Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース2 (11.1.2.2) B70199-06 |
|
前 |
次 |
OTP Anywhereは、二次リスク・ベースのチャレンジ・ソリューションであり、構成済の帯域外チャネルを経由してエンド・ユーザーに送信されるサーバー生成のワンタイム・パスワードで構成されます。サポートされているOTPデリバリ・チャネルには、ショート・メッセージ・サービス(SMS)、電子メールおよびインスタント・メッセージングがあります。
この章では、第2のリスク・ベースのユーザー・チャレンジにOTPを使用するためのOracle Adaptive Access Managerの設定に焦点を当てます。標準の機能として、OAAMには、ユーザー・メッセージング・サービス(UMS)が配信方法として備えられています。その他のカスタム・メソッドは、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。
この章には次の項が含まれます:
この項では、ワンタイム・パスワード(OTP)の概念とOracle Adaptive Access Managerでの使用方法について説明します。
ワンタイム・パスワードは、ランダムに生成される使い捨ての認証資格証明です。OTPとは、標準ユーザー名およびパスワード資格証明に加えて使用される第2認証の形式であり、既存の認証および認可プロセスを強化することにより、ユーザーに追加セキュリティを提供します。ユーザーがOTPのチャレンジを受けると、ワンタイム・パスワードが生成され、構成済チャネルの1つによってユーザーに提供されます。ユーザーはワンタイム・パスワードを取得し、ワンタイム・パスワードが期限切れになる前に、要求に応じて入力する必要があります。
ワンタイム・パスワードは数値または英数字のいずれで、任意の長さで構成することができ、ランダム化アルゴリズムはプラガブルです。
帯域外OTPを使用する主な利点は次のとおりです。
OTPは構成済チャネルのいずれかによって有効なユーザーに提供されます。SMS、インスタント・メッセージング(IM)および電子メールのチャンネルがあります。
ユーザーは、独自のハードウェアまたはいかなる種類のクライアント・ソフトウェアも必要としません。
Oracle Adaptive Access Manager 11gには、次の3つの帯域外チャネルによるOTPの配信をサポートするOTP認証機能があります。
電子メール
ショート・メッセージ・サービス(SMS)
インスタント・メッセージング
デフォルトでは、携帯電話登録のみがOTP登録ページに表示されます。
OAAMでの登録処理中に、ユーザーは質問、イメージ、フレーズおよびOTP (電子メール、電話など) (デプロイメントでOTPがサポートされている場合)に登録するよう要求されます。正常に登録すると、OTPを第2認証として使用し、ユーザーにチャレンジできます。
デプロイメントでOTPがサポートされている場合、管理者はOTPを有効化できます。ログイン・プロセスは、標準ユーザー名およびパスワード資格証明を入力することにより開始されます。たとえば、セッション中にユーザーが大規模なトランザクションを実行している場合、ユーザーがOTPのチャレンジを受けると、パスワードが構成済デリバリ・チャネルによってユーザーに提供されます。ユーザーはワンタイム・パスワードを取得し、入力します。
正しい回答を指定すると、ユーザーは操作を続行するよう指示されます。ユーザーの回答が正しくない場合、正しく回答するか、または失敗回数が特定数に達してアカウントからロックアウトされるまで、さらに試行できます。デフォルトでは、ユーザーは正しい回答の指定を3回試行できます。
失敗カウンタは、チャレンジ中にユーザーが誤った回答を指定すると増分されます。
OTP失敗カウンタでは異なるチャネルの失敗が統合されます。たとえば、複数のチャネルを使用している場合、まとめられたOTPカウンタがしきい値を上回ると、OTPステータスが「ロック済」と表示されます。そのため、ユーザーがSMSで2回、電子メールで1回失敗して、しきい値が3の場合、そのユーザーはロックされます。
リセット・アクションにより次の項目のすべてのチャレンジ失敗カウンタがリセットされます。
KBAのリセット: KBAが再登録されます。KBAおよびOTPの件数カウンタがゼロにリセットされます。
CSR KBAのリセット: KBAが再登録されます。KBAおよびOTPのカウンタがゼロにリセットされます。
OTPのリセット: OTPが再登録されます。KBAおよびOTPのカウンタがゼロにリセットされます。
ロック解除アクションによりKBAおよびOTPのユーザー・アカウントのロックが解除されます。
KBAのロック解除: KBAが再登録されます。KBAおよびOTPのカウンタがゼロにリセットされます。
OTPのロック解除: KBAが再登録されます。KBAおよびOTPのカウンタがゼロにリセットされます。
チャレンジ・タイプは、ユーザーにチャレンジする際、OTPを送信するために使用されるデリバリ・チャネルです。たとえば、ポリシーでは、チャレンジ・タイプ(電子メール、SMSまたはIM)によるOTPを使用してチャレンジできます。
表8-1 OTPチャレンジ・タイプ
チャレンジ・タイプ | 説明 |
---|---|
ChallengeEmail |
電子メールによるOTPチャレンジ |
ChallengeSMS |
ショート・メッセージ・サービス(SMS)によるOTPチャレンジ |
ChallengeIM |
インスタント・メッセージング経由のOTPチャレンジ |
インテグレータでは、チャレンジに使用される秘密を生成してその秘密をユーザーに送信し、最後にユーザーの入力を検証するなど、チャレンジ・タイプを作成または構成して、必要なチャレンジを処理できます。
チャレンジ・タイプ・プロパティは、チャレンジ・タイプをチャレンジ・プロセッサ(チャレンジの作業を実行するために必要なJavaコード)に関連付けるのに使用されます。
Oracle Adaptive Access Managerのデプロイメントでは、KBAとOTPの両方を使用することも、それぞれを別々に使用することも、チャレンジ・メカニズムを一切使用しないことも選択できます。デプロイメントでKBAとOTPの両方を使用する場合、セキュリティ・チームは、最初に高リスクの状況でOTPを使用し、次にKBAを使用することを選択できます。
たとえば、ユーザーの通常のログイン元である市区町村内にある新しいIPアドレスからログインしているユーザーは、それ自体が比較的低リスクであるため、このユーザーが有効であるという追加検証を得るには、KBAチャレンジは適切なオプションです。ただし、ユーザーが以前に使用したことがないアクセス元のデバイスとロケーションを使用して$1000以上の資金決済を試み、ユーザーがそれまで決済を行ったことがない場合、OTP Anywhereなどのより強力な手段が必要となります。
カスタマがKBAとOTPの両方を有効にしている場合、プロパティを介して優先度を構成できます。デフォルトでは、最初に、高リスクの状況でOTPチャレンジが実行され、次に、KBAチャレンジが実行されます。
KBAおよびOTP Anywhereの優先度の詳細は、表10-36「OAAMチャレンジのトリガー組合せ」を参照してください。
OTP Anywhereの使用を開始する最初の手順は、OAAM管理コンソールでプロパティ・エディタを使用してOTP Anywhereを有効にすることです。
このチェックリストは、OTP Anywhereを有効にするための基本手順を示しています。関連ドキュメントおよび前提条件へのリンクが含まれています。
表8-2 OTPを有効化するためのクイック・スタート
# |
タスク | 詳細 |
---|---|---|
1 |
「OTP Anywhere登録」を有効化します。 |
デフォルトでは、OTPチャレンジは有効化されていません。次のプロパティをtrueに設定して、有効化する必要があります。
|
2 |
SMSチャレンジ・タイプを使用可能にします。 |
