OAMでのパスワードレス認証の使用
この項では、OAMにおけるパスワードレス認証とその構成の概要を説明します。
パスワードレス・ログインについて
OAMにはパスワードレス認証が用意されており、モバイル・デバイスの使用時に標準のWebフォーム・ベースの認証をバイパスできます。パスワードレス認証を使用すると、ユーザー名とパスワードを毎回入力しなくても、保護されたリソースにアクセスできます。ただし、初回ログインは標準のログイン・フォームを介して行われます。
保護されたリソースに初めてアクセスするときは、標準のログイン・フォームにリダイレクトされます。ログインに成功すると、通知ベースのパスワードレス認証を有効にできます。
次回(以降)、保護されたページにアクセスしてログインするよう要求されたときに、(標準のログイン・ページではなく)ご使用のモバイル・デバイスにプッシュ通知が送信されることを示すメッセージが表示されます。認証するには、登録済モバイル・デバイスでOracle Mobile Authenticator (OMA)アプリケーションを開き、アクセスを許可する必要があります。その後、保護されたページにリダイレクトされます。
OMAはモバイル・アプリケーションであり、モバイル・デバイスにインストールしてOAMに登録する必要があります。OMAの詳細は、「Oracle Mobile Authenticatorの構成」を参照してください。
OAMは、パスワードレス・ログインを構成するための、アダプティブ認証プラグイン、パスワードレス・プラグイン、モジュールおよびスキームを提供します。「OAMでのパスワードレス・ログインの構成」を参照してください。
カスタム・ページ・フレームワークを使用して、次のページをパスワードレス・スキームおよび第2ファクタ認証(SFA)用にカスタマイズできます:
- ログイン・ページ
- チャレンジ・ページ
- チャレンジ選択ページ
- チャレンジ回答ページ
- 待機中ページ(中間ページ)
詳細は、「カスタム・ページの開発」を参照してください。
OAMでのパスワードレス・ログインの構成
パスワードレス認証を使用すると、モバイル・デバイスの使用時に標準のWebフォーム・ベースの認証をバイパスできます。OAMを使用してパスワードレス認証を構成できます。
この項では、パスワードレス・ログインを構成するステップについて説明します:
- アダプティブ認証サービスの有効化
- プッシュ通知をサポートするアダプティブ認証サービス・プラグインの構成
- iOSおよびAndroid用の資格証明の設定とAppleプッシュ通知サービスおよびOMA用の証明書の構成。
- パスワードレス認証モジュールおよびスキームの構成
- パスワードレス・スキームによるリソースの保護
パスワードレス認証モジュールおよびスキームの構成
パスワードレス認証モジュールおよびスキームのパラメータを構成します。パスワードレス認証プラグインはOAMインストールの一部として使用可能であり、個別に構成する必要はありません。
この項では、パスワードレス認証モジュールおよびスキームで構成する必要があるパラメータについて詳しく説明します。
パスワードレス認証モジュール
パスワードレス認証モジュールは、UserIdentificationPlugin、UserAuthenticationPluginおよびPasswordlessPluginをパスワードレス認証プロセスの個別のステップとして提供します。
- システム管理者としてOracle Access Managementコンソールにログインします。
- 「アプリケーション・セキュリティ」起動パッドで、「プラグイン」の下にある「認証モジュール」をクリックします。
- 「認証モジュール」タブで、「PaswordlessModule」を検索します。
- パスワードレス認証モジュールのプロパティを次のように更新します:
表-33 UserIdentificationステップ
| ステップの詳細 | 説明 |
|---|---|
| KEY_IDENTITY_STORE_REF |
モジュール・ユーザーを含んだ、登録済アイデンティティ・ストアの名前。 デフォルト: 登録済デフォルト・ストア |
| KEY_LDAP_FILTER | KEY_LDAP_FILTER属性にLDAPフィルタを追加します。LDAP検索フィルタの定義に使用できるのは、標準LDAP属性のみです。たとえば: (uid={KEY_USERNAME}) |
| KEY_SEARCH_BASE_URL | ユーザーの検索のベースURL。たとえば: dc=us,dc=example,dc=com |
表-34 UserAuthenticationステップ
| ステップの詳細 | 説明 |
|---|---|
| KEY_PROP_AUTHN_EXCEPTION | LDAPエラーの伝播を有効または無効にします。 |
| KEY_IDENTITY_STORE_REF |
モジュール・ユーザーを含んだ、登録済アイデンティティ・ストアの名前。 デフォルト: 登録済デフォルト・ストア |
| KEY_ENABLE_AUTHN_FAILOVER | パラメータがfalseの場合、userpasswordは認証コンテキストから削除されるため、後続のプラグインでは使用できません。
デフォルト: |
| KEY_PROP_AUTHN_LEVEL | 特定の値に設定すると、その値は認証済ユーザーのサブジェクト内でOAMAuthnLevelPrincipalとして設定されます。
|
表-35 Passwordlessステップ
| ステップの詳細 | 説明 |
|---|---|
| IdentityStoreRef | モジュール・ユーザーを含んだ、登録済アイデンティティ・ストアの名前。
デフォルト値は登録済デフォルト・ストアです。 |
