11.9 OAAの構成プロパティ
OAAには、チャレンジ・ファクタおよびその他の設定のプロパティを構成するためのREST APIが用意されています。
OAAの構成プロパティ
<PolicyUrl>/policy/config/property/v1 REST APIを使用して、プロパティを構成します。
ノート:
この場合は、<PolicyUrl>から/oaa-policyを削除します。たとえば、https://<host>:<port>/oaa-policy/policy/config/property/v1ではなくhttps://<host>:<port>/policy/config/property/v1を使用しますPolicyUrlの検索および認証の詳細は、「OAA管理API」を参照してください。
構成プロパティRESTエンドポイントの詳細は、「構成プロパティRESTエンドポイント」を参照してください。
| プロパティ名 | デフォルト値 | 説明 |
|---|---|---|
bharosa.uio.default.all.factor.challengecounter.expiryTime |
1800000
|
ファクタのチャレンジ・カウンタ・ロックの有効期限。これは、最大再試行失敗数が原因でチャレンジがロックされた後、ユーザーがチャレンジを使用できない状態のままになる期間です。 |
bharosa.uio.default.all.factor.retry.count |
10 |
ファクタのチャレンジの最大失敗再試行回数。この数を超えると、チャレンジはロックされます。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.appName |
OAA |
アプリケーションの名前。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.challengeText |
Enter OTP sent to {0}. |
エンドユーザーのチャレンジ・ページにワンタイムPIN (OTP)の入力を求めるメッセージ。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.fromAddress |
oaa@oracle.com |
電子メール送信エンティティの電子メール・アドレス。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.fromName |
OAA |
送信元電子メール送信エンティティの名前。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.msgIPTemplate |
IP Address: |
メッセージIPアドレスを表示する電子メール・テンプレートの一部 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.msgPinTemplate |
Please use following one time pin to login to protected resource: |
ワンタイムPIN (OTP)を表示する電子メール・テンプレートの一部。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.msgResourceURLTemplate |
Resource URL Access: |
メッセージ・リソースURLを表示する電子メール・テンプレートの一部。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.msgSubject |
One Time Pin: OAA |
電子メール・テンプレートの件名タイトル |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.challengeCounterExpiryTime |
1800000
|
チャレンジ・カウンタ・ロックの有効期限。これは、最大再試行失敗数が原因でチャレンジがロックされた後、ユーザーがチャレンジを使用できない状態のままになる期間です。
値を指定しない場合、 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.retrycount |
|
チャレンジの最大失敗再試行回数。この数を超えると、チャレンジはロックされます。
値を指定しない場合、 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.msgTimeTemplate |
Time of Access: |
メッセージ時間を表示する電子メール・テンプレートの一部。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.promptmessage |
Send OTP to {0} |
エンドユーザーのチャレンジ・ページで使用される電子メールを介してワンタイムPIN (OTP)の送信を求めるメッセージ。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.promptselectmessage |
Please select one of following addresses to receive OTP. |
エンドユーザーのチャレンジ・ページでワンタイムPIN (OTP)をユーザーに送信するアドレスの選択を求めるメッセージ。 |
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.challengeText |
Enter OTP from device {1} |
エンドユーザーのチャレンジ・ページに時間ベースのワンタイムPIN (OTP)を入力するよう求めるメッセージ。 |
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.promptselectmessage |
Please select one of following channels |
エンドユーザーのチャレンジ・ページでユーザーに時間ベースのワンタイムPIN (OTP)を送信するチャネルの選択を求めるメッセージ。 |
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.challengeCounterExpiryTime |
1800000
|
チャレンジ・カウンタ・ロックの有効期限。これは、最大再試行失敗数が原因でチャレンジがロックされた後、ユーザーがチャレンジを使用できない状態のままになる期間です。
値を指定しない場合、 |
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.retrycount |
|
チャレンジの最大失敗再試行回数。この数を超えると、チャレンジはロックされます。
値を指定しない場合、 |
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.registration.showSecretKeyText |
true |