SMSチャレンジ・タイプを有効にするには、次のプロパティをtrueに設定します。
これにより、ポリシーで、SMS経由のOTPを使用してチャレンジを行うことができるようになります。 |
3 |
ユーザー・メッセージング・サービス(UMS)のURLと資格証明の構成 |
次のプロパティを設定します。 UMSのURLは、OTPメッセージの送信に使用されるWebサービスの場所です。
|
表8-3に、OAAMで使用するためにOTPを構成する場合の高レベル・タスクを示します。
表8-3 OTP設定タスク
番号 | タスク | 情報 |
---|---|---|
1 |
OAAMサーバーがメッセージを送信するように構成されているSOA上のショート・メッセージ・サービス(SMS)デリバリ・ゲートウェイ、およびSMSデリバリ・チャネルに対して、ユーザー・メッセージング・サービス(UMS)を有効化して構成します。 UMSには、特定のチャネルの通信量を処理する多数のドライバが備わっています。ワンタイム・パスワードの送信にSMSを使用するようUMSを構成します。 |
|
2 |
登録とユーザー・プリファレンスを有効化します。ユーザーはプロファイルを登録したりOTPプロファイルをリセットするために、このページを使用できます。 |
|
3 |
第2認証が必要な場合に、OAAMがユーザーへのチャレンジに使用できるように、SMSチャレンジ・タイプを有効化します。 |
|
4 |
OAAMでWebサービスAPIを経由してUMSサーバーと通信し、チャレンジ・タイプを使用してOTPコードをユーザーに送信できるよう、UMS URLおよび資格証明を設定します。 |
8.7項「ユーザー・メッセージング・サービス(UMS)統合のためのOAAMプロパティの設定」 |
5 |
ユーザーの登録とプリファレンスのページの入力フィールドを設定します。入力プロパティには、ユーザーが入力できる電子メール・アドレスの最大長、電子メール・アドレスの検証フィールド(式)などがあります。 注意: ユーザーが使用する文字列はすべてリソース・バンドルに複製する必要があります。 |
|
6 |
OTPチャレンジに使用するポリシーを構成します。 |
8.9項「OTPチャレンジを使用するためのポリシーおよびルールの構成」 |
7 |
登録ページは、リソース・バンドル( |
|
アプリケーションにOTPを構成する前に、次の前提条件が満たされていることを確認してください。
図8-2に、OTP導入を示します。
Oracle SOA Suiteにはユーザー・メッセージング・サービス(UMS)が含まれています。Oracle User Messaging Service (UMS)ドライバとOTPを構成するには、事前にSOAスイート11gをインストールしてSOAドメインを構成し、管理サーバーとSOAサーバーを実行しておく必要があります。また、Oracle Enterprise Manager Fusion Middleware管理コンソールにアクセスする必要もあります。
詳細は、『Oracle Fusion Middleware Oracle SOA Suite and Oracle Business Process Management Suiteインストレーション・ガイド』を参照してください。
ユーザー・メッセージング・サービス(UMS)自体を構成するコンポーネントに加え、メッセージング環境における他の主なエンティティは、各メッセージング・チャネルに必要な外部ゲートウェイです。これらのゲートウェイはユーザー・メッセージング・サービス(UMS)またはOracle WebLogic Serverの一部ではありません。UMSドライバは広く採用されているメッセージング・プロトコルをサポートしているため、UMSは電子メール・サーバーやXMPPサーバーなどの既存インフラストラクチャと統合できます。または、SMPPがサポートされているSMSサービスの外部プロバイダにUMSを接続できます。
UMSは、OAAMサーバーで構成されているメッセージ送信の中継ポイントであるSOA上の適切なデリバリ・ゲートウェイに構成する必要があります。
UMSドライバがUMSをメッセージング・ゲートウェイに接続します。このドライバが特定のチャネルのトラフィックを処理します。ドライバを構成するには、メッセージの送信元である適切な配信サーバー、プロトコルなどのプロパティを指定する必要があります。OAAMサーバーをチャネル用に設定します。ドライバを構成するには、『Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suite管理者ガイド』のUser Messaging Serviceドライバの構成に関する項の手順に従います。
『Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suite管理者ガイド』の電子メール・ドライバの構成に関する項を参照して、SMTPサーバーに対して電子メール・ドライバを構成します。リモート・ゲートウェイに接続するためのパラメータ値を指定する必要があります。
表8-4 SMTPサーバーへの接続
パラメータ | 説明 |
---|---|
OutgoingMailServer |
電子メールの送信が必要な場合は必須です。例: |
OutgoingMailServerPort |
SMTPサーバーのポート番号。 |
OutgoingMailServerSecurity |
使用可能な値はTLSとSSLです。 |
OutgoingDefaultFromAddress(オプション) |
電子メール・メッセージの送信者として指定される電子メールのアドレス。 |
OutgoingUsername |
電子メールの送信元であるユーザー・アカウント。 |
OutgoingPassword |
アカウントのパスワード(暗号化形式で格納されています)。 |
「適用」を押します。これらの設定を有効にするには、ドライバを再起動する必要があります。
Short Message Peer-to-Peer (SMPP)は、最も一般的なGSM SMSプロトコルの1つです。ユーザー・メッセージング・サービスには、事前作成のSMPPプロトコルの実装がドライバとして含まれています。このドライバは、ショート・メッセージを送受信できます。
注意: SMSの場合は、標準としてデプロイできる電子メール・ドライバと異なり、最初にSMPPドライバをデプロイしてから構成を変更する必要があります。 |
『Oracle Fusion Middleware Oracle SOA Suite管理者ガイド』のSMPPドライバの構成に関する項の説明に従って、SMPPドライバを構成します。ドライバのゲートウェイ・ベンダーに接続するためのパラメータ値を指定する必要があります。
表8-5 ベンダーへの接続
パラメータ | 説明 |
---|---|
SmsAccountId |
SMS-CのアカウントID。これはベンダー・アカウントIDであり、ベンダーから取得する必要があります。 |
SmsServerHost |
SMS-Cサーバーの名前(またはIPアドレス)。TransmitterSystemId |
TransmitterSystemPassword |
送信側システムのパスワード。パスワードのタイプ(「間接パスワード、新規のユーザーの作成」、「間接パスワード、既存のユーザーの使用」、「クリアテキスト・パスワードの使用」から選択)とパスワードが含まれています。これは、ベンダー・アカウントIDに対応するパスワードです。 |
TransmitterSystemType |
送信側システムのタイプ。デフォルトはLogicaです。 |
ReceiverSystemId |
メッセージの受信に使用するアカウントID。ReceiverSystemPassword |
ReceiverSystemType |
受信側システムのタイプ。デフォルトはLogicaです。 |
ServerTransmitterPort |
送信側サーバーのTCPポート番号。 |
ServerReceiverPort |
受信側サーバーのTCPポート番号。 |
DefaultEncoding |
