの説明 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.processor |
com.bharosa.uio.processor.challenge.ChallengeEmailProcessor |
電子メール・チャレンジ・タイプのプロセッサ・クラス このタイプのチャレンジを処理するためのJavaクラスを指定します。チャレンジ・メカニズムはJavaクラスを通じてカスタマイズ可能です。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.requiredInfo |
電子メール |
電子メール・チャレンジ・タイプでユーザーにチャレンジするための必須フィールド 登録入力列挙からの入力のカンマ区切りリスト |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.available |
false |
電子メール・チャレンジ・タイプの可用性フラグ チャレンジ・タイプが使用可能(サービスが準備され構成されている)かどうかを指定します。OTPチャレンジ・タイプを有効/無効にするには、可用性フラグを設定する必要があります。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.otp |
true |
電子メール・チャレンジ・タイプのOTPフラグ |
エンド・ユーザーが自分のプロファイルを入力し、後からフェーズをリセットできるようにするには、ページに設定されているフィールドを使用できるよう、次のプロパティを有効化する必要があります。
OAAM管理でプロパティ・エディタを使用して、OTPプロファイル登録とプリファレンス設定を有効化します。プロパティは次のとおりです。
表9-9 OTPプロファイル登録とプリファレンス設定の有効化
プロパティ | 説明 |
---|---|
bharosa.uio.default.register.userinfo.enabled |
OTPチャネルが有効化されていて登録が必要な場合、このプロパティをtrueに設定すると、プロファイル登録ページが有効になります。 |
bharosa.uio.default.userpreferences.userinfo.enabled |
OTPチャネルが有効化されていてプリファレンス設定が許可されている場合、このプロパティをtrueに設定すると、ユーザーはプリファレンスを設定できます。 「ユーザー・プリファレンス」ページを使用して、ユーザーは、イメージ/フレーズ、チャレンジ質問の変更、デバイスの登録解除およびOTPプロファイルの更新を実行できます。 |
チャレンジ・チェックポイントのポリシーにより、ユーザーに表示されるチャレンジのタイプが決まります。詳細は、11.5.9項「OAAMチャレンジ」を参照してください。
特定シナリオのユーザーに対してOTPチャレンジが実行されるルールを使用してポリシーを構成するには、次の手順を実行します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「ポリシー」をダブルクリックします。
ポリシー検索ページが表示されます。
ポリシー検索ページで、「新規ポリシー」ボタンをクリックします。
「新規ポリシー」ページが表示されます。「サマリー」タブで、認証後のセキュリティ・ポリシーを作成します。
「ポリシー名」に、OTP Challenge for Many Failuresと入力します。
「説明」に、ポリシーの説明を入力します。
「チェックポイント」で「認証後」を選択します。
要件に応じてポリシー・ステータス、スコアリング・エンジンおよび重みを変更します。
「適用」をクリックします。
「OK」をクリックして、確認ダイアログを閉じます。
「ルール」タブをクリックして選択します。
ルールに関する一般的なサマリー情報を追加します。
条件タブで、「ユーザー: OTP失敗の確認」
条件または他のOTP関連の条件を追加します。
「結果」タブで、アクション・グループに「OAAMチャレンジ」
を指定します。
ポリシーをすべてのユーザーにリンクします。
登録ページの設定には、次のタスクが含まれます。
オプトアウト機能はデフォルトでは無効になっています。ユーザーに対してオプトアウトを有効にするには、このプロパティをtrue
に設定します。
表9-10 OTPのオプトアウト・プロパティ
プロパティ | デフォルト値 |
---|---|
bharosa.uio.default.otp.optOut.enabled |
false |
bharosa.uio.default.otp.optOut.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
ユーザーがOTPプロファイルの登録をオプトアウトできるようにするには、プロパティ・エディタを使用して次のプロパティを設定してOTP登録ページの「辞退」ボタンを使用可能にする必要があります。
表9-11 OTP登録およびチャレンジのオプトアウトの有効化
プロパティ | 値 |
---|---|
bharosa.uio.default.register.userinfo.decline.enabled |
true |
bharosa.uio.default.userpreferences.userinfo.decline.enabled |
true |
注意: 「辞退」ボタンを使用可能にするには、オプトアウトのプロパティを |
カスタマがOTPプロファイルの登録を辞退した場合、OTPの再登録を要求されることはなく、OTPチャレンジも受信しません。ただし、カスタマ担当が「すべてリセット」によってユーザーのOTPプロファイルをリセットすると、ユーザーは再度OTPを登録できるようになります。ユーザーは、OTP登録およびチャレンジをオプトアウトした場合でも、「ユーザー・プリファレンス」のOTPページにアクセスしてOTP用に登録できます。
