35.4 アダプティブ認証サービスの構成

Access Manager、WebゲートおよびOracle HTTP Server (OHS)をすでにインストールしている場合は、アダプティブ認証サービスを構成できます。

これらの構成の一部は、アダプティブ認証サービス・オプションのいずれかに固有の構成です。

この節では、以下のトピックについて説明します。

35.4.1 Oracle Mobile Authenticatorの秘密キーの生成

秘密キーは、Access ManagerとOMAアプリケーションの間で共有される必要があります。ビジネスでは様々な方法で秘密キーが生成される可能性があるため、秘密キーが生成される手段は重要ではありません。

次のRESTfulエンドポイントは、ユーザーの秘密キーをOracle Access Managementアイデンティティ・ストアに生成する場合に使用されます。

http://<HOST>:<PORT>/ms_oauth/resources/userprofile/secretkey

OMAオンライン構成(Oracleの推奨の構成方法)の場合、OMAはRESTfulエンドポイントを使用してユーザーのキーをアイデンティティ・ストアに格納します。OMA手動構成またはGoogle Authenticatorの場合、ユーザーが前述のRESTfulエンドポイントを使用しても秘密キーを生成できるWebアプリケーションを管理者が設定します。秘密キーは、アイデンティティ・ストアのLDAP属性に文字列として格納され、秘密キーを生成する前に、この属性の名前をRESTfulエンドポイント構成のビジネスに渡す必要があります。

「Oracle Mobile Authenticator構成の理解」を参照してください。

35.4.2 秘密キーを保護するためのモバイルOAuthサービスの構成

Oracle Access ManagementコンソールでMobile and Socialサービスを有効にしてから、Basic認証スキームを使用してREST秘密キーエンドポイントを保護するようにユーザー・プロファイル・サービスを更新します。

秘密キーを保護するようにモバイルOAuthサービスを構成するには、次のようにします。

「構成」起動パッドから、「使用可能なサービス」をクリックします。
「有効化」をクリックして、Mobile and Socialを有効化します(まだ有効化されていない場合)。
「モバイル・セキュリティ」起動パッドから、「モバイルOAuthサービス」をクリックします。
「モバイルOAuthアイデンティティ・ドメインの管理」の下の「DefaultDomain」をクリックします。
「リソース・サーバー」タブで、「ユーザー・プロファイル・サービス」の下の「ユーザー・プロファイル」をクリックします。
リソースURIを開きます。
「/secretkey」タブから、「属性」を開きます。
basicauth.allowedの値をtrueに変更します。
「適用」をクリックします。

35.4.3 Oracle Access Managementコンソールでのアダプティブ認証プラグインの構成

Access Managerには、2ファクタ認証に使用できるアダプティブ認証プラグインが用意されています。

Oracle Access Managementコンソールでアダプティブ認証プラグインを構成するには、次のようにします。

システム管理者としてOracle Access Managementコンソールにログインします。
「アプリケーション・セキュリティ」起動パッドから、「プラグイン」パネルの「認証プラグイン」をクリックします。
「認証プラグイン」タブから、「プラグイン名」列の上のクイック検索ボックスにAdaptiveと入力して[Enter]を押します。
「AdaptiveAuthenticationPlugin」が表示されます。

「プラグインの詳細: AdaptiveAuthenticationPlugin」の下に表示されたプロパティを、使用環境に応じて適宜変更します。

表35-1では、アダプティブ認証プラグインのプロパティについて説明します。

表35-1 アダプティブ認証プラグインのプロパティ

プロパティ	説明	デフォルト値	このプロパティを必要とするチャレンジ・メソッド
IdentityStoreRef	アイデンティティ・ストア名	UserIdentityStore1	すべて
TotpSecretKeyAttribute	秘密キーが格納されるユーザー属性の名前。	属性の説明	OMAを使用する、時間ベースOTP
TotpTimeWindow	Access Managerが検証で受け入れるモバイル・デバイスによって生成されるOTPコードの数。モバイル・デバイスは30秒ごとに新しいOTPを生成するため、この値が3の場合、Access Managerは、モバイル・デバイスによって生成された現在のものを含む最後の3個のOTPを受け入れます。	3	OMAを使用する、時間ベースOTP
PushAPNsProdServer	trueに設定した場合、APNS本番サーバーが通知の送信に使用されます。	false	アクセス・リクエスト通知(iOS)
PushProxyHost	プロキシを使用して通知をサーバーに送信する場合のプロキシ・ホストの名前。		アクセス・リクエスト通知
PushProxyPort	プロキシを使用して通知をサーバーに送信する場合のプロキシ・ポート。	80	アクセス・リクエスト通知
PushProxyProtocol	プロキシ・プロトコル	https://	アクセス・リクエスト通知
UmsAvailable	アダプティブ認証サービスで電子メールおよびSMSの送信にUMSが必要な場合は、trueに設定します。	false	SMS、電子メール
UmsClientUrl	UMS WebサービスのURL		SMS、電子メール
PhoneField	ユーザーの電話番号が格納されるアイデンティティ・ストア内の属性	mobile	SMS
EmailField	ユーザーの電子メール・アドレスが格納されるアイデンティティ・ストア内の属性	mail	電子メール
Totp_Enabled Email_Enabled Sms_Enabled Push_Enabled	UIに表示されるオプションを制御します。有効になっており、ユーザーがプッシュに登録されていない、TOTPの設定が行われていない、またはIDストアに移入してある電子メール/電話がない場合、これらのオプションは表示されません。たとえば、ユーザーがTOTPおよびプッシュに登録していないが、電子メールが移入されている場合は、電子メールのオプションのみが表示されます。	true ノート: プロパティは、管理者がすべてのユーザーに対して特定の機能を無効にする場合にのみ、falseに設定する必要があります。