SMPPドライバのデフォルトのエンコーディング。デフォルトはIA5です。ドロップダウン・リストから「IA5」、「UCS2」または「GSM_DEFAULT」を選択します。 |
DefaultSenderAddress |
デフォルトの送信者アドレス。 |
パラメータ値を入力したら、「適用」を押します。これらの設定を有効にするには、ドライバを再起動する必要があります。
OAAMが、登録およびプリファレンスのページを使用して、プロファイルの登録およびプリファレンスの変更を可能にするために、次のプロパティを有効にする必要があります。
表8-6 OTPプロファイル登録とプリファレンス設定の有効化
プロパティ | 説明 |
---|---|
bharosa.uio.default.register.userinfo.enabled |
OTPチャネルが有効化されていて登録が必要な場合、このプロパティをtrueに設定すると、プロファイル登録ページが有効になります。 |
bharosa.uio.default.userpreferences.userinfo.enabled |
OTPチャネルが有効化されていてプリファレンス設定が許可されている場合、このプロパティをtrueに設定すると、ユーザーはプリファレンスを設定できます。 「ユーザー・プリファレンス」ページを使用して、ユーザーは、イメージ/フレーズ、チャレンジ質問の変更、デバイスの登録解除およびOTPプロファイルの更新を実行できます。 |
登録とプリファレンスを有効にするには:
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「環境」ノードの下の「プロパティ」をダブルクリックします。プロパティ検索ページが表示されます。
「名前」フィールドにbharosa.uio.default.register.userinfo.enabled
と入力し、「検索」をクリックします。
「検索結果」セクションでプロパティをクリックして選択し、値をtrue
に変更して「保存」をクリックします。
「名前」フィールドにbharosa.uio.default.userpreferences.userinfo.enabled
と入力し、「検索」をクリックします。
「検索結果」セクションでプロパティをクリックして選択し、値をtrue
に変更して「保存」をクリックします。
OAAMサーバーでチャレンジ・タイプを有効化するには、プロパティ・エディタを使用してチャレンジ・タイプ・プロパティを設定します。SMSおよび電子メール・チャレンジ・タイプのプロパティを表8-7および表8-8に示します。
SMSチャレンジ・タイプを定義するためのプロパティを次に示します。
表8-7 SMSチャレンジ・タイプのプロパティ
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.challenge.type.enum.ChallengeSMS |
2 |
SMSチャレンジの列挙値 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.name |
SMSチャレンジ |
SMSチャレンジ・タイプの名前 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.description |
SMSチャレンジ |
SMSチャレンジ・タイプの説明 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.processor |
com.bharosa.uio.processor.challenge.SMSUMSOTPChallengeProcessor |
SMSチャレンジ・タイプのプロセッサ・クラス このタイプのチャレンジを処理するためのJavaクラスを指定します。チャレンジ・メカニズムはJavaクラスを通じてカスタマイズ可能です。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.requiredInfo |
mobile,terms |
SMSチャレンジ・タイプでユーザーにチャレンジするための必須フィールド 登録入力列挙からの入力のカンマ区切りリスト |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.displayedInfo |
mobile |
|
bharosa.uio.default.challenge.type.enum.ChallengeSMS.available |
false |
SMSチャレンジ・タイプの可用性フラグ チャレンジ・タイプが使用可能(サービスが準備され構成されている)かどうかを指定します。OTPチャレンジ・タイプを有効/無効にするには、可用性フラグを設定する必要があります。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.otp |
true |
SMSチャレンジ・タイプのOTPフラグ |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.otpexpirytimeMs |
300000 |
OTP SMSパスワード有効期限を設定します。時間はミリ秒単位です。値がミリ秒単位で指定されていない場合は、変換する必要があります。たとえば、OTPの有効期限を7分に設定する場合は、このプロパティを420000 (7分)に設定する必要があります。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.htmlLabel |
SMSコード |
HTML (AuthentiPadではない)がユーザー入力に使用される場合のラベル。リソース・バンドル値。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.htmlInputType |
text |
HTML (AuthentiPadではない)がユーザー入力に使用される場合の入力のタイプ。指定できる値はtextまたはpasswordです。 |
電子メール・チャレンジ・タイプを定義するプロパティを次に示します。:
表8-8 電子メール・チャネル・タイプのプロパティ
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.challenge.type.enum.ChallengeEmail |
1 |
電子メール・チャレンジの列挙値 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.name |
電子メール・チャレンジ |
電子メール・チャレンジ・タイプの名前 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.description |
電子メール・チャレンジ |
電子メール・チャレンジ・タイプの説明 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.processor |
com.bharosa.uio.processor.challenge.EmailUMSOTPChallengeProcessor |
電子メール・チャレンジ・タイプのプロセッサ・クラス このタイプのチャレンジを処理するためのJavaクラスを指定します。チャレンジ・メカニズムはJavaクラスを通じてカスタマイズ可能です。詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.requiredInfo |
電子メール |
電子メール・チャレンジ・タイプでユーザーにチャレンジするための必須フィールド 登録入力列挙からの入力のカンマ区切りリスト |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.displayedInfo |
|
|
bharosa.uio.default.challenge.type.enum.ChallengeEmail.available |
false |
