Oracle Advanced Authenticationの理解

統合エージェント

OAAでは、OAAと統合するクライアントは、統合エージェントと呼ばれます。統合できるのは、REST APIベース(Oracle RADIUS Agent (ORA)など)か、TAPを介したブラウザベース(Oracle Access Management (OAM)など)のいずれかです。

統合エージェントは、OAAに登録し、管理コンソールUIで管理できます。

保証レベル

保証レベルは、統合エージェントで必要とされる保証のレベルを示します。これは、統合エージェントとOAAの間の重要な契約で、ユーザー・ログイン・フローに対してルールの実行が強制されます。OAAは、そのフローにリンクされたルールを実行し、マルチファクタ認証(MFA)のオーケストレーションを決定します。

保証レベルは、NISTの推奨事項と緊密に連携するように定義できます。ただし、これは必須ではないため、保証レベルには読みやすい方法で名前を付けることができます。

1つの統合エージェントには複数の保証レベルを割り当てられますが、1つの保証レベルを関連付けられる統合エージェントは1つのみです。保証レベルの例を次に示します:

RADIUS統合エージェントでは、Radius_DB12_ALという名前の保証レベルを定義して、統合エージェントがDB12クライアントからユーザーを管理していることを示すことができます
OAMサーバーは、OAM_AuthLevel6という名前の保証レベルを定義して、リソースがOAMを使用して認証レベル6で保護されていることを示すことができます。
OAMサーバーは、PasswordLess1いう名前の保証レベルを定義して、リソースがPasswordlessスキームによって保護されていることを示すことができます。

チャレンジ・ファクタ

チャレンジ・ファクタは、ユーザーにチャレンジを提示し、ユーザーが予期される入力を正しく行ったかどうかを確認します。

OAAでは、電子メール、SMS、時間ベースのワンタイム・パスコード(TOTP)、FIDO2、Yubikey、ナレッジベース認証(KBA)、プッシュ通知などのファクタをすぐに使用できます。

ルール

各統合エージェントには複数の保証レベルを割り当てることができ、各保証には複数のルールを指定できます。各ルールには、それぞれ独自のファクタの結果があります。

ルール: ルールは、ユーザーIDやIPアドレスなどのユーザーの属性を条件と組み合せた式です。実行時に、実際の値がこの式に代入され、ルールの結果がアクションのグループとして計算されます。

条件: 条件は、コンテキストに基づいて、等しい、等しくない、グループ内などの演算子と属性を比較する式です。