「保存」をクリックします。
「Access Manager」起動パッドで「プラグイン」の下の「認証モジュール」をクリックして、AdaptiveAuthenticationModule内の同じプロパティを適宜更新します。
「認証モジュール」タブで、「AdaptiveAuthenticationModule」を検索します。

表35-1には、使用可能なアダプティブ認証サービスのプロパティがすべて示してされているわけではありません。

35.4.4 UMS、iOSおよびAndroidの資格証明の設定

WLSTコマンド行スクリプトを使用して、Oracle User Messaging Service (UMS)、iOS証明書またはAndroid APIキーの資格証明を設定します。

これらの資格証明は、SMS/電子メールおよびプッシュの通知を送信する過程でOAMサーバーによって使用されます。表35-2に、手順の完了に必要な情報を示します。

表35-2 アダプティブ認証サービスのサーバー側の構成

構成	情報	チャレンジ・メソッド
iOSの証明書/パスワード	`https://developer.apple.com/library/mac/documentation/NetworkingInternet/Conceptual/RemoteNotificationsPG/Chapters/ApplePushService.html`	iOSを使用したアクセス・リクエスト(プッシュ)通知
APIキー	`https://developers.google.com/web/updates/2015/03/push-notificatons-on-the-open-web?hl=en`	Androidを使用したアクセス・リクエスト(プッシュ)通知
UMSの資格証明	OAMがUMS Webサービスへの接続を確立するために使用するUMSの資格証明。	電子メール/SMS

UMS、iOSおよびAndroidの資格証明を設定するには、次のようにします。

cd <MW_HOME>/oracle_common/common/bin
./wlst.sh
connect()
プロンプトが表示されたら、WebLogicのユーザー名およびパスワードを入力します。
[Enter]を押してデフォルトのURLを受け入れるか、必要に応じてホストとポートを変更して[Enter]を押します。
次の1つ以上のコマンドを実行して、デプロイメントに応じてUMSサーバー、iOSまたはAndroidの資格証明を設定します。
ノート:
<UMS SERVER USER NAME>、<UMS SERVER PASSWORD>、<CERTIFICATE STORE PASSWORD>および<API KEY VALUE>を環境に固有の値で置き換えます。これらのコマンドのパラメータの値は、変数としてマークされているリストされたパラメータの値以外は変更しないでください。
- 電子メール/SMSによるOTPの場合のみ:
```
createCred(map="OAM_CONFIG", key="umsKey", user="<UMS SERVER USER NAME>", 
  password="<UMS SERVER PASSWORD>")
```
  次に例を示します。
```
createCred(map="OAM_CONFIG", key="umsKey", user="weblogic", 
  password="password")
```
- iOSのアクセス・リクエスト(プッシュ)通知の場合のみ:
```
createCred(map="OAM_CONFIG", key="pushApnsCertKey", user="apnskey", 
  password="<CERTIFICATE STORE PASSWORD>") 
```
  次に例を示します。
```
createCred(map="OAM_CONFIG", key="pushApnsCertKey", user="apnskey", 
  password="password")
```
  iOSを使用する場合は、「iOSアクセス・リクエスト(プッシュ)通知用のJavaキーストアの作成」を参照してください。
- Androidのアクセス・リクエスト(プッシュ)通知の場合のみ:
```
createCred(map="OAM_CONFIG", key="omaApiKey", user="omaApiKey", 
  password="<API KEY VALUE>")
```
  次に例を示します。
```
createCred(map="OAM_CONFIG", key="omaApiKey", user="omaApiKey", 
  password="ADDGFDGDFGRTERSDFSDFSDFTYERTERTASDASDASD")
```
キーを確認するには、Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「資格証明」にナビゲートし、コマンドを使用してキー入力のOAM_CONFIGマップをチェックします。