電子メール・チャレンジ・タイプの可用性フラグ チャレンジ・タイプが使用可能(サービスが準備され構成されている)かどうかを指定します。OTPチャレンジ・タイプを有効/無効にするには、可用性フラグを設定する必要があります。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.enabled |
true |
|
bharosa.uio.default.challenge.type.enum.ChallengeEmail.otp |
true |
電子メール・チャレンジ・タイプのOTPフラグ |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.otpexpirytimeMs |
300000 |
OTP電子メール・パスワード有効期限を設定します。時間はミリ秒単位です。値がミリ秒単位で指定されていない場合は、変換する必要があります。たとえば、OTPの有効期限を7分に設定する場合は、このプロパティを420000 (7分)に設定する必要があります。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.htmlLabel |
電子メール・コード |
HTML (AuthentiPadではない)がユーザー入力に使用される場合のラベル。リソース・バンドル値。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.htmlInputType |
text |
HTML (AuthentiPadではない)がユーザー入力に使用される場合の入力のタイプ。指定できる値はtextまたはpasswordです。 |
プロパティ・エディタを使用して次のプロパティを変更することで、OAAMがUMSサーバーを使用するように設定します。UMSサーバーのURLと資格証明用に設定するプロパティを、表8-9に示します。UMSサーバー・プロパティを設定した後、アプリケーションを再起動します。
注意: エンド・ポイントは、OAAMでコールをUMSに送信するために使用するWebサービスURLです。
表8-9 UMSサーバーURLおよび資格証明
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.ums.integration.webservice |
UMSサーバーのWebサービスURL http://UMS-Server-URL:UMS-Port/ucs/messaging/webservice |
|
bharosa.uio.default.ums.integration.parlayx.endpoint |
UMSサーバーのParlay XエンドポイントのURL http://UMS-Server-URL:UMS-Port/sdpmessaging/parlayx/SendMessageService |
|
bharosa.uio.default.ums.integration.useParlayX |
false |
Webサービスまたはparlayx APIの使用を構成します。値はデフォルトでfalseです(Webサービス推奨)。 |
bharosa.uio.default.ums.integration.userName |
UMSサーバーのユーザー名 |
|
bharosa.uio.default.ums.integration.password |
UMSサーバーのパスワード |
|
bharosa.uio.default.ums.integtaion.policies |
UMS認証ポリシー |
|
bharosa.uio.default.ums.integration.fromAddress |
demo@example.com |
OTPメッセージ用のOAAM送信元アドレス |
bharosa.uio.default.ums.integration.message.status.poll.attempts |
3 |
待機ページが表示されるたびにステータス・ポーリングを試みる回数 |
bharosa.uio.default.ums.integration.message.status.poll.delay |
1000 |
待機ページが表示されているときのステータス・ポーリング間の遅延 |
bharosa.uio.default.ums.integration.sleepInterval |
10000 |
|
bharosa.uio.default.ums.integration.deliveryPage.delay |
3000 |
登録ページの設定には、次のタスクが含まれます。
オプトアウト機能はデフォルトでは無効になっています。ユーザーに対してオプトアウトを有効にするには、このプロパティをtrue
に設定します。
表8-10 OTPのオプトアウト・プロパティ
プロパティ | デフォルト値 |
---|---|
bharosa.uio.default.otp.optOut.enabled |
false |
bharosa.uio.default.otp.optOut.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
ユーザーがOTPプロファイルの登録をオプトアウトできるようにするには、プロパティ・エディタを使用して次のプロパティを設定してOTP登録ページの「辞退」ボタンを使用可能にする必要があります。
表8-11 OTP登録およびチャレンジのオプトアウトの有効化
プロパティ | 値 |
---|---|
bharosa.uio.default.register.userinfo.decline.enabled |
true |
bharosa.uio.default.userpreferences.userinfo.decline.enabled |
true |
注意: 「辞退」ボタンを使用可能にするには、オプトアウトのプロパティをtrue に設定する必要があります。他の2つのプロパティがtrueで、オプトアウトがfalse の場合、このボタンは表示されません。 |
カスタマがOTPプロファイルの登録を辞退した場合、OTPの再登録を要求されることはなく、OTPチャレンジも受信しません。ただし、カスタマ担当が「すべてリセット」によってユーザーのOTPプロファイルをリセットすると、ユーザーは再度OTPを登録できるようになります。ユーザーは、OTP登録およびチャレンジをオプトアウトした場合でも、「ユーザー・プリファレンス」のOTPページにアクセスしてOTP用に登録できます。
OTP登録ページの「ご使用条件」チェック・ボックスおよびフィールドを構成するには、次の項に記載されているプロパティをoaam_custom.properties
ファイルに追加します。
チェック・ボックスおよびフィールドを構成するには、次の手順を実行します。
oaam_extensions
という作業フォルダを作成します。(フォルダは、インストール・フォルダの外部であれば任意の場所に作成できます。)
oracle.oaam.extensions.war
を見つけます。このファイルはIAM_Home
/oaam/oaam_extensions/generic
ディレクトリにあります。
oracle.oaam.extensions.war
をoaam_extensions
フォルダに展開します。
oracle.oaam.extensions.war
ファイルのWEB-INF/classes/bharosa_properties
ディレクトリにあるoaam_custom.properties
ファイルを開きます。
8.8.2.1項「「ご使用条件」チェック・ボックスの構成」および8.8.2.2項「登録とプリファレンスのページのテキスト・フィールドの構成」のプロパティを追加します。
次のコマンドを使用して、oaam_extensions
の親フォルダでoracle.oaam.extensions.war
を再パッケージします。
jar -cvfm oracle.oaam.extensions.war oaam_extensions\META-INF\MANIFEST.MF -C oaam_extensions/ .
