Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
Access Manager、WebゲートおよびOracle HTTP Server (OHS)をすでにインストールしている場合は、アダプティブ認証サービスを構成できます。
これらの構成の一部は、アダプティブ認証サービス・オプションのいずれかに固有の構成です。
この節では、以下のトピックについて説明します。
次のRESTfulエンドポイントは、ユーザーの秘密キーをOracle Access Managementアイデンティティ・ストアに生成する場合に使用されます。
http://<HOST>:<PORT>/ms_oauth/resources/userprofile/secretkey
OMAオンライン構成(Oracleの推奨の構成方法)の場合、OMAはRESTfulエンドポイントを使用してユーザーのキーをアイデンティティ・ストアに格納します。OMA手動構成またはGoogle Authenticatorの場合、ユーザーが前述のRESTfulエンドポイントを使用しても秘密キーを生成できるWebアプリケーションを管理者が設定します。秘密キーは、アイデンティティ・ストアのLDAP属性に文字列として格納され、秘密キーを生成する前に、この属性の名前をRESTfulエンドポイント構成のビジネスに渡す必要があります。
「Oracle Mobile Authenticator構成の理解」を参照してください。
Oracle Access ManagementコンソールでMobile and Socialサービスを有効にしてから、Basic認証スキームを使用してREST秘密キーエンドポイントを保護するようにユーザー・プロファイル・サービスを更新します。
秘密キーを保護するようにモバイルOAuthサービスを構成するには、次のようにします。
「/secretkey」
タブから、「属性」を開きます。basicauth.allowed
の値をtrueに変更します。Access Managerには、2ファクタ認証に使用できるアダプティブ認証プラグインが用意されています。
Oracle Access Managementコンソールでアダプティブ認証プラグインを構成するには、次のようにします。
WLSTコマンド行スクリプトを使用して、Oracle User Messaging Service (UMS)、iOS証明書またはAndroid APIキーの資格証明を設定します。
これらの資格証明は、SMS/電子メールおよびプッシュの通知を送信する過程でOAMサーバーによって使用されます。表35-2に、手順の完了に必要な情報を示します。
表35-2 アダプティブ認証サービスのサーバー側の構成
構成 | 情報 | チャレンジ・メソッド |
---|---|---|
iOSの証明書/パスワード |
iOSを使用したアクセス・リクエスト(プッシュ)通知 |
|
APIキー |
|
Androidを使用したアクセス・リクエスト(プッシュ)通知 |
UMSの資格証明 |
OAMがUMS Webサービスへの接続を確立するために使用するUMSの資格証明。 |
電子メール/SMS |
UMS、iOSおよびAndroidの資格証明を設定するには、次のようにします。
ノート:
Fusion Middleware Controlを使用した資格証明の更新、削除または他の方法による管理の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。
iOSでアクセス・リクエスト通知を使用する場合は、証明書ファイルおよびキー・ファイルを使用してJavaキーストア(JKS)を作成します。
JKSの作成後、APNsCertificate.jks
という名前に変更して、Oracle Access Managementインストールの<domain>
/config/fmwconfig
ディレクトリに格納します。JKSには、ローカルに生成されたユーザーの秘密キーおよびApple Developer CenterからダウンロードしたApple Push Notificationサービス(APNs)の証明書が含まれている必要があります。
次のサンプル・コマンドでは、証明書が生成されてインポートされます。
openssl x509 -in aps_production.cer -inform DER -out aps_production.pem -outform PEM openssl pkcs12 -nocerts -in OMAKey.p12 -out OMAKey.pem openssl pkcs12 -export -inkey OMAKey.pem -in aps_production.pem -out iOS_prod.p12 keytool -import -keystore APNsCertificate.jks -file aps_production.cer -alias PushCert keytool -importkeystore -destkeystore APNsCertificate.jks -deststoretype JKS -srcstoretype PKCS12 -srckeystore iOS_prod.p12
これらのコマンドは次を想定しています。
aps_production.cerがApple Developer CenterからダウンロードしたAPNs証明書の名前である。
OMAKey.p12は、ローカルに生成されたユーザーの秘密キーである。
「UMS、iOSおよびAndroidの資格証明の設定」も参照してください。
ノート:
次のApple URLの証明書、識別子およびプロファイルのメンテナンスに関する項では、アプリケーション配信の証明書およびAPNsの関連情報が提供されます。https://developer.apple.com/library/ios/documentation/IDEs/Conceptual/AppDistributionGuide/Introduction/Introduction.html
Androidのアクセス・リクエスト通知を設定する場合は、WebLogicコンソールを使用してWebLogic管理対象サーバーのホスト名検証を更新します。
このステップは、Androidのアクセス・リクエスト通知を構成する場合にのみ必要です。これにより、ホスト名の検証にワイルドカードを使用できます。例: *.googleapis.com
Androidアクセス・リクエスト(プッシュ)通知用にホスト名検証を構成するには、次のようにします。
weblogic.security.utils.SSLWLSWildcardHostnameVerifier
を入力します。