1. Oracle Advanced AuthenticationおよびOracle Adaptive Risk Managementの管理
  2. Oracle Advanced Authentication、Oracle Adaptive Risk ManagementおよびOracle Universal Authenticatorのインストール
  3. OAA、OARMおよびOUAのインストール手順
  4. OAA、OARMおよびOUAをインストールするための前提条件の構成
  5. Oracle Access Managementの要件
  6. Oracle Universal AuthenticatorのOAM要件

4.2.3.3 Oracle Universal AuthenticatorのOAM要件

Oracle Universal Authenticator (OUA)インストールには、次のOAM前提条件ステップが必要です。OUAなしでOAAまたはOARM(あるいはその両方)のインストールを実行している場合は、この項を無視できます。

OAMセッション管理APIの有効化

次のステップを実行して、oam-config.xml内でOAMセッション管理APIを有効にします。
  1. 次を含むsession.xmlというファイルを作成します: 
    
<Configuration>
  <Setting Name="RequireAuthorizationHeader" Type="xsd:boolean" Path="/DeployedComponent/Server/NGAMServer/Profile/RestServices/Token/RequireAuthorizationHeader">true</Setting>
</Configuration>
  2. 次のコマンドを実行して、oam-config.xmlを更新します: 
    curl -s -u <WLSADMIN_USER>:<WLSADMIN_PWD> -H 'Content-Type: text/xml' -X \
PUT http://<OAMAdminHost>:<OAMAdminPort>/iam/admin/config/api/v1/config?path=/DeployedComponent/Server/NGAMServer/Profile/RestServices/Token/RequireAuthorizationHeader \
-d @./session.xml
    たとえば:
    curl -s -u weblogic:<password> -H 'Content-Type: text/xml' -X \
PUT http://oam.example.com:7001/iam/admin/config/api/v1/config?path=/DeployedComponent/Server/NGAMServer/Profile/RestServices/Token/RequireAuthorizationHeader \
-d @./session.xml
  3. <OAM_DOMAIN_HOME>/config/fmwconfig/oam-config.xmlで次の行を見つけて、変更を確認します:
    
<Setting Name="Token" Type="htf:map">
  <Setting Name="Enabled" Type="xsd:boolean">true</Setting>
  <Setting Name="RequireAuthorizationHeader" Type="xsd:boolean">true</Setting>

OAMアイデンティティ・サービスの有効化

次のステップを実行して、oam-config.xml内でOAMアイデンティティ・サービスを有効にします。
  1. 次を含むservice.xmlというファイルを作成します: 
    
<Configuration>  
  <Setting Name="IdentityServiceEnabled" Type="xsd:boolean" Path="DeployedComponent/Server/NGAMServer/Profile/IdentityManagement/IdentityServiceConfiguration/IdentityServiceEnabled">true</Setting>
</Configuration>
  2. 次のコマンドを実行して、oam-config.xmlを更新します: 
    curl -s -u <WLSADMIN_USER>:<WLSADMIN_PWD> -H 'Content-Type: text/xml' -X \
PUT http://<OAMAdminHost>:<OAMAdminPort>/iam/admin/config/api/v1/config?path=/DeployedComponent/Server/NGAMServer/Profile/IdentityManagement/IdentityServiceConfiguration/IdentityServiceEnabled \
-d @./service.xml
    たとえば:
    curl -s -u weblogic:<password> -H 'Content-Type: text/xml' -X \
PUT http://oam.example.com:7001/iam/admin/config/api/v1/config?path=/DeployedComponent/Server/NGAMServer/Profile/IdentityManagement/IdentityServiceConfiguration/IdentityServiceEnabled \
-d @./service.xml
  3. <OAM_DOMAIN_HOME>/config/fmwconfig/oam-config.xmlで次の行を見つけて、変更を確認します:
    
<Setting Name="IdentityManagement" Type="htf:map">
       <Setting Name="IdentityServiceConfiguration" Type="htf:map">
         <Setting Name="IdentityServiceEnabled" Type="xsd:boolean">true</Setting>
         <Setting Name="IdentityServiceProvider" Type="xsd:string">oracle.security.am.engines.idm.provider.OracleIdentityServiceProvider</Setting>
         <Setting Name="AnonymousAuthLevel" Type="xsd:integer">0</Setting>
         <Setting Name="IdentityServiceProviderConfiguration" Type="htf:map">
           <Setting Name="DateFormatPattern" Type="xsd:string">yyyy-MM-dd'T'HH:mm:ss'Z'</Setting>
           <Setting Name="ForcedPasswordChangeURL" Type="xsd:string">/identity/faces/firstlogin</Setting>
           <Setting Name="ChallengeSetupNotDoneURL" Type="xsd:string">/identity/faces/firstlogin</Setting>
           <Setting Name="TimeFormatPattern" Type="xsd:string">yyyyMMddHHmmss'z'</Setting>
           <Setting Name="LockoutDurationSeconds" Type="xsd:long">1</Setting>
           <Setting Name="PasswordExpiredURL" Type="xsd:string">/identity/faces/firstlogin</Setting>
           <Setting Name="AccountLockedURL" Type="xsd:string">/identity/faces/accountlocked</Setting>
           <Setting Name="IdentityManagementServer" Type="xsd:string">OIM-SERVER-1</Setting>
           <Setting Name="LockoutAttempts" Type="xsd:integer">5</Setting>
         </Setting>
       </Setting>
  4. OAMサーバーを再起動します。

