11.10 ファクタ検証の構成
OAAでは、ファクタ検証を構成できます。ファクタ検証では、ファクタが追加された後、ユーザーがセルフサービス・ポータルでファクタを検証できます。これにより、ユーザーはファクタがユーザーのチャレンジで使用される前に機能していることを確認できます。デフォルトでは、ファクタ検証は無効になっています。
11.10.1 検証統合エージェントの作成
ファクタ検証を有効にするには、検証統合エージェントを作成する必要があります。
統合エージェントは、REST APIまたはOAA管理UIコンソールのいずれかを使用して作成できます。REST APIを使用した統合エージェントの作成の詳細は、Oracle Advanced Authenticationでの管理用REST APIを参照してください。
検証統合エージェントを作成するには:
- OAA管理コンソール
https://<AdminUrl>
にログインします。コンソールはOAM OAuthで保護されているため、OAMログイン・ページにリダイレクトされます。資格証明およびログインを指定します。 - 「クイック・アクション」で、その他の統合エージェントの作成を選択します。
- 統合エージェントの作成ウィンドウで、次の指定を行います:
- 名前: 統合エージェントの名前を入力します(例:
VerificationFlowAgent
)。ノート:
プロパティoaa.default.spui.pref.runtime.verification.agentId
は、デフォルトでVerificationFlowAgent
に設定されます。エージェントに別の名前を指定する場合は、一致するようにプロパティを構成する必要があります。「ファクタ検証のプロパティの構成」を参照してください。 - 説明: 統合エージェントの説明を追加します。
- 統合エージェント・タイプ: デフォルトで「API」が選択されています。
- 「保存」をクリックします。
- 名前: 統合エージェントの名前を入力します(例:
次のステップ: 検証統合エージェントの保証レベルの作成。
11.10.2 検証統合エージェントの保証レベルの作成
検証統合エージェントの保証レベルを作成します。
保証レベルは、REST APIまたはOAA管理UIコンソールを使用して作成できます。REST APIを使用した統合エージェントの作成の詳細は、Oracle Advanced Authenticationでの管理用REST APIを参照してください。
検証統合エージェントの保証レベルを作成するには:
- 「統合エージェント」ウィンドウで、保証レベルを作成する必要がある検証統合エージェントを選択します。
- 「保証レベル」タブで、「作成」をクリックします
- 必要な詳細を指定します:
- 名前: この保証レベルの名前を指定します(たとえば、
FactorVerificationAL
)。ノート:
プロパティoaa.default.spui.pref.runtime.verification.assuranceLevel
は、デフォルトでFactorVerificationAL
に設定されます。保証レベルに別の名前を指定する場合は、一致するようにプロパティを構成する必要があります。「ファクタ検証のプロパティの構成」を参照してください - 説明: 保証レベルの説明を入力します。
- 「作成」をクリックします。
- 作成された保証レベルをクリックします。
- 「使用」で、ファクタ検証を構成するファクタを選択します。
ノート:
ファクタ検証は、Oracle Mobile Authenticator、OMAプッシュ通知チャレンジ、電子メール・チャレンジ、Yubico OTPチャレンジおよびSMSチャレンジでのみサポートされています。
- 名前: この保証レベルの名前を指定します(たとえば、
- 「保存」をクリックします。
次のステップ: ファクタ検証のプロパティの構成。
11.10.3 ファクタ検証のプロパティの構成
ファクタ検証を有効にするには、構成プロパティを設定する必要があります。
次の表に、ファクタ検証を有効にするために構成する必要があるOAAプロパティを示します。
表11-4 ファクタ検証プロパティ
プロパティ名 | 説明 | デフォルト値 |
---|---|---|
oaa.default.spui.pref.runtime.verification.enabled |
このプロパティは、ファクタ検証が有効か無効かを決定します。ファクタ検証を有効にするには、この値をtrue に設定します |
false |
oaa.default.spui.pref.runtime.verification.agentId |
検証統合エージェントの名前。デフォルトのVerificationFlowAgent 以外の名前で検証エージェントを作成する場合は、このプロパティを、作成したエージェントの名前に設定する必要があります。
|
VerificationFlowAgent |
oaa.default.spui.pref.runtime.verification.assuranceLevel |
検証エージェントの保証レベルの名前。デフォルトのFactorVerificationAL 以外の名前で保証レベルを作成する場合は、このプロパティを、作成した保証レベルの名前に設定する必要があります。
|
FactorVerificationAL |
<PolicyUrl>/policy/config/property/v1
REST APIを使用して、プロパティを構成します。
ノート:
この場合は、<PolicyUrl>
から/oaa-policy
を削除します。たとえば、https://<host>:<port>/oaa-policy/policy/config/property/v1
ではなくhttps://<host>:<port>/policy/config/property/v1
を使用しますPolicyUrl
の検索および認証の詳細は、「OAA管理API」を参照してください。
構成プロパティRESTエンドポイントの詳細は、「構成プロパティRESTエンドポイント」を参照してください。
次のステップ: ファクタ検証のテスト。
11.10.4 ファクタ検証のテスト
ファクタ検証をテストするには:
- ブラウザを起動して
https://<SpuiURL>
にアクセスし、セルフサービス・ポータルにアクセスします。ユーザーは、OAM OAuthアイデンティティ・ストアで設定されたユーザー名とパスワードを使用してコンソールにログインします。 - 「認証ファクタ」で、「認証ファクタの追加」を選択し、認証ファクタを選択します。この例では、「電子メール・チャレンジ」が選択されています。
- 「電子メールによるセキュリティ・コードの設定」ページで、「わかりやすい名前」および「電子メール・アドレス」を入力します。ファクタ検証が有効になっている場合、「今すぐ確認」と「後で確認」の2つの新しいオプションが表示されます。
「今すぐ確認」を選択した場合は、検証コードを入力するよう求められます。この例では、検証コードは電子メール・アドレスに送信されます。電子メールの検証コードを入力し、「確認および保存」を選択します。検証が成功すると、「認証ファクタ」画面に戻り、認証ファクタが「有効」として表示されます。
ノート:
「後で確認」を選択した場合、追加されたファクタは、検証されるまでユーザー・チャレンジに表示されません。「後で確認」を選択すると、ファクタは「未検証」として保存されます。「認証ファクタ」画面のファクタ・ドロップダウン・メニューから「確認」を選択して検証できます。ファクタが検証されると、「有効」と表示されます。
ノート:
ファクタ検証を有効にする前に追加したファクタには、「有効」または「無効」のいずれかが表示され、検証を実行する必要はありません。アップグレードに関する重要なノート
ファクタ検証がサポートされていない以前のリリースからアップグレードする場合、アップグレード後に、以前に登録されたすべてのユーザーのファクタが自動的に検証されます。これは、ユーザーに対して以前に有効または無効にしたすべてのファクタに当てはまります。アップグレード後にユーザー用に登録される新規ファクタでは、ファクタ検証が使用されます。