1. Oracle Advanced AuthenticationおよびOracle Adaptive Risk Managementの管理
  2. Oracle Advanced Authenticationの管理
  3. Oracle Advanced Authenticationの構成
  4. Oracle Mobile Authenticatorのプッシュ通知の構成
  5. AndroidでのOracle Mobile Authenticatorのプッシュ通知の構成

11.12.1 AndroidでのOracle Mobile Authenticatorのプッシュ通知の構成

Oracle Mobile Authenticatorは、時間ベースのワンタイム・パスコード(TOTP)またはプッシュ通知を使用して2ファクタ認証スキームでユーザーを認証するモバイル・デバイス・アプリケーションです。OAAでは、OMAアプリケーションのプッシュ通知を構成できるようになりました。

OMAのプッシュ通知を使用した認証を求められると、Androidデバイスにプッシュ通知が配信され、ユーザーはログインの試行を許可または拒否する必要があります。プッシュ通知はOMAアプリケーションに配信され、その後OAAサーバーと通信して、保護されたリソースへのアクセス権が付与または拒否されます。

トピック

次のトピックでは、Androidでプッシュ通知を構成する方法について説明しています:

11.12.1.1 認証方法としてのOracle Mobile Authenticatorアプリケーションのインストール

Androidデバイス用のOMAアプリは、Google Playストアからダウンロードできます。

続行する前に、AndroidデバイスにOMAアプリがインストールされていることを確認してください。

11.12.1.2 Google Cloud Messagingに対応したGoogle Firebaseプロジェクトの作成

Androidデバイスにプッシュ通知を送信するには、Androidプッシュ通知サービスでプロジェクトが有効になっていることを確認する必要があります。Androidに使用できるプッシュ通知サービスはGoogle Cloud Messaging (GCM)で、Google Firebaseプロジェクトを作成する必要があります。

次のステップに従ってGoogle Firebaseプロジェクトを作成します:
  1. Google Firebaseコンソール(https://console.firebase.google.com/)にログインします。
  2. 「プロジェクトの追加」をクリックします。
  3. 「Project name」フィールドに、プロジェクトの名前を入力します。たとえば、OAAAndroidPUSHです。
  4. Firebaseのプロジェクト・ページの「Google Analytics」で、「Enable Google Analytics for this project」の選択を解除し、「Create project」をクリックします。
  5. 新しいプロジェクトの準備が完了したら、「Continue」をクリックします。
  6. プロジェクト・ウィンドウの左側のナビゲーション・ペインで、「Settings」アイコンをクリックし、「Project settings」を選択します。
  7. 「Project settings」ページで、「Cloud Messaging」をクリックします。
  8. 「クラウド・メッセージングAPI(レガシー)」で、省略記号をクリックし、「Google CloudコンソールでのAPIの管理」を選択します。
  9. 表示される新しいタブで、「クラウド・メッセージング」の下の「有効化」をクリックします。
  10. 「クラウド・メッセージングAPI(レガシー)」をクリックした元のタブに戻り、ページをリフレッシュします。
  11. 「Server key」および「Sender ID」フィールドに表示される値をメモします。これらの値は、次の項でOAAプロパティを設定するために必要です。

11.12.1.3 Androidプッシュ通知のOAAプロパティの構成

Androidデバイスのプッシュ通知の構成に必要なOAAプロパティをいくつか設定する必要があります。

次の表に、Androidのプッシュ通知に構成できるOAAプロパティを示します。

表11-6 OAAプロパティ

プロパティ名 説明 サンプルの値
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.proxyProtocol プロキシ・サーバーのプロトコル。 httpまたはhttps
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.proxyHost プロキシ・サーバーのホスト名またはIPアドレス。 proxy.example.com
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.proxyPort プロキシ・サーバーのポート。 80
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.pushPreferencesEndpoint プッシュ・ファクタ登録に使用されるホストおよびポート。このホストとポートは、デバイスからアクセス可能である必要があります。これは、「デプロイメント詳細の出力」のSpuiUrl (SpuiUrl=https://<host:port>/oaa/rui)で参照されるホストおよびポートに対応します。 https://oaainstall
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.challengeAnswerEndpoint プッシュ・ファクタ・ランタイムに使用されるホストおよびポート。このホストとポートは、デバイスからアクセス可能である必要があります。これは、「デプロイメント詳細の出力」のプッシュURL (Push=https://<host:port>/oaa-push-factor)で参照されるホストおよびポートに対応します。 https://oaainstall
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.retrycount チャレンジの最大失敗再試行回数。この数を超えると、チャレンジはロックされます。デフォルト値は10です。Oracle Universal Authenticatorでプッシュ通知を使用する場合は、この値を50に設定する必要があります。 50
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.google.firebase.serverKey Firebaseの「Server Key」。 AAAAh1hlXa8:APA91....
bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.google.firebase.senderId Firebaseの「Sender ID」。 58213467743