OAAM管理およびOAAMサーバーの管理対象サーバーを停止します。
Oracle Adaptive Access ManagerがデプロイされているWebLogic Serverを起動し、WebLogic管理コンソールにログインします。
「ドメイン」→「環境」に移動して「デプロイメント」を選択し、コンソールをロックします。
「インストール」をクリックします。
oracle.oaam.extensions.war
ファイルのロケーションを参照し、WARファイルの横にあるラジオ・ボタンをクリックし、「次へ」をクリックして選択します。
「このデプロイメントをライブラリとしてインストールする」が選択されていることを確認し、「次へ」をクリックします。
デプロイメント・ターゲット(OAAM管理とOAAMサーバー)を選択します。
再度、「次へ」をクリックし、次のページでデフォルト値のまま「終了」をクリックします。
「保存」をクリックして、「変更のアクティブ化」をクリックします。
OAAM管理およびOAAM管理対象サーバーを起動します。
表8-12に、登録ページのチェック・ボックスを構成するためのプロパティを示します。
表8-12 「ご使用条件」チェック・ボックス
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.userinfo.inputs.enum.terms |
4 |
ご使用条件の列挙値 |
bharosa.uio.default.userinfo.inputs.enum.terms.name |
ご使用条件 |
「ご使用条件」チェック・ボックスの名前 |
bharosa.uio.default.userinfo.inputs.enum.terms.description |
ご使用条件 |
「ご使用条件」チェック・ボックスの説明 |
bharosa.uio.default.userinfo.inputs.enum.terms.inputname |
terms |
「ご使用条件」チェック・ボックスのHTML入力名 |
bharosa.uio.default.userinfo.inputs.enum.terms.inputtype |
checkbox |
「ご使用条件」チェック・ボックスのHTML入力タイプ |
bharosa.uio.default.userinfo.inputs.enum.terms.values |
true |
登録およびユーザー・プリファレンスにおける「ご使用条件」チェック・ボックスの必須値 |
bharosa.uio.default.userinfo.inputs.enum.terms.maxlength |
40 |
「ご使用条件」チェック・ボックスのHTML入力の最大長 |
bharosa.uio.default.userinfo.inputs.enum.terms.required |
true |
登録およびユーザー・プリファレンスにおける「ご使用条件」チェック・ボックスの必須フラグ |
bharosa.uio.default.userinfo.inputs.enum.terms.order |
5 |
「ご使用条件」チェック・ボックスのページにおける順序 |
bharosa.uio.default.userinfo.inputs.enum.terms.enabled |
true |
「ご使用条件」列挙項目の有効フラグ |
bharosa.uio.default.userinfo.inputs.enum.terms.regex |
.+ |
「ご使用条件」チェック・ボックスの検証用の正規表現 |
bharosa.uio.default.userinfo.inputs.enum.terms.errorCode |
otp.invalid.terms |
「ご使用条件」の検証が失敗した場合にエラー・メッセージを取得するためのエラー・コード |
bharosa.uio.default.userinfo.inputs.enum.terms.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
データ記憶域からご使用条件を保存/取得するために使用するJavaクラス |
登録とプリファレンスの各ページ上のテキストおよびフィールドを設定します。入力プロパティには、ユーザーが入力できる電子メール・アドレスまたはモバイルの最大長、電子メール・アドレス・フィールドまたはモバイル・フィールドの検証(式)などが含まれます。
モバイル・デバイス入力登録フィールドのプロパティ
OTP登録ページにモバイル・デバイス・登録フィールドを構成するには次のプロパティを追加します。
表8-13 モバイル入力
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.userinfo.inputs.enum.mobile |
0 |
携帯電話の列挙値 |
bharosa.uio.default.userinfo.inputs.enum.mobile.name |
携帯電話 |
携帯電話入力フィールドで使用される名前 |
bharosa.uio.default.userinfo.inputs.enum.mobile.description |
携帯電話 |
「携帯電話」フィールドの説明 |
bharosa.uio.default.userinfo.inputs.enum.mobile.inputname |
cell number |
「携帯電話」フィールドのHTML入力名 |
bharosa.uio.default.userinfo.inputs.enum.mobile.inputtype |
text |
「携帯電話」フィールドのHTML入力タイプ |
bharosa.uio.default.userinfo.inputs.enum.mobile.maxlength |
15 |
携帯電話フィールドのユーザー入力の最大長 |
bharosa.uio.default.userinfo.inputs.enum.mobile.required |
true |
登録およびユーザー・プリファレンスにおける「携帯電話」フィールドの必須フラグ |
bharosa.uio.default.userinfo.inputs.enum.mobile.order |
1 |
携帯電話フィールドがユーザー・インタフェースに表示される順序 |
bharosa.uio.default.userinfo.inputs.enum.mobile.enabled |
true |
「携帯電話」列挙項目の有効フラグ 登録ページで携帯電話番号のエントリの値を表示するには、bharosa.uio.default.userinfo.inputs.enum.mobile.enabledをtrueに設定します。 登録ページで電子メール・アドレスのエントリの値のみを表示する場合には、このプロパティをfalseに設定する必要があります。そうしないと、登録に携帯電話の情報も表示されます。 |
bharosa.uio.default.userinfo.inputs.enum.mobile.regex |
プロパティで構成する場合: \\D?(\\d{3})\\D?\\D?(\\d{3})\\D?(\\d{4}) OAAM管理で構成する場合: \D?(\d{3})\D?\D?(\d{3})\D?(\d{4}) |
携帯電話フィールドのユーザー入力を検証するために使用される正規表現 |
bharosa.uio.default.userinfo.inputs.enum.mobile.errorCode |
otp.invalid.mobile |
携帯電話エントリの検証が失敗した場合に検証エラー・メッセージの検索に使用されるエラー・コード(bharosa.uio.application-ID.error.errorCode) |
bharosa.uio.default.userinfo.inputs.enum.mobile.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
データ記憶域から携帯電話を保存/取得するために使用するJavaクラス |
2番目のモバイル・デバイス入力登録フィールドのプロパティ例
次のプロパティを使用して、OTP登録ページに2番目のモバイル・デバイス用の登録フィールドを構成します。
表8-14 モバイル入力
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.userinfo.inputs.enum.mobile2 |
2 |
携帯電話の列挙値 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.name |
携帯電話2 |
「携帯電話」フィールドの名前 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.description |
携帯電話2 |
「携帯電話」フィールドの説明 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.inputname |
cell number 2 |
「携帯電話」フィールドのHTML入力名 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.inputtype |
text |
「携帯電話」フィールドのHTML入力タイプ |
bharosa.uio.default.userinfo.inputs.enum.mobile2.maxlength |
15 |
「携帯電話」フィールドのHTML入力の最大長 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.required |
true |
登録およびユーザー・プリファレンスにおける「携帯電話」フィールドの必須フラグ |
bharosa.uio.default.userinfo.inputs.enum.mobile2.order |
2 |
「携帯電話」フィールドのページにおける順序 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.enabled |
true |
「携帯電話」列挙項目の有効フラグ |
bharosa.uio.default.userinfo.inputs.enum.mobile2.regex |
プロパティで構成する場合: \\D?(\\d{3})\\D?\\D?(\\d{3})\\D?(\\d{4}) OAAM管理で構成する場合: \D?(\d{3})\D?\D?(\d{3})\D?(\d{4}) |
