1.4 Oracle Advanced Authenticationの理解
OAAでは、次の用語が使用されます:
統合エージェント
OAAでは、OAAと統合するクライアントは、統合エージェントと呼ばれます。統合できるのは、REST APIベース(Oracle RADIUS Agent (ORA)など)か、TAPを介したブラウザベース(Oracle Access Management (OAM)など)のいずれかです。
統合エージェントは、OAAに登録し、管理コンソールUIで管理できます。
保証レベル
保証レベルは、統合エージェントで必要とされる保証のレベルを示します。これは、統合エージェントとOAAの間の重要な契約で、ユーザー・ログイン・フローに対してルールの実行が強制されます。OAAは、そのフローにリンクされたルールを実行し、マルチファクタ認証(MFA)のオーケストレーションを決定します。
保証レベルは、NISTの推奨事項と緊密に連携するように定義できます。ただし、これは必須ではないため、保証レベルには読みやすい方法で名前を付けることができます。
1つの統合エージェントには複数の保証レベルを割り当てられますが、1つの保証レベルを関連付けられる統合エージェントは1つのみです。保証レベルの例を次に示します:
- RADIUS統合エージェントでは、
Radius_DB12_AL
という名前の保証レベルを定義して、統合エージェントがDB12クライアントからユーザーを管理していることを示すことができます - OAMサーバーは、
OAM_AuthLevel6
という名前の保証レベルを定義して、リソースがOAMを使用して認証レベル6で保護されていることを示すことができます。 - OAMサーバーは、
PasswordLess1
いう名前の保証レベルを定義して、リソースがPasswordless
スキームによって保護されていることを示すことができます。
チャレンジ・ファクタ
チャレンジ・ファクタは、ユーザーにチャレンジを提示し、ユーザーが予期される入力を正しく行ったかどうかを確認します。
OAAでは、電子メール、SMS、時間ベースのワンタイム・パスコード(TOTP)、FIDO2、Yubikey、ナレッジベース認証(KBA)、プッシュ通知などのファクタをすぐに使用できます。
ルール
各統合エージェントには複数の保証レベルを割り当てることができ、各保証には複数のルールを指定できます。各ルールには、それぞれ独自のファクタの結果があります。
ルール: ルールは、ユーザーIDやIPアドレスなどのユーザーの属性を条件と組み合せた式です。実行時に、実際の値がこの式に代入され、ルールの結果がアクションのグループとして計算されます。
条件: 条件は、コンテキストに基づいて、等しい、等しくない、グループ内などの演算子と属性を比較する式です。