ノート:

proxyProtocolproxyHostおよびproxyPortプロパティは、プロキシ・サーバーを介してインターネットにアクセスできる場合にのみ必要です。OAAがインターネットに直接アクセスできる場合、これらのプロパティを設定する必要はありません。

OAAプロパティは、次のREST APIを使用して構成できます: 

PUT  <PolicyUrl>/policy/config/property/v1

ノート:

この場合は、<PolicyUrl>から/oaa-policyを削除します。たとえば、https://<host>:<port>/oaa-policy/policy/config/property/v1ではなくhttps://<host>:<port>/policy/config/property/v1を使用します

CURLコマンドを使用してOAAプロパティを構成する次の例を考えてみます次の例では、OAAがプロキシ・サーバーを介してインターネットにアクセスすることを想定しています:

curl --location -g --request PUT 'https://<PolicyUrl>/policy/config/property/v1' \
--header 'Content-Type: application/json' \
--header 'Authorization: Basic <Base64Encoded(<username>:<password>)>' \
--data '[
{
"name": "bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.proxyProtocol",
"value": "https"
},
{
"name": "bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.proxyHost",
"value": "proxy.example.com"
},
{
"name": "bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.proxyPort",
"value": "80"
},
{
"name": "bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.pushPreferencesEndpoint",
"value": "https://oaainstall"
},
{
"name": "bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.challengeAnswerEndpoint",
"value": "https://oaainstall"
},
{
"name": "bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.retrycount",
"value": "50"
},
{
"name": "bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.google.firebase.serverKey",
"value": "AAAAh1hlXa8:APA91bGOGR4pMYe9GC6a2rU169hTCBVmc................................LpU2F8_Egn7IZguC1Rr2HSNnROzXu1d1Lam0TJ"
},
{
"name": "bharosa.uio.default.challenge.type.enum.ChallengeOMAPUSH.google.firebase.senderId",
"value": "58213467743"
}
]'

PolicyUrlの検索および認証の詳細は、「OAA管理API」を参照してください。

REST APIの詳細は、構成プロパティRESTエンドポイントに関する項を参照してください

11.12.1.4 AndroidでのOracle Mobile Authenticatorへのユーザー・アカウントの登録

この項では、OMAアプリケーションでユーザー・アカウントを登録する方法について説明します。

次のステップを実行します。
  1. セルフサービス・ポータル(https://<SpuiUrl>)にログインします。
  2. 「認証ファクタ」で、「認証ファクタの追加」「OMAプッシュ通知チャレンジ」の順に選択します。
    「モバイル・デバイスの追加」画面が表示されます。
  3. Androidデバイスで署名付きOMAアプリを開きます。
  4. 「アカウントの追加+」をクリックします。
    これにより、Androidデバイスのカメラが起動します。
  5. カメラを使用して、画面上のQRコードをスキャンします。
    「ログインが必要です」画面が表示されます。
  6. 次のことを行います:
    1. ユーザー名で大/小文字が区別されているとおりに、「ユーザー名」フィールドに、「セルフサービス・ポータル」画面に表示されるユーザー名を入力します。
    2. 「PINコード」フィールドに、「セルフサービス・ポータル」画面に表示されるPINコードを入力します。
  7. 「サインイン」をクリックし、求められた場合は、証明書を受け入れます。
    OMAにアカウントが正常に追加されます。
  8. 「セルフサービス・ポータル」画面で、「完了」をクリックします。
登録済デバイスのOMAプッシュ通知チャレンジがセルフサービス・ポータルに表示されます。

11.12.1.5 Androidプッシュ通知を使用した保護されたアプリケーションへのアクセス

プッシュ通知をテストするには、保護されたアプリケーションにアクセスする必要があります。

保護されたアプリケーションにアクセスするには、次のステップを実行します:
  1. 保護されたアプリケーションにアクセスします。たとえば、https://www.example.com/applicationです。
    OAAチャレンジ選択画面が表示されます。
  2. 「OMAプッシュ通知チャレンジ」で、「デバイス<DeviceID>でのログインを承認します」を選択します。
    Androidデバイスに通知が表示されるプッシュ画面にリダイレクトされます。
  3. デバイスで「許可」を選択してログインします。
認証が成功すると、保護されたページにリダイレクトされます。