「携帯電話」フィールドの検証用の正規表現 |
bharosa.uio.default.userinfo.inputs.enum.mobile2.errorCode |
otp.invalid.mobile |
「携帯電話」エントリの検証が失敗した場合にエラー・メッセージを取得するためのエラー・コード |
bharosa.uio.default.userinfo.inputs.enum.mobile2.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
データ記憶域から携帯電話を保存/取得するために使用するJavaクラス |
電子メール・アドレス入力登録フィールドのプロパティ
OTP登録ページに電子メール・アドレス登録フィールドを構成するには次のプロパティを追加します。
表8-15 電子メール入力
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.userinfo.inputs.enum.email |
1 |
電子メール・アドレスの列挙値 |
bharosa.uio.default.userinfo.inputs.enum.email.name |
電子メール・アドレス |
電子メール・アドレス・フィールドの名前 |
bharosa.uio.default.userinfo.inputs.enum.email.description |
電子メール・アドレス |
電子メール・アドレス・フィールドの説明 |
bharosa.uio.default.userinfo.inputs.enum.email.inputname |
|
電子メール・アドレス・フィールドのHTML入力名 |
bharosa.uio.default.userinfo.inputs.enum.email.inputtype |
text |
電子メール・アドレス・フィールドのHTML入力タイプ |
bharosa.uio.default.userinfo.inputs.enum.email.maxlength |
40 |
電子メール・アドレス・フィールドのHTML入力最大長 |
bharosa.uio.default.userinfo.inputs.enum.email.required |
true |
登録およびユーザー・プリファレンスにおける電子メール・アドレス・フィールドの必須フラグ |
bharosa.uio.default.userinfo.inputs.enum.email.order |
2 |
ページにおける電子メール・アドレス・フィールドの順序 |
bharosa.uio.default.userinfo.inputs.enum.email.enabled |
false |
電子メール・アドレス列挙項目の有効フラグ 電子メールの登録を有効にするには、bharosa.uio.default.userinfo.inputs.enum.email.enabledをtrueに設定します。 電子メール・フィールドを有効にするには、サーバーを再起動する必要があります。 |
bharosa.uio.default.userinfo.inputs.enum.email.regex |
.+@[a-zA-Z_]+?\\.[a-zA-Z]{2,3} |
電子メール・アドレス・フィールドの検証用正規表現 |
bharosa.uio.default.userinfo.inputs.enum.email.errorCode |
otp.invalid.email |
電子メール・アドレス・エントリの検証が失敗した場合にエラー・メッセージを取得するエラー・コード |
bharosa.uio.default.userinfo.inputs.enum.email.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
データ・ストレージから電子メール・アドレスを保存/取得するのに使用するJavaクラス |
2番目の電子メール・アドレス入力登録フィールドのプロパティ例
次のプロパティを使用して、OTP登録ページに2番目の電子メール・アドレス用の登録フィールドを構成します。
表8-16 電子メール入力
プロパティ | デフォルト値 | 説明 |
---|---|---|
bharosa.uio.default.userinfo.inputs.enum.email2 |
2 |
電子メール・アドレスの列挙値 |
bharosa.uio.default.userinfo.inputs.enum.email2.name |
電子メール・アドレス2 |
電子メール・アドレス・フィールドの名前 |
bharosa.uio.default.userinfo.inputs.enum.email2.description |
電子メール・アドレス2 |
電子メール・アドレス・フィールドの説明 |
bharosa.uio.default.userinfo.inputs.enum.email2.inputname |
email2 |
電子メール・アドレス・フィールドのHTML入力名 |
bharosa.uio.default.userinfo.inputs.enum.email2.inputtype |
text |
電子メール・アドレス・フィールドのHTML入力タイプ |
bharosa.uio.default.userinfo.inputs.enum.email2.maxlength |
40 |
電子メール・アドレス・フィールドのHTML入力最大長 |
bharosa.uio.default.userinfo.inputs.enum.email2.required |
true |
登録およびユーザー・プリファレンスにおける電子メール・アドレス・フィールドの必須フラグ |
bharosa.uio.default.userinfo.inputs.enum.email2.order |
2 |
ページにおける電子メール・アドレス・フィールドの順序 |
bharosa.uio.default.userinfo.inputs.enum.email2.enabled |
false |
電子メール・アドレス列挙項目の有効フラグ |
bharosa.uio.default.userinfo.inputs.enum.email2.regex |
.+@[a-zA-Z_]+?\\.[a-zA-Z]{2,3} |
電子メール・アドレス・フィールドの検証用正規表現 |
bharosa.uio.default.userinfo.inputs.enum.email2.errorCode |
otp.invalid.email |
電子メール・アドレス・エントリの検証が失敗した場合にエラー・メッセージを取得するエラー・コード |
bharosa.uio.default.userinfo.inputs.enum.email2.managerClass |
com.bharosa.uio.manager.user.DefaultContactInfoManager |
データ・ストレージから電子メール・アドレスを保存/取得するのに使用するJavaクラス |
チャレンジ・チェックポイントのポリシーにより、ユーザーに表示されるチャレンジのタイプが決まります。詳細は、10.5.12項「OAAMチャレンジ」を参照してください。
特定シナリオのユーザーに対してOTPチャレンジが実行されるルールを使用してポリシーを構成するには、次の手順を実行します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「ポリシー」をダブルクリックします。
ポリシー検索ページが表示されます。
ポリシー検索ページで、「新規ポリシー」ボタンをクリックします。
「新規ポリシー」ページが表示されます。「サマリー」タブで、認証後のセキュリティ・ポリシーを作成します。
「ポリシー名」に、OTP Challenge for Many Failuresと入力します。
「説明」に、ポリシーの説明を入力します。
「チェックポイント」で「認証後」を選択します。
要件に応じてポリシー・ステータス、スコアリング・エンジンおよび重みを変更します。
「適用」をクリックします。
「OK」をクリックして、確認ダイアログを閉じます。
「ルール」タブをクリックして選択します。
ルールに関する一般的なサマリー情報を追加します。
条件タブで、「ユーザー: OTP失敗の確認」
条件または他のOTP関連の条件を追加します。
「結果」タブで、アクション・グループに「OAAMチャレンジ」
を指定します。
ポリシーをすべてのユーザーにリンクします。
リソース・バンドル・ファイルにカスタム値を指定し、OAAM拡張共有ライブラリを使用して変更をデプロイすることにより、登録ページのテキスト、チャレンジ・タイプ・メッセージの件名、メッセージの本文およびメッセージ自体を完全にカスタマイズできます。
登録ページのコンテンツとメッセージをカスタマイズするには、次の各項で説明されているプロパティをclient_resource_
locale.properties
ファイルに追加します。
oaam_extensions
という作業フォルダを作成します。(フォルダは、インストール・フォルダの外部であれば任意の場所に作成できます。)
oracle.oaam.extensions.war
を見つけます。このファイルはIAM_Home
/oaam/oaam_extensions/generic
ディレクトリにあります。
oracle.oaam.extensions.war
をoaam_extensions
フォルダに展開します。
client_resource_
locale
.properties
をIAM_Home
\oaam\oaam_extensions\generic\WEB-INF\classes
に作成します。
カスタマイズするテキストとメッセージをこのファイルに追加します。
たとえば、ご使用条件をカスタマイズするには、次の行をclient_resource
_locale
.properties
に追加します。
bharosa.uio.default.userinfo.inputs.enum.terms.name=I agree to the COMPANY A terms & conditions. Click to view full <a href="javascript:infoWindow('terms');">Terms & Conditions</a> and <a href="javascript:infoWindow('privacy');">Privacy Policy</a>.