OTP登録ページの「ご使用条件」チェック・ボックスおよびフィールドを構成するには、次の項に記載されているプロパティを追加します。
チェック・ボックスおよびフィールドを構成するには、次の手順を実行します。
oaam_extensions
という作業フォルダを作成します。(フォルダは、インストール・フォルダの外部であれば任意の場所に作成できます。)
oracle.oaam.extensions.war
を見つけます。このファイルはIAM_Home
/oaam/oaam_extensions/generic
ディレクトリにあります。
oracle.oaam.extensions.war
をoaam_extensions
フォルダに展開します。
oracle.oaam.extensions.war
ファイルのWEB-INF/classes/bharosa_properties
ディレクトリにあるoaam_custom.properties
ファイルを開きます。
第9.9.2項「ご使用条件のカスタマイズ」および第9.9.3項「登録とプリファレンスのページのテキストおよびフィールドの構成」のプロパティを追加します。
次のコマンドを使用して、oaam_extensions
の親フォルダでoracle.oaam.extensions.war
を再パッケージします。
jar -cvfm oracle.oaam.extensions.war oaam_extensions\META-INF\MANIFEST.MF -C oaam_extensions/ .
OAAM管理およびOAAMサーバーの管理対象サーバーを停止します。
Oracle Adaptive Access ManagerがデプロイされているWebLogic Serverを起動し、WebLogic管理コンソールにログインします。
「ドメイン」→「環境」に移動して「デプロイメント」を選択し、コンソールをロックします。
「インストール」をクリックします。
oracle.oaam.extensions.war
ファイルのロケーションを参照し、WARファイルの横にあるラジオ・ボタンをクリックし、「次へ」をクリックして選択します。
「このデプロイメントをライブラリとしてインストールする」が選択されていることを確認し、「次へ」をクリックします。
デプロイメント・ターゲット(OAAM管理とOAAMサーバー)を選択します。
再度、「次へ」をクリックし、次のページでデフォルト値のまま「終了」をクリックします。
「保存」をクリックして、「変更のアクティブ化」をクリックします。
OAAM管理およびOAAM管理対象サーバーを起動します。
OTP登録ページの「ご使用条件」チェック・ボックスおよびフィールドを構成するには、次の項に記載されているプロパティを追加します。
表9-12 「ご使用条件」チェック・ボックス
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.userinfo.inputs.enum.terms |
4 |
ご使用条件の列挙値 |
bharosa.uio.default.userinfo.inputs.enum.terms.name |
ご使用条件 |
「ご使用条件」チェック・ボックスの名前 |
bharosa.uio.default.userinfo.inputs.enum.terms.description |
ご使用条件 |
「ご使用条件」チェック・ボックスの説明 |
bharosa.uio.default.userinfo.inputs.enum.terms.inputname |
terms |
「ご使用条件」チェック・ボックスのHTML入力名 |
bharosa.uio.default.userinfo.inputs.enum.terms.inputtype |
checkbox |
「ご使用条件」チェック・ボックスのHTML入力タイプ |
bharosa.uio.default.userinfo.inputs.enum.terms.values |
true |
登録およびユーザー・プリファレンスにおける「ご使用条件」チェック・ボックスの必須値 |
bharosa.uio.default.userinfo.inputs.enum.terms.maxlength |
40 |
「ご使用条件」チェック・ボックスのHTML入力の最大長 |
bharosa.uio.default.userinfo.inputs.enum.terms.required |
true |
登録およびユーザー・プリファレンスにおける「ご使用条件」チェック・ボックスの必須フラグ |
bharosa.uio.default.userinfo.inputs.enum.terms.order |
5 |
「ご使用条件」チェック・ボックスのページにおける順序 |
bharosa.uio.default.userinfo.inputs.enum.terms.enabled |
true |
「ご使用条件」列挙項目の有効フラグ |
bharosa.uio.default.userinfo.inputs.enum.terms.regex |
.+ |
「ご使用条件」チェック・ボックスの検証用の正規表現 |
bharosa.uio.default.userinfo.inputs.enum.terms.errorCode |
otp.invalid.terms |
「ご使用条件」の検証が失敗した場合にエラー・メッセージを取得するためのエラー・コード |
bharosa.uio.default.userinfo.inputs.enum.terms.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
データ記憶域からご使用条件を保存/取得するために使用するJavaクラス |
登録とプリファレンスの各ページ上のテキストおよびフィールドを設定します。入力プロパティには、ユーザーが入力できる電子メール・アドレスの最大長や電子メール・アドレスの検証フィールド(式)などが含まれます。
モバイル入力登録フィールド
次に、OTP登録ページのモバイル登録フィールドの定義および検証を示します。