Oracle Mobile Authenticator、Google AuthenticatorまたはMicrosoft Authenticatorで使用するために、秘密キーをセルフサービス・ポータルに表示します。値がfalseに設定されている場合、秘密キーは表示されません。
|
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.registration.showQrcode |
true |
Oracle Mobile Authenticator、Google AuthenticatorまたはMicrosoft Authenticatorで使用するために、セルフサービス・ポータルにQRコードを表示します。値がfalseに設定されている場合、QRコードは表示されません。
|
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.keyExpiryEnabled |
false |
秘密キーの有効期限が有効であるかどうかを示すブール値。有効にすると、チャレンジ・フロー中に時間ベースのワンタイム・パスコード(TOTP)秘密キーの有効期限がチェックされます。キーの期限が切れている場合、チャレンジ・フローは失敗し、キーは削除されます。キーの期限が切れていない場合、チャレンジ・フローは通常どおり続行されます。 |
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.keyExpiryTimeMinutes |
60
|
キーの有効期限(分)を指定します。これは正の整数にする必要があります。 |
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.registration.otpexpirytimeMs |
300000
|
時間ベースのワンタイム・パスコード(TOTP)で生成された登録URLのタイムアウトをミリ秒単位で指定します。 |
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.registration.oma.config |
oraclemobileauthenticator://settings?ServiceName::=%deviceName%&ServiceType::=SharedSecret&SharedSecretAuthServerType::=HTTPBasicAuthentication&LoginURL::=%totpRegistrationEndpoint%/oaa/rui/totpPreferences/v1ノート: |
|
database.cache.type.enum.factor.expiryTime |
値はbharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.registration.otpexpirytimeMs以上である必要があります。指定しない場合、デフォルト値は |
キャッシュ・タイムアウトを秒単位で指定します。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.challengeCounterExpiryTime |
1800000
|
チャレンジ・カウンタ・ロックの有効期限。これは、最大再試行失敗数が原因でチャレンジがロックされた後、ユーザーがチャレンジを使用できない状態のままになる期間です。
値を指定しない場合、 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.retrycount |
|
チャレンジの最大失敗再試行回数。この数を超えると、チャレンジはロックされます。
値を指定しない場合、 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.appName |
OAA |
アプリケーションの名前。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.challengeText |
Enter OTP sent to {0}. |
エンドユーザーのチャレンジ・ページにワンタイムPIN (OTP)の入力を求めるメッセージ。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.fromAddress |
oaa@oracle.com |
SMS送信エンティティの携帯電話番号。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.fromName |
OAA |
送信元SMS送信エンティティの名前。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.msgIPTemplate |
IP Address: |
メッセージIPアドレスを表示するSMSテンプレートの一部。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.msgPinTemplate |
Please use following one time pin to login to protected resource: |
ワンタイムPIN (OTP)を表示するSMSテンプレートの一部。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.msgResourceURLTemplate |
Resource URL Access: |
メッセージ・リソースURLを表示するSMSテンプレートの一部。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.msgSubject |
One Time Pin: OAA |
SMSテンプレートの件名タイトル |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.msgTimeTemplate |
Time of Access: |
メッセージ時間を表示するSMSテンプレートの一部。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.promptmessage |
Send OTP to phone {0} |
エンドユーザーのチャレンジ・ページで使用されるSMSを介したワンタイムPIN (OTP)の送信を求めるメッセージ。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.promptselectmessage |
Please select one of following numbers to receive OTP. |
エンドユーザーのチャレンジ・ページでワンタイムPIN (OTP)をユーザーに送信するアドレスの選択を求めるメッセージ。 |
bharosa.uio.default.challenge.type.enum.ChallengeTOTP.promptmessage |
Enter OTP from registered phone |