たとえば、ユーザーが携帯電話を登録するときに表示されるメッセージをカスタマイズするには、次の行をclient_resource_
locale
.properties
に追加します。
bharosa.uio.default.register.userinfo.message=For your protection please enter your mobile telephone number so we may use it to verify your identity in the future. Please ensure that you have text messaging enabled on your phone.
次のコマンドを使用して、oaam_extensions
の親フォルダでoracle.oaam.extensions.war
を再パッケージします。
jar -cvfm oracle.oaam.extensions.war oaam_extensions\META-INF\MANIFEST.MF -C oaam_extensions/ .
OAAM管理およびOAAMサーバーの管理対象サーバーを停止します。
Oracle Adaptive Access ManagerがデプロイされているWebLogic Serverを起動し、WebLogic管理コンソールにログインします。
「ドメイン」→「環境」に移動して「デプロイメント」を選択し、コンソールをロックします。
「インストール」をクリックします。
oracle.oaam.extensions.war
ファイルのロケーションを参照し、WARファイルの横にあるラジオ・ボタンをクリックし、「次へ」をクリックして選択します。
「このデプロイメントをライブラリとしてインストールする」が選択されていることを確認し、「次へ」をクリックします。
デプロイメント・ターゲット(OAAM管理とOAAMサーバー)を選択します。
再度、「次へ」をクリックし、次のページでデフォルト値のまま「終了」をクリックします。
「保存」をクリックして、「変更のアクティブ化」をクリックします。
OAAM管理およびOAAM管理対象サーバーを起動します。
ご使用条件テキストをカスタマイズするには、次のプロパティをclient_resource_
locale
.properties
に追加します。
表8-17 ご使用条件のメッセージ
プロパティ | 説明 |
---|---|
bharosa.uio.default.userinfo.inputs.enum.terms.name |
[会社名またはサービス名をここに入力]のご使用条件に同意します。<a href="javascript:infoWindow('terms');">Terms & Conditions</a>および<a href="javascript:infoWindow('privacy');">Privacy Policy</a>をクリックすると全体が表示されます。 |
bharosa.uio.default.userinfo.inputs.enum.terms.description |
メッセージおよびデータ・レートが適用されます。<br/>このプログラムに関して質問がある場合は、"HELP"を[コード/短縮コードをここに入力]に送信してください。<br/>プランを取り消すには、"STOP"を[コード/短縮コードをここに入力]にいつでも送信してください。<br/><br/>このサービスの追加情報は、<a href="" target="_blank">[情報URLをここに入力]</a>をご覧ください。<br/><br/><b>サポートされているキャリア:</b><br/>AT&T、Sprint、Nextel、Boost、Verizon Wireless、U.S. Cellular®、T-Mobile®、Cellular One Dobson、Cincinnati Bell、Alltel、Virgin Mobile USA、Cellular South、Unicel、CentennialおよびNtelos。 |
bharosa.uio.default.userinfo.inputs.enum.terms.name
の値には、「ご使用条件」および「プライバシ・ポリシー」に関するOAAMサーバーのポップアップ画面メッセージを使用するプレースホルダ・リンクが含まれています。ポップアップ画面のコンテンツに関するプロパティおよびリソース・キーは次のとおりです。
表8-18 「ご使用条件」および「プライバシ・ポリシー」ポップアップ画面メッセージ
プロパティ | 説明 |
---|---|
bharosa.uio.default.messages.enum.terms.name |
ご使用条件 |
bharosa.uio.default.messages.enum.terms.description |
ご使用条件のプレースホルダ・テキスト |
bharosa.uio.default.messages.enum.privacy.name |
プライバシ・ポリシー |
bharosa.uio.default.messages.enum.privacy.description |
プライバシ・ポリシーのプレースホルダ・テキスト |
登録ページのメッセージをカスタマイズするには、次の登録プロパティをclient_resource_
locale
.properties
に追加します。
表8-20 登録のカスタマイズ
プロパティ | デフォルト値 |
---|---|
bharosa.uio.default.register.userinfo.title |
OTP Anywhere登録 |
bharosa.uio.default.register.userinfo.message |
お客様の保護のため、今後、当社がこの番号を使用してお客様の身元を確認できるよう携帯電話番号を入力してください。電話のテキスト・メッセージが有効になっていることをご確認ください。 |
bharosa.uio.default.register.userinfo.registerdevice.message |
現在、安全なデバイスとして使用しているデバイスの登録を確認します: |
bharosa.uio.default.register.userinfo.continue.button |
続行 |
bharosa.uio.default.register.userinfo.decline.message |
辞退されたお客様には再び登録をお願いすることはありません。 |
bharosa.uio.default.register.userinfo.decline.button |
辞退 |
チャレンジ・タイプのメッセージをカスタマイズするには、次のプロパティをclient_resource_
locale
.properties
:
表8-21 チャレンジ・タイプのカスタマイズ
プロパティ | デフォルト値 |
---|---|
bharosa.uio.default.ChallengeSMS.message |
お客様の保護のため、お客様の携帯電話にお送りしたコードを入力してください。コードが届いていない場合は、電話のテキスト・メッセージが有効になっていることを確認してから、下の再送信リンクをクリックしてください。 |
bharosa.uio.default.ChallengeSMS.registerdevice.message |
現在、安全なデバイスとして使用しているデバイスの登録を確認します: |
bharosa.uio.default.ChallengeSMS.continue.button |
続行 |
OTPのメッセージをカスタマイズするには、次のプロパティをclient_resource_
locale
.properties
に追加します。
注意: ユーザーが使用する文字列をリソース・バンドルに複製する必要があります。リソース・バンドル値をカスタマイズするには、これらの値をclient_resource_ locale .properties に追加して、このファイルをOAAM拡張共有ライブラリにデプロイします。 |
この項では、OTPの有効期限、パスワード生成、失敗カウンタおよびチャレンジ・タイプ・デバイスのデフォルト値を変更する場合の手順をご参考までに紹介します。
OTP SMSパスワードの有効期限を設定するには、次のプロパティを追加します。
bharosa.uio.default.challenge.type.enum.ChallengeSMS.otpexpirytimeMs
OTP電子メール・パスワードの有効期限を設定するには、次のプロパティを追加します。
bharosa.uio.default.challenge.type.enum.ChallengeEmail.otpexpirytimeMs
to oaam_custom.properties
.