これらのプロパティはoaam_custom.propertiesに追加される必要があります。
表9-13 モバイル入力登録フィールド
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.userinfo.inputs.enum.mobile |
0 |
携帯電話の列挙値 |
bharosa.uio.default.userinfo.inputs.enum.mobile.name |
携帯電話 |
「携帯電話」フィールドの名前 |
bharosa.uio.default.userinfo.inputs.enum.mobile.description |
携帯電話 |
「携帯電話」フィールドの説明 |
bharosa.uio.default.userinfo.inputs.enum.mobile.inputname |
cell number |
「携帯電話」フィールドのHTML入力名 |
bharosa.uio.default.userinfo.inputs.enum.mobile.inputtype |
text |
「携帯電話」フィールドのHTML入力タイプ |
bharosa.uio.default.userinfo.inputs.enum.mobile.maxlength |
15 |
「携帯電話」フィールドのHTML入力の最大長 |
bharosa.uio.default.userinfo.inputs.enum.mobile.required |
true |
登録およびユーザー・プリファレンスにおける「携帯電話」フィールドの必須フラグ |
bharosa.uio.default.userinfo.inputs.enum.mobile.order |
1 |
「携帯電話」フィールドのページにおける順序 |
bharosa.uio.default.userinfo.inputs.enum.mobile.enabled |
true |
「携帯電話」列挙項目の有効フラグ |
bharosa.uio.default.userinfo.inputs.enum.mobile.regex |
\\D?(\\d{3})\\D?\\D?(\\d{3})\\D?(\\d{4}) |
「携帯電話」フィールドの検証用の正規表現 |
bharosa.uio.default.userinfo.inputs.enum.mobile.errorCode |
otp.invalid.mobile |
「携帯電話」エントリの検証が失敗した場合にエラー・メッセージを取得するためのエラー・コード |
bharosa.uio.default.userinfo.inputs.enum.mobile.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
データ記憶域から携帯電話を保存/取得するために使用するJavaクラス |
2番目のモバイル・デバイス入力登録フィールドのプロパティ例
次のプロパティを使用して、OTP登録ページに2番目のモバイル・デバイス用の登録フィールドを構成します。
表9-14 モバイル入力
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.userinfo.inputs.enum.mobile2 |
2 |
携帯電話の列挙値 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.name |
携帯電話2 |
「携帯電話」フィールドの名前 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.description |
携帯電話2 |
「携帯電話」フィールドの説明 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.inputname |
cell number 2 |
「携帯電話」フィールドのHTML入力名 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.inputtype |
text |
「携帯電話」フィールドのHTML入力タイプ |
bharosa.uio.default.userinfo.inputs.enum.mobile2.maxlength |
15 |
「携帯電話」フィールドのHTML入力の最大長 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.required |
true |
登録およびユーザー・プリファレンスにおける「携帯電話」フィールドの必須フラグ |
bharosa.uio.default.userinfo.inputs.enum.mobile2.order |
2 |
「携帯電話」フィールドのページにおける順序 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.enabled |
true |
「携帯電話」列挙項目の有効フラグ |
bharosa.uio.default.userinfo.inputs.enum.mobile2.regex |
\\D?(\\d{3})\\D?\\D?(\\d{3})\\D?(\\d{4}) |
「携帯電話」フィールドの検証用の正規表現 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.errorCode |
otp.invalid.mobile |
「携帯電話」エントリの検証が失敗した場合にエラー・メッセージを取得するためのエラー・コード |
bharosa.uio.default.userinfo.inputs.enum.mobile2.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
データ記憶域から携帯電話を保存/取得するために使用するJavaクラス |
電子メール・アドレス入力登録フィールドのプロパティ