ノート:

Fusion Middleware Controlを使用した資格証明の更新、削除または他の方法による管理の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。

35.4.5 iOSアクセス・リクエスト(プッシュ)通知用のJavaキーストアの作成

iOSでアクセス・リクエスト通知を使用する場合は、証明書ファイルおよびキー・ファイルを使用してJavaキーストア(JKS)を作成します。

JKSの作成後、APNsCertificate.jksという名前に変更して、Oracle Access Managementインストールの<domain>/config/fmwconfigディレクトリに格納します。JKSには、ローカルに生成されたユーザーの秘密キーおよびApple Developer CenterからダウンロードしたApple Push Notificationサービス(APNs)の証明書が含まれている必要があります。

次のサンプル・コマンドでは、証明書が生成されてインポートされます。

openssl x509 -in aps_production.cer -inform DER -out aps_production.pem 
 -outform PEM

openssl pkcs12 -nocerts -in OMAKey.p12 -out OMAKey.pem

openssl pkcs12 -export -inkey OMAKey.pem -in aps_production.pem 
 -out iOS_prod.p12

keytool -import -keystore APNsCertificate.jks -file aps_production.cer 
 -alias PushCert

keytool -importkeystore -destkeystore APNsCertificate.jks 
 -deststoretype JKS -srcstoretype PKCS12 -srckeystore iOS_prod.p12

これらのコマンドは次を想定しています。

aps_production.cerがApple Developer CenterからダウンロードしたAPNs証明書の名前である。
OMAKey.p12は、ローカルに生成されたユーザーの秘密キーである。

「UMS、iOSおよびAndroidの資格証明の設定」も参照してください。

ノート:

次のApple URLの証明書、識別子およびプロファイルのメンテナンスに関する項では、アプリケーション配信の証明書およびAPNsの関連情報が提供されます。https://developer.apple.com/library/ios/documentation/IDEs/Conceptual/AppDistributionGuide/Introduction/Introduction.html

35.4.6 Androidアクセス・リクエスト(プッシュ)通知用のホスト名検証の構成

Androidのアクセス・リクエスト通知を設定する場合は、WebLogicコンソールを使用してWebLogic管理対象サーバーのホスト名検証を更新します。

このステップは、Androidのアクセス・リクエスト通知を構成する場合にのみ必要です。これにより、ホスト名の検証にワイルドカードを使用できます。例: *.googleapis.com

Androidアクセス・リクエスト(プッシュ)通知用にホスト名検証を構成するには、次のようにします。

「base_domain」→「環境のサマリー」→「サーバーのサマリー」→「oam_server1」の順に選択します。
「SSL」タブをクリックします。
「詳細」を開き、「ホスト名の検証」エントリを選択してホスト名検証を構成します。
「カスタム・ホスト名の検証」としてweblogic.security.utils.SSLWLSWildcardHostnameVerifierを入力します。
「保存」をクリックします。
oam_server1を再起動します。

35.4.7 ユースケースにおけるVPN用のAccess Managerの構成

ユーザーが保護されたリソースにVPNソフトウェアを使用してアクセスする必要がある場合に、Access Managerを構成できます。

ユースケースでVPN用にAccess Managerを構成するには、次のようにします。

システム管理者としてOracle Access Managementコンソールにログインします。
「アプリケーション・セキュリティ」起動パッドから、「Access Manager」パネルの「アプリケーション・ドメイン」をクリックします。
「アプリケーション・ドメイン」タブが表示されます。
「検索」をクリックして、すべての使用可能なアプリケーション・ドメインを表示します。
保護するリソースが含まれるアプリケーション・ドメイン名をクリックします。
新しいタブに「アプリケーション・ドメイン」が開きます。
「アプリケーション・ドメイン」タブで、「認証ポリシー」をクリックします。
2ファクタ認証を構成する特定のリソースの保護に使用する認証ポリシーの名前をクリックします。
新しいタブに、該当する認証ポリシーが開きます。
「認証ポリシー」タブで、「拡張ルール」をクリックします。
ポスト認証の下にあるプラス記号(+)をクリックして、新しいルールを追加します。
「ルールの追加」ダイアログが表示されます。
ルール名および次のjythonスクリプトを入力します。
location.clientIP.startswith('10.')

「拡張ルールのコンテキスト・データ」を参照してください。
「条件がtrueの場合」ドロップダウン・リストから、「AdaptiveAuthenticationScheme」認証スキームを選択します。
定義された条件がtrueの場合、この認証スキームが使用されます。
「追加」→「適用」の順にクリックして、手順を完了します。