| PushProxyProtocol | プロキシ・プロトコル。 |
| PushProxyHost | プロキシを使用して通知をサーバーに送信する場合のプロキシ・ホストの名前。 |
| PushProxyPort | プロキシを使用して通知をサーバーに送信する場合のプロキシ・ポート。 |
| PushTitleMsg | ユーザーのデバイス上のOMAアプリケーションに送信されるメッセージのタイトル。 |
| PushExpiryTimeMs | サーバーにプッシュ通知が送信されてから、プッシュ通知が期限切れとみなされるまでの時間。
デフォルト値は |
| PushAPNsProdServer | trueに設定した場合、APNS本番サーバーが通知の送信に使用されます。
デフォルト値は |
| URL_ACTION | ユーザーを期限切れのページや警告ページなどの特定のパスワード・ページにリダイレクトするために必要となるサーブレットの処理のタイプ。
値として、次のいずれかを指定できます:
デフォルトは |
| URL_REDIRECT | ユーザーにパスワードレスの待機ページを表示する、リダイレクト先のURL。
このフィールドは、パスワードレス・ページのカスタマイズに必要です。 デフォルト値は |
| PasswordlessGroup | パスワードレス機能は、特定のユーザー・グループに制限できます。このフィールドを使用して、特定のユーザーのみがパスワードレス機能を使用できるように制限できます。
複数のグループを指定するには、 デフォルトは空です。つまり、構成済のIDストア内の全ユーザーについてパスワードレス機能が有効になっています。 |
| PasswordlessGroupDelimiter | PasswordlessGroupsに複数のグループを指定する場合に使用するデリミタ。
デフォルト値はカンマ( |
| DenyDisabledLockedUsers | この値がtrueに設定されている場合、無効状態およびロック状態のユーザーはパスワードレス機能を使用できません。
これらのユーザーは、常にパスワード・ベースの認証に移動されます。 デフォルト値は これは、パスワードレス・ベースの認証を使用しているユーザーが、OAMパスワード管理モジュールを使用して突然に無効化され、それが原因で当該ユーザーの認証が拒否される場合に必要です。 |
| CookieMaxAge | パスワードレス関連のCookieに関連するCookieの最大保持期間。
(最後のパスワードレス・ログイン以降)この期間が経過すると、ユーザーはパスワードを使用して再度ログインする必要があります。 デフォルト値は |
| CookieName | パスワードレス認証に対して設定されるパスワードレスCookieの名前。
デフォルト値は |
| CookieValidateBrowserFP | パスワードレスCookieについて、ブラウザのユーザー・エージェント文字列を検証するかどうかを制御します。
デフォルト値は |
| CookieValidateIpAddress | パスワードレスCookieについて、そのCookieが最初に設定されたIPアドレスを検証するかどうかを指定します。
デフォルト値は |
| CookieIssuedExpiration | Cookieが有効期限切れとみなされてから無効として構成されるまでの時間。
デフォルト値は |
| CookieRefreshExpiration | Cookieがリフレッシュされてから期限切れとみなされるまでの時間。
デフォルト値は この値はCookie値の一部として設定されるため、ブラウザ側からは変更できません。 |
| CookieDomain | パスワードレスCookieの作成時に使用されるドメイン。これはセキュリティ強化のために使用されます。
デフォルト値は空の文字列です。 |
| PushPurgeExpiredRequest | プッシュ通知用の記憶域を管理して、不要な期限切れのリクエストを保持しないように、サーバーが期限切れのプッシュ通知リクエストをパージできるようにします。
デフォルト値は |
| PushPollTimeMs | ブラウザがOAMサーバーにリクエストを再送して通知が実行されたかどうかを確認するまで待機する時間です。 |
| HandleFailedCounter | セキュリティを強化するため、常に拒否される通知をサーバーで対処できるようにします。
有効にすると、OAMサーバーは拒否されている通知を追跡し、その回数が デフォルト値は |
| EnableFailedCounterOnExpiry | オプション。通知が未応答になると、失敗カウンタを有効にできます。
有効にすると、カウンタは通知が未応答になった回数を追跡します。 未応答の回数が falseです。
|
| MaxFailureCounter | パスワード・ベースの認証が再トリガーされるまでに、通知に許可される失敗または未応答の最大回数。
デフォルト値は |
| ForceBiometric | 使用されません。 |
パスワードレス認証スキーム
ログイン・フォームをバイパスするには、パスワードレス認証スキームにチャレンジ・パラメータを設定します。
パスワードレス認証スキームは、パスワードレス・ログインが機能するために必要なすべての構成が設定されています。追加の構成は不要です。
ただし、パスワードレスの待機ページと認証前の最初のページをカスタマイズするには、パスワードレス認証スキームの次のパラメータを更新する必要があります:
チャレンジURLコンテキスト値コンテキスト・タイプ
ログイン・フォームをバイパスするには、チャレンジ・パラメータでinitial_commandがNONEに設定されていることを確認します。
認証スキームのすべてのパラメータの詳細は、「認証スキームおよびページ」を参照してください