エンドユーザーのチャレンジ・ページで使用される時間ベースのワンタイムPIN (OTP)の送信を求めるメッセージ。 |
bharosa.uio.default.challenge.type.enum.ChallengeYubicoOTP.challengeCounterExpiryTime |
1800000
|
チャレンジ・カウンタ・ロックの有効期限。これは、最大再試行失敗数が原因でチャレンジがロックされた後、ユーザーがチャレンジを使用できない状態のままになる期間です。
値を指定しない場合、 |
bharosa.uio.default.challenge.type.enum.ChallengeYubicoOTP.retrycount |
チャレンジの最大失敗再試行回数。この数を超えると、チャレンジはロックされます。
値を指定しない場合、 |
|
bharosa.uio.default.challenge.type.enum.ChallengeFIDO2.challengeCounterExpiryTime |
1800000 |
チャレンジ・カウンタ・ロックの有効期限。これは、最大再試行失敗数が原因でチャレンジがロックされた後、ユーザーがチャレンジを使用できない状態のままになる期間です。
値を指定しない場合、 |
bharosa.uio.default.challenge.type.enum.ChallengeFIDO2.retrycount |
チャレンジの最大失敗再試行回数。この数を超えると、チャレンジはロックされます。
値を指定しない場合、 |
|
oracle.security.oaa.kba.challenge.number |
1 |
チャレンジ・フロー中にユーザーが回答を求められるセキュリティ質問の数。これは、セキュリティ質問の登録時にユーザーが回答したアクティブな質問の最大数以下の値に設定する必要があります。 ノート: このプロパティは、次の行で説明されている |
oracle.security.oaa.kba.challenge.separator |
| |
oracle.security.oaa.kba.challenge.numberが1より大きい値に設定されている場合、生成されたチャレンジには、oracle.security.oaa.kba.challenge.separatorの値で区切られた複数のチャレンジが1つの文字列として含まれます。例: What is your name?|What is your age?|What is your birthplace?。
チャレンジへの回答がOAAサーバーに提示されると、レスポンスも同じセパレータで区切られることが予想されます。 デフォルトの値は いずれかの質問または回答に値 この値をオーバーライドするには、 ノート: セパレータを変更すると、処理中のKBA認証に影響を与える可能性があるため、この構成の更新はKBAサービスがオフラインのときに実行してください。 |
oaa.user.auth.question.authn.counter.enabled |
true |
このプロパティがtrueの場合、リスク・カウンタが増分されます。
|
oaa.user.auth.question.next.seq |
false |
このプロパティがfalseで、oaam.kba.questions.randomorderがtrue、かつoracle.security.oaa.kba.challenge.numberが1の場合、ピックリストから選択された質問はランダムになります。それ以外の場合は、ピックリストからの質問が順番にチャレンジされます。
|
oaam.kba.questions.randomorder |
false |
このプロパティがtrueで、oaa.user.auth.question.next.seqがfalse、かつoracle.security.oaa.kba.challenge.numberが1の場合、ピックリストから選択された質問はランダムになります。それ以外の場合は、ピックリストからの質問が順番にチャレンジされます。
|
bharosa.kba.questions.trim.answers.for.matching |
true |
このプロパティをtrueに設定すると、照合前に回答および一致した値が切り捨てられます。
|
oaa.browser.cookie.domain |
OAA-OARMインストールの場合、デバイスCookieを正しく収集するには、これがOAAホスト・ドメインに設定されている必要があります。たとえば、https://oaa.example.comでOAAにアクセスできる場合は、値をoaa.example.comに設定します。
|
|
oaa.risk.integration.postauth.cp |
postauth |
OAA保証レベルのデフォルトのリスク保証レベルを定義します。デフォルト値は ノート: このプロパティは、OAA-OARM統合に関連しています。 |
oaa.policy.assurance.level.default.action |
Challenge |
OAA保証レベルに関連付けるデフォルト・アクションを定義します。 ノート: このプロパティは、OAA-OARM統合に関連しています。 |
profile.type.enum.<AssuranceLevelKey>.riskcheckpoint |
既存の保証レベルに関連付けられたチェックポイント。 ノート: このプロパティは、OAA-OARM統合に関連しています。 |
|
profile.type.enum.<AssuranceLevelKey>.defaultaction |
既存の保証レベルに関連付けられたデフォルト・アクション。使用可能な値は、 ノート: このプロパティは、OAA-OARM統合に関連しています。 |
|
rule.action.enum.<actionName>.priority |
アクションの優先度を定義します。整数値または最も高い優先度を示す文字列"max"を指定できます。次に例を示します: ノート: このプロパティは、OAA-OARM統合に関連しています。 |
|
default.all.factor.bypassChallenge.durationInMinutes |
ログインが成功した後、ユーザーがチャレンジされなくなる期間を指定します。
ノート: プロパティを負の値に設定すると、この機能を無効にできます。 |
OUAの構成プロパティ
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.retrycount (<PolicyUrl>エンドポイントを使用する)以外のすべてのプロパティは、<DRSS>/oaa-drss/oua/property/v1 REST APIエンドポイントを使用して設定する必要があります。
| プロパティ名 | デフォルト値 | 説明 |
|---|---|---|
| 一般的なパラメータ | ||
echo.elapsed.time |
2 |
このプロパティは、到達不可能なデバイスの数を決定するために必要です。デフォルト値'2'は、デバイスがエコー/ハートビートを2時間送信しない場合、到達不可能なデバイスとして認識されることを意味します。 |
