4 サポートされているアーキテクチャ
Oracle Advanced Authentication (OAA)、Oracle Adaptive Risk Management (OARM)およびOracle Universal Authenticator (OUA)は、様々なアーキテクチャにデプロイできます。ただし、デプロイメントを容易にするために、本番環境またはサンドボックス環境のどちらをデプロイするかに応じて次のことをお薦めします。
本番デプロイメント
本番デプロイメントの場合、管理者は『Kubernetesクラスタ内のOracle Identity and Access Managementのためのエンタープライズ・デプロイメント・ガイド』のインストール手順に従う必要があります。
- Oracle Cloud Infrastructure (OCI)へのKubernetesクラスタの作成が自動化されます。Oracle Identity Management製品のデプロイメントの準備が整っています。
- OAA (OARMおよびOUAの有無にかかわらず)およびその他のOracle Identity Management製品が、準拠している任意のKubernetesクラスタに自動的にデプロイされます。
サンドボックス・デプロイメント
OAAをサンドボックス環境にデプロイする場合、既存のOracle Access Management (OAM)環境があることが前提となります。OAAデプロイメントで使用できるサンプルのOAM環境を次に示します:
- Oracle HTTP Server (OHS)が独自のサーバーにデプロイされていること。
- OHSがOAMのプロキシとして使用されること。
- SSLがOHSまたはOHSの前面にあるロード・バランサで終端すること。
- Oracle Unified Directory (OUD)がサンプルのユーザーおよびグループで構成され、OAMオブジェクト・クラスで拡張されていること。
- OAMがOUDと統合され、OUD LDAPポートと通信するように構成されていること。
- OAMコンソールが、Oracle WebGateおよびIAMSuiteAgentで定義されたポリシーを使用して保護されていること。
- OAM管理とOAMランタイムURLの両方で、同じホスト名(
https://ohs.oracle.comなど)が使用されていること。
サンドボックスOAAデプロイメントで使用する既存のOAM環境がない場合は、Oracle Advanced AuthenticationのためのOracle Access Management 12cサンドボックス環境の構成のシリーズに従って構築できます。
OAA、OARM、OUAがデプロイされると、環境は次のようになります:
https://ohs.example.comなど)を介してアクセスされます。OHSの前面にロード・バランサを使用している場合、すべてのOAA URLはそのロード・バランサを介してアクセスされます。
ノート:
OAAでFIDO2ファクタを使用する場合、管理者は、ほとんどの最新ブラウザでFIDO2のセキュリティ対策が強化されていることを考慮に入れる必要があります。これらのブラウザは、提示された証明書が信頼できる認証局にトレース可能でないかぎり、FIDO2アクセスを許可しません。したがって、FIDO2ファクタを使用する場合、OHS (またはSSLが終端するロード・バランサ)で使用される証明書は、信頼できる認証局にトレース可能な市販の証明書である必要があります。このインストール・ガイド全体を通して、様々な構成のチェックポイントについて概説しています。これらのチェックポイントで基本的な健全性チェックを行い、後でデプロイメントに必要になるURL、ホスト名、ポートおよびパスワードの変数を収集します。
ノート:
このドキュメントのインストール・ガイドは、Oracle推奨のサンドボックス・アーキテクチャへのデプロイに基づいています。