永続ログインの有効化

OUAでは、OAMで永続ログインを有効にする必要があります。

ノート:

永続ログインの詳細は、永続ログインの有効化に関する項を参照してください。
OAMで永続ログインを有効にするには:
  1. OAMサーバーで、端末ウィンドウをoracleとして起動し、次のコマンドを入力します:
    cd $OAM_ORACLE_HOME/oracle_common/common/bin
/wlst.sh
    出力は次のようになります:
    Initializing WebLogic Scripting Tool (WLST) ...
Welcome to WebLogic Server Administration Scripting Shell Type help() for help on available commands
http://wls:/offline>
  2. 次のようにしてOAM管理サーバーに接続します:
    connect ('weblogic','<password>','t3://<OAMAdminHost>:<OAMAdminPort>')
    出力は次のようになります:
    Successfully connected to Admin Server "AdminServer" that belongs to domain "oam_domain".
Warning: An insecure protocol was used to connect to the server. To ensure on-the-wire security, the SSL port or Admin port should be used instead.
wls:/oam_domain/serverConfig/>
  3. 次のWLSTコマンドを実行して、永続ログインを構成します: 
    configurePersistentLogin(enable="true", validityInDays="30", maxAuthnLevel="2", userAttribute="obPSFTID")

    ノート:

    maxAuthnLevelは、デバイス認証によってユーザーが認証される認証レベルです。認証スキームの管理に関する項を参照してください。

OAMでのOUAのTAPパートナとしての登録

OAAインストールでは、OUAをOAMでTAPパートナとして登録する必要があります:
  1. 前述と同じWLSTセッションで、次のコマンドを実行して、OUA TAPパートナを登録します:
    registerThirdPartyTAPPartner(partnerName = "<partner_name>", keystoreLocation= "<path_to_keystore>", password="<keystore_password>", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="<redirect_url>")
    説明:
    • <partner_name>は、パートナ・アプリケーションに付ける名前です。
    • <path_to_keystore>は、生成するキーストアの場所とファイル名です。
    • <keystore_password>は、生成されたキーストア用に作成するパスワードです。
    • <redirect_url>は、任意の有効なhttp(s) URLです。URLは到達可能で、200 OKレスポンスを返す必要があります。
    たとえば:
    registerThirdPartyTAPPartner(partnerName = "OUA-MFAPartner", keystoreLocation= "/tmp/OUAOAAKeyStore.jks", password="password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="http://oam.example.com:7777")
    出力は次のようになります:
    Registration Successful wls:/oam_domain/serverConfig/>
    前述の例では、キーストア/tmp/OUAOAAKeyStore.jksが生成されます。このキーストアは、「インストール・ホストの要件」で使用されるOAAインストール・ホストのローカル・ディレクトリにコピーする必要があります。

    ノート:

    partnerName、キーストアおよびパスワードは、後でinstallOAA.propertiesの次のパラメータに使用されます:
    • oua.tapAgentName=<partner_name>
    • oua.tapAgentFilePass=<keystore_password>
    • oua.tapAgentFileLocation=<keystore>
    詳細は、「インストールのためのプロパティ・ファイルの準備」を参照してください。
  2. 次のコマンドを実行してwlstを終了します: 
    exit()

ユーザー・アイデンティティ・ストア・パラメータの構成

必要なアイデンティティ・ストア・パラメータを有効にするには、次のステップを実行します:
  1. 管理者の資格証明を使用して、OAM管理コンソールhttps://<OAMAdminHost>:<OAMAdminPort>/oamconsole/にログインします。
  2. 「構成」「ユーザー・アイデンティティ・ストア」にナビゲートし、「デフォルト・ストア」がOAMユーザーが存在するストア(OUDStoreなど)に設定されていることを確認します。
  3. 「OAM IDストア」の下で、ストアを選択し、「編集」をクリックします。アイデンティティ・ストアの構成ページの「パスワード管理」で、次のチェック・ボックスを選択します:
    • ネイティブIDストア設定の使用
    • パスワード管理の有効化
    • Oblixユーザー・スキーマの使用
  4. 「適用」をクリックします。
  5. 「アプリケーション・セキュリティ」起動パッド→「プラグイン」「認証モジュール」にナビゲートします。
  6. 「検索」をクリックし、「LDAP」認証モジュールを選択します。「ユーザー・アイデンティティ・ストア」がステップ2と同じアイデンティティ・ストア(OUDStoreなど)に設定されていることを確認します。

OAMへのOUAリソースの追加

次のステップを実行して、必要なOUAポリシーをOAMに追加します:
  1. 管理者の資格証明を使用して、OAM管理コンソールhttps://<OAMAdminHost>:<OAMAdminPort>/oamconsole/にログインします。
  2. 「アプリケーション・セキュリティ」「Access Manager」「アプリケーション・ドメイン」に移動します。「検索」をクリックします。
  3. OAM OAuthに使用されるWebGateのアプリケーション・ドメインをクリックします。「リソース」タブをクリックします。「検索結果」で「作成」をクリックします。次のように詳細を入力し、「適用」をクリックします:
    • タイプ: HTTP
    • ホスト識別子: <webgate_hostidentifier>
    • リソースURL: /oua/**
    • 保護レベル: Excluded
  4. 次の詳細を使用して、別のリソースを作成します。「適用」をクリックします:
    • タイプ: HTTP
    • ホスト識別子: <webgate_hostidentifier>
    • リソースURL: /oua-admin-ui/**
    • 保護レベル: Excluded