oua.drss.lcm.heartbeatFrequency |
1800000 |
デバイス・ハートビート・コール間の間隔をミリ秒単位で指定します。 |
oua.drss.lcm.pollingFrequency |
43200000 |
新しいOracle Universal Authenticatorクライアント・ソフトウェア・バージョンをチェックする間隔をミリ秒単位で指定します。 |
oua.drss.lcm.monitoringFrequency |
10000 |
モニタリング・エージェントがOUADesktopHelperおよびOUAUpgradeAgentプロセスのチェックおよび再起動(必要な場合)に使用する時間頻度をミリ秒単位で指定します。 |
oua.drss.ssoLoginUrl |
OAMエンドポイントの値を指定します。デフォルトでは、この値は設定されず、OAMログインURLがinstallOAA.propertiesのoua.oamRuntimeEndpointに指定された値と異なる場合にのみ設定する必要があります。「Oracle Universal Authenticatorの構成」を参照してください。
サンプル値は |
|
oua.drss.cookieParameter |
path=/; secure; HttpOnly |
OUAクライアントおよびSSOブラウザ拡張機能によって設定されたOAM_ID CookieのCookieパラメータを指定します。この値は、組織のセキュリティおよびプライバシ・ポリシーに基づいて変更できます。たとえば、secure;partitionedです。オプションについては、「Set-Cookie」を参照してください。
|
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.retrycount |
10 |
チャレンジの最大再試行失敗数を指定します。この数を超えると、チャレンジはロックされます。Oracle Universal AuthenticatorでOMAプッシュ通知チャレンジを使用する場合は、この値を50に設定する必要があります。 |
| パスワード管理のパラメータ | ||
oua.drss.password.reset.forgoturl |
ユーザーが"パスワードを忘れた場合"のプロセスを開始できるURLを指定します。このURLを通じて、ユーザーはセキュリティの質問に回答するか、アカウントに構成されている他のリカバリ・メカニズムを利用して、パスワードをリセットするように誘導されます。「パスワード管理」を参照してください。 | |
oua.drss.password.reset.url |
ユーザーがパスワードをリセットできるURLを定義します。このURLにアクセスすると、ユーザーはセキュリティの質問への回答などのアクションによってアイデンティティを検証し、アカウントの新しいパスワードの作成に進むことができます。「パスワード管理」を参照してください。 | |
oua.drss.password.reset.supportedBrowsers |
chrome、firefox | システムでサポートされているブラウザの概要を示します。忘れた場合のURLまたはリセットのURLをOUA内から呼び出すと、ブラウザが開きます。
ノート: このリリースでは、Google ChromeおよびMozilla Firefoxのみがサポートされています。「パスワード管理」を参照してください。 |
| 構成可能なチャレンジのパラメータ | ||
oua.drss.skipPrimaryAuthDurationWithLastFullAuth |
1800秒(30分) | 最後の完全OAMログインからの期間を指定します。前回の完全OAMログインがこの期間内である場合、ユーザーはOAMパスワードの入力を求められず、第2ファクタのみを使用して認証できます。期間が経過すると、ユーザーはOAM資格証明全体を入力するように求められ、その後に第2ファクタを求められます。 |
oua.drss.skipPrimaryAuthDurationWithLastMFAOnlyAuth |
600秒(10分) | 最後に成功した第2ファクタのみのログイン時刻からの期間を指定します。この期間内にユーザーが第2ファクタのみのログインを実行した場合、ユーザーはOAMパスワードの入力を求められず、第2ファクタのみを使用して認証できます。その期間が経過すると、ユーザーはOAM資格証明の入力を求められ、その後に第2ファクタを求められます。 |
oua.drss.skipPrimaryAuthFactorTrustLevel |
3 |
パスワードのスキップ・ルール評価の信頼レベル値を指定します。 信頼レベルは、 デフォルトの信頼レベルは次のとおりです。
たとえば、TrustLevel=3の場合は、レベル3以上に割り当てられているすべてのファクタでパスワードレス・ログインを実行できます。 管理者は、次の行に示す
bharosa.uio.default.challenge.type.enum.{FACTOR_KEY}.oua.trustLevelパラメータを使用して、個々のファクタの信頼レベルを変更できます。
ノート: FIDO2およびセキュリティ質問チャレンジは、Oracle Universal Authenticatorでは現在サポートされていません。 |
bharosa.uio.default.challenge.type.enum.ChallengeSMS.oua.trustLevel |
1 | SMSチャレンジの信頼レベルを設定します。 |
bharosa.uio.default.challenge.type.enum.ChallengeOMATOTP.oua.trustLevel |
2 | OMA TOTPチャレンジの信頼レベルを設定します。 |
bharosa.uio.default.challenge.type.enum.ChallengeYubicoOTP.oua.trustLevel |
2 | Yubikey Yubico OTPチャレンジの信頼レベルを設定します。 |
bharosa.uio.default.challenge.type.enum.ChallengeEmail.oua.trustLevel |
3 | 電子メール・チャレンジの信頼レベルを設定します。 |
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.oua.trustLevel |
4 | OMAプッシュ・チャレンジの信頼レベルを設定します。 |
oua.drss.allowPrimaryAuthDuringMFAOnly |
true | 第2ファクタのみのログイン時に、OAMパスワードを使用してログインするオプションをユーザーに付与するかどうかを決定します。 |
ユーザー・インタフェースをカスタマイズするための構成プロパティ
OAA管理コンソール、セルフサービス・ポータルおよびランタイムUIのユーザー・インタフェース(UI)をカスタマイズするプロパティを構成するには、「OAAユーザー・インタフェースのカスタマイズ」を参照してください。
ファクタ検証の構成プロパティ
ファクタ検証のプロパティを構成するには、「ファクタ検証の構成」を参照してください。