時間はミリ秒単位です。設定しようとする期限がミリ秒単位でない場合は、変換する必要があります。たとえば、OTPの有効期限を7分に設定する場合は、このプロパティを420000 (7分)に設定する必要があります。
プロパティを編集することによりワンタイム・パスワードのコード生成を構成できます。OTPコードの生成には、次のプロパティを使用します。
bharosa.uio.default.otp.generate.code.length = 5 bharosa.uio.default.otp.generate.code.characters = 1234567890
bharosa.uio.default.otp.generate.code.length
には、生成するOTPコードの長さを指定します。
bharosa.uio.default.otp.generate.code.characters
には、OTPコードに含めることができる文字列を指定します。
デフォルトのOTPコードは、数字の0から9で構成される5文字になります(例: 44569)。
OAAM APIは、bharosa.uio.default.otp.generate.code.characters
に定義された文字列の文字をランダムに選択してOTPコードを生成します。5文字のOTPコードが必要な場合、OAAM APIは、宣言済の文字の文字列から一度に1つずつランダムに文字を選択して、OTP文字列に付加します。
たとえば、bharosa.uio.default.otp.generate.code.characters
が、1234567890
、abcdefgh
、1234567890abcdefghijklmnopqrstuvwxyz
または1234567890ABCDWXYZ!@#$%^&*
を含むことができるとします。
bharosa.uio.default.otp.generate.code.characters
に1234567890ABCDWXYZ!@#$%^&*
が含まれる場合、生成されるOTPコードは、&1A@$
、12345
またはXAW12
のようになる可能性があります。
次の例では、数字の0から9と文字のaからdを使用して4文字のOTPコードが生成されます(例: 0c6a)。
bharosa.uio.default.otp.generate.code.length = 4 bharosa.uio.default.otp.generate.code.characters = 1234567890abcd
場合によっては、テスト用などOAAMで毎回同一のOTPコードを生成する必要があります。そのような場合は、bharosa.uio.default.otp.generate.code.characters
を1種類の文字からなる2文字の文字列として定義できます。たとえば、OAAMがOTPコード11111
を毎回生成するようにするには、bharosa.uio.default.otp.generate.code.characters
に11
を定義します。bharosa.uio.default.otp.generate.code.characters
プロパティに少なくとも2文字が含まれることを確認します。
ユーザーがOTPチャレンジに失敗すると、カウンタは更新され、ユーザーが失敗したことを示します。
失敗カウンタはデフォルトで「OAAMチャレンジ・ポリシー」に設定されていますが、次の手順に従ってカスタマイズできます。
「OAAMチャレンジ・ポリシー」を開きます。
該当するOTPルール失敗の最大数を開いて、適切なプロパティを編集します。詳細は、次の表を参照してください。
表8-23 OAAMのOTP最大失敗回数ルールの詳細
ルール | ルールの条件およびパラメータ | 結果 |
---|---|---|
SMS試行失敗の最大数 |
ユーザー: OTP失敗の確認 OTPチャレンジ・タイプ = ChallengeSMS 次以上の失敗数 = 3 次以上の場合 = TRUE |
アクション = なし アラート = なし スコア = 0 |
電子メール試行失敗の最大数 |
ユーザー: OTP失敗の確認 OTPチャレンジ・タイプ = ChallengeEmail 次以上の失敗数 = 3 次以上の場合 = TRUE |
アクション = なし アラート = なし スコア = 0 |
質問試行失敗の最大数 |
ユーザー: チャレンジの最大失敗数 次以上の失敗数 = 3 現在の質問件数のみですか。 = False 次以上の場合の戻り値 = True |
アクション = なし アラート = なし スコア = 0 |
チャレンジで使用されるデフォルトのチャレンジ・タイプ・デバイスを変更する場合は、次の手順を実行します。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「環境」ノードの下の「プロパティ」をダブルクリックします。プロパティ検索ページが表示されます。
「名前」フィールドにbharosa.uio.default.use.authentipad.checkpoint
と入力して、「検索」をクリックします。「検索結果」セクションでプロパティをクリックして選択し、値をfalse
に変更して「保存」をクリックします。
「新規プロパティ」をクリックして、次の新しいプロパティを追加します。
bharosa.uio.default
.ChallengeType
.authenticator.device
=Device
次に「保存」をクリックしてプロパティを保存します。
デバイスのTextPadを使用する場合のSMSおよび電子メールのチャレンジの構成例を示します。
bharosa.uio.default.ChallengeSMS.authenticator.device=DeviceTextPad bharosa.uio.default.ChallengeEmail.authenticator.device=DeviceTextPad
表8-24に、様々な認証デバイス・タイプのプロパティを示します。前述の例では、値DeviceTextPadを指定したため、SMSおよび電子メールのオーセンティケータはデバイス・テキスト・パッドになります。値にDeviceKeyPadAlphaを指定した場合は、英数字のKeyPadが表示されます。
表8-24 認証デバイス・タイプ
プロパティ | 説明 |
---|---|
なし |
HTMLページまたは認証パッドはありません。 |
DeviceKeyPadFull |
KeyPadを使用してユーザーにチャレンジします。 |
DeviceKeyPadAlpha |
英数字KeyPad(数字と文字のみで特殊文字は含みません)を使用して、ユーザーにチャレンジします。 |
DeviceTextPad |
TextPadを使用してユーザーにチャレンジします。 |
DeviceQuestionPad |
QuestionPadを使用してユーザーにチャレンジします。 |
DevicePinPad |
PinPadを使用してユーザーにチャレンジします。 |
DeviceHTMLControl |
認証パッドのかわりにHTMLページを使用して、ユーザーにチャレンジします。 |
構成後、アプリケーションに次回ログインするときにOTPデバイスが表示されます。