OTP登録ページに電子メール・アドレス登録フィールドを構成するには次のプロパティを追加します。
表9-15 電子メール入力
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.userinfo.inputs.enum.email |
1 |
「電子メール・アドレス」の列挙値 |
bharosa.uio.default.userinfo.inputs.enum.email.name |
電子メール・アドレス |
「電子メール・アドレス」フィールドの名前 |
bharosa.uio.default.userinfo.inputs.enum.email.description |
電子メール・アドレス |
「電子メール・アドレス」フィールドの説明 |
bharosa.uio.default.userinfo.inputs.enum.email.inputname |
|
「電子メール・アドレス」フィールドのHTML入力名 |
bharosa.uio.default.userinfo.inputs.enum.email.inputtype |
text |
「電子メール・アドレス」フィールドのHTML入力タイプ |
bharosa.uio.default.userinfo.inputs.enum.email.maxlength |
40 |
「電子メール・アドレス」フィールドのHTML入力の最大長 |
bharosa.uio.default.userinfo.inputs.enum.email.required |
true |
登録およびユーザー・プリファレンスにおける「電子メール・アドレス」フィールドの必須フラグ |
bharosa.uio.default.userinfo.inputs.enum.email.order |
2 |
「電子メール・アドレス」フィールドのページにおける順序 |
bharosa.uio.default.userinfo.inputs.enum.email.enabled |
false |
「電子メール・アドレス」列挙項目の有効フラグ |
bharosa.uio.default.userinfo.inputs.enum.email.regex |
.+@[a-zA-Z_]+?\\.[a-zA-Z]{2,3} |
「電子メール・アドレス」フィールドの検証用の正規表現 |
bharosa.uio.default.userinfo.inputs.enum.email.errorCode |
otp.invalid.email |
「電子メール・アドレス」エントリの検証が失敗した場合にエラー・メッセージを取得するためのエラー・コード |
bharosa.uio.default.userinfo.inputs.enum.email.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
データ記憶域から電子メール・アドレスを保存/取得するために使用するJavaクラス |
2番目の電子メール・アドレス入力登録フィールドのプロパティ例
次のプロパティを使用して、OTP登録ページに2番目の電子メール・アドレス用の登録フィールドを構成します。
表9-16 電子メール入力
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.userinfo.inputs.enum.email2 |
2 |
「電子メール・アドレス」の列挙値 |
bharosa.uio.default.userinfo.inputs.enum.email2.name |
電子メール・アドレス2 |
「電子メール・アドレス」フィールドの名前 |
bharosa.uio.default.userinfo.inputs.enum.email2.description |
電子メール・アドレス2 |
「電子メール・アドレス」フィールドの説明 |
bharosa.uio.default.userinfo.inputs.enum.email2.inputname |
email2 |
「電子メール・アドレス」フィールドのHTML入力名 |
bharosa.uio.default.userinfo.inputs.enum.email2.inputtype |
text |
「電子メール・アドレス」フィールドのHTML入力タイプ |
bharosa.uio.default.userinfo.inputs.enum.email2.maxlength |
40 |
「電子メール・アドレス」フィールドのHTML入力の最大長 |
bharosa.uio.default.userinfo.inputs.enum.email2.required |
true |
登録およびユーザー・プリファレンスにおける「電子メール・アドレス」フィールドの必須フラグ |
bharosa.uio.default.userinfo.inputs.enum.email2.order |
2 |
「電子メール・アドレス」フィールドのページにおける順序 |
bharosa.uio.default.userinfo.inputs.enum.email2.enabled |
false |
「電子メール・アドレス」列挙項目の有効フラグ |
bharosa.uio.default.userinfo.inputs.enum.email2.regex |
.+@[a-zA-Z_]+?\\.[a-zA-Z]{2,3} |
「電子メール・アドレス」フィールドの検証用の正規表現 |
bharosa.uio.default.userinfo.inputs.enum.email2.errorCode |
otp.invalid.email |
「電子メール・アドレス」エントリの検証が失敗した場合にエラー・メッセージを取得するためのエラー・コード |
bharosa.uio.default.userinfo.inputs.enum.email2.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
データ記憶域から電子メール・アドレスを保存/取得するために使用するJavaクラス |
デフォルトでは、チャレンジ・デバイスはルールを使用して構成されています。ルールはAuthentipadチェックポイントの下に存在し、これにより、デバイスの目的(ChallengeEmail、ChallengeSMS、ChallengeQuestionなど)に基づいて使用するデバイスのタイプが決まります。
チャレンジに使用されるOTPデバイスを変更するには、ユーザーの結果アクションのOTPチャレンジ・タイプを変更します。
または、プロパティを使用してチャレンジ・デバイスを構成する場合、次の手順に従って、「認証パッド」チェックポイントをバイパスできます。
OAAM管理にログインします。
ナビゲーション・ツリーで、「環境」ノードの下の「プロパティ」をダブルクリックします。プロパティ検索ページが表示されます。
目的のデバイスのチャレンジ・タイプおよびプロパティを使用して、bharosa.uio.default.<ChallengeType>.authenticator.device=<Device>
を編集します。
bharosa.uio.default.ChallengeSMS.authenticator.device=DeviceTextPad bharosa.uio.default.ChallengeEmail.authenticator.device=DeviceTextPad
表9-17に、使用されるプロパティおよび認証パッドを示します。前述の例では、プロパティDeviceTextPadが指定されているため、SMSオーセンティケータはテキスト・パッドです。(DeviceKeyPadAlphaの場合には、英数字KeyPadが表示されます。)
認証デバイス・タイプは、表9-17を参照してください。
表9-17 認証デバイス・タイプ
プロパティ | 説明 |
---|---|
なし |
HTMLページまたは認証パッドはありません。 |
DeviceKeyPadFull |
KeyPadを使用してユーザーにチャレンジします。 |
DeviceKeyPadAlpha |
英数字KeyPad(数字と文字のみで特殊文字は含みません)を使用して、ユーザーにチャレンジします。 |
DeviceTextPad |
TextPadを使用してユーザーにチャレンジします。 |
DeviceQuestionPad |
QuestionPadを使用してユーザーにチャレンジします。 |
DevicePinPad |
PinPadを使用してユーザーにチャレンジします。 |
DeviceHTMLControl |
認証パッドのかわりにHTMLページを使用して、ユーザーにチャレンジします。 |
アプリケーションに次回ログインするときに、OTPデバイスが表示されます。
ユーザーがOTPチャレンジに失敗すると、カウンタは更新され、ユーザーが失敗したことを示します。失敗カウンタはセッション全体を確認します。
失敗カウンタはデフォルトで「OAAMチャレンジ・ポリシー」に設定されていますが、次の手順に従ってカスタマイズできます。
「OAAMチャレンジ・ポリシー」を開きます。
適切なOTPルール失敗の最大数を開きます。
「条件」タブで、「ユーザー: OTP失敗の確認」
を選択します。
適切なプロパティを編集します。
登録ページは、リソース・バンドル(client_resource_<locale>.propertiesファイル)を使用して完全にカスタマイズできます。また、リソース・バンドル・ファイルにカスタム値を指定し、OAAM拡張共有ライブラリを使用して変更をデプロイすることにより、チャレンジ・タイプ・メッセージの件名、メッセージの本文およびメッセージ自体を完全にカスタマイズできます。
ご使用条件テキストをカスタマイズするには、次のプロパティをリソース・バンドル(client_resource_<locale>.properties)に追加します。
表9-19 ご使用条件のメッセージ
プロパティ | 説明 |
---|---|
bharosa.uio.default.userinfo.inputs.enum.terms.name |
[会社名またはサービス名をここに入力]のご使用条件に同意します。<a href="javascript:infoWindow('terms');">Terms & Conditions</a>および<a href="javascript:infoWindow('privacy');">Privacy Policy</a>をクリックすると全体が表示されます。 |
bharosa.uio.default.userinfo.inputs.enum.terms.description |
メッセージおよびデータ・レートが適用されます。<br/>このプログラムに関して質問がある場合は、"HELP"を[コード/短縮コードをここに入力]に送信してください。<br/>プランを取り消すには、"STOP"を[コード/短縮コードをここに入力]にいつでも送信してください。<br/><br/>このサービスの追加情報は、<a href="" target="_blank">[情報URLをここに入力]</a>をご覧ください。<br/><br/><b>サポートされているキャリア:</b><br/>AT&T、Sprint、Nextel、Boost、Verizon Wireless、U.S. Cellular®、T-Mobile®、Cellular One Dobson、Cincinnati Bell、Alltel、Virgin Mobile USA、Cellular South、Unicel、CentennialおよびNtelos。 |
bharosa.uio.default.userinfo.inputs.enum.terms.name
の値には、「ご使用条件」および「プライバシ・ポリシー」に対するOAAMサーバーのポップアップ・メッセージを使用するプレースホルダ・リンクが含まれます。ポップアップのコンテンツのプロパティおよびリソース・キーは次のとおりです。
表9-20 ご使用条件およびプライバシ・ポリシーのポップアップ・メッセージ
プロパティ | 説明 |
---|---|
bharosa.uio.default.messages.enum.terms.name |
ご使用条件 |
bharosa.uio.default.messages.enum.terms.description |
ご使用条件のプレースホルダ・テキスト |
bharosa.uio.default.messages.enum.privacy.name |
プライバシ・ポリシー |
bharosa.uio.default.messages.enum.privacy.description |
プライバシ・ポリシーのプレースホルダ・テキスト |
モバイル入力フィールドをカスタマイズするために、次のプロパティをリソース・バンドル(client_resource_<locale>.properties)に追加できます。
登録ページのメッセージをカスタマイズするには、次の登録プロパティをclient_resource_<locale>.propertiesに追加します。
表9-22 登録リソース・バンドル
プロパティ | デフォルト値 |
---|---|
bharosa.uio.default.register.userinfo.title |
OTP Anywhere登録 |
bharosa.uio.default.register.userinfo.message |
お客様の保護のため、今後、当社がこの番号を使用してお客様の身元を確認できるよう携帯電話番号を入力してください。電話のテキスト・メッセージが有効になっていることをご確認ください。 |
bharosa.uio.default.register.userinfo.registerdevice.message |
現在、安全なデバイスとして使用しているデバイスの登録を確認します: |
bharosa.uio.default.register.userinfo.continue.button |
続行 |
bharosa.uio.default.register.userinfo.decline.message |
辞退されたお客様には再び登録をお願いすることはありません。 |
bharosa.uio.default.register.userinfo.decline.button |
辞退 |
チャレンジ・タイプ・フィールドをカスタマイズするには、次のプロパティをリソース・バンドル(client_resource_<locale>.properties)に追加します。
表9-23 チャレンジ・タイプ・リソース・バンドルのアイテム
プロパティ | デフォルト値 |
---|---|
bharosa.uio.default.ChallengeSMS.message |
お客様の保護のため、お客様の携帯電話にお送りしたコードを入力してください。コードが届いていない場合は、電話のテキスト・メッセージが有効になっていることを確認してから、下の再送信リンクをクリックしてください。 |
bharosa.uio.default.ChallengeSMS.registerdevice.message |
現在、安全なデバイスとして使用しているデバイスの登録を確認します: |
bharosa.uio.default.ChallengeSMS.continue.button |
続行 |
OTPメッセージをカスタマイズするには、次のプロパティをリソース・バンドル(client_resource_<locale>.properties)に追加します。
注意: ユーザーが使用する文字列をリソース・バンドルに複製する必要があります。リソース・バンドル値をカスタマイズするには、これらの値を |
プロパティを編集することによりワンタイム・パスワードを構成できます。OTPの生成では次のプロパティが使用されます。
# OTP pin generation config bharosa.uio.default.otp.generate.code.length = 5 bharosa.uio.default.otp.generate.code.characters = 1234567890
デフォルトのOTPコードは、数字の0から9で構成される5文字になります(例: 44569)。
bharosa.uio.default.otp.generate.code.length
には、OTPの長さを指定します。
bharosa.uio.default.otp.generate.code.characters
には、OTPの生成時に使用する文字を指定します。
次の例では、数字の0から9と文字のaからdを使用して4文字のOTPコードが生成されます(例: 0c6a)。
bharosa.uio.default.otp.generate.code.length = 4 bharosa.uio.default.otp.generate.code.characters = 1234567890abcd
注意: このプロパティはOTP API用に機能しますが、現時点ではこのAPIはOAAMサーバーで使用できません。そのため、デフォルトでは、OAAMサーバーのOTPはそのセッションに対してまたは使用されるまで有効です。 |
OTP SMSパスワードの有効期限を設定するには、次のプロパティを追加します。
bharosa.uio.default.challenge.type.enum.ChallengeSMS.otpexpirytimeMs
OTP電子メール・パスワードの有効期限を設定するには、次のプロパティを追加します。
bharosa.uio.default.challenge.type.enum.ChallengeEmail.otpexpirytimeMs
to oaam_custom.properties
.
時間はミリ秒単位です。値がミリ秒単位で指定されていない場合は、変換する必要があります。たとえば、OTPの有効期限を5分に設定する場合は、このプロパティを300000ミリ秒(5分)に設定する必要があります。