Despliegue de Oracle Advanced Authentication en Oracle Cloud Marketplace

Introducción

En este tutorial se muestra cómo desplegar Oracle Advanced Authentication (OAA) y productos dependientes en Oracle Cloud Marketplace con fines de evaluación.

Una vez desplegado, los administradores pueden realizar una evaluación de la autenticación multifactor (MFA) con aplicaciones protegidas por OAA para Oracle Access Management (OAM).

Nota: Los administradores deben tener en cuenta lo siguiente:

• Este despliegue solo debe utilizarse con fines de evaluación y solo debe utilizarse con datos no confidenciales.
• El factor de notificación push no está soportado actualmente en OAA en Oracle Cloud Marketplace.
• Oracle Universal Authenticator no está soportado actualmente con OAA en Oracle Cloud Marketplace.

OAA en Oracle Cloud Marketplace se despliega en un cluster de Kubernetes (K8S) mediante Oracle Kubernetes Engine (OKE). El despliegue en Oracle Cloud Marketplace despliega los siguientes productos y componentes de Oracle:

• Oracle Database
• Oracle Unified Directory (OUD)
• Oracle Access Management (OAM)
• Oracle Advanced Authentication (OAA)
• Oracle HTTP Server (OHS)

La arquitectura desplegada es la siguiente:

Factores disponibles

Los siguientes factores están disponibles con el despliegue de OAA Marketplace sin ninguna configuración de administrador adicional:

• Código de acceso de un solo uso (TOTP) basado en tiempo con un autenticador móvil
• FIDO2
• YubiKey

Los siguientes factores requieren una configuración de administrador adicional después del despliegue si son necesarios para la evaluación:

• Preguntas de Seguridad
• Correo electrónico
• SMS

Nota: En todos los casos, el usuario final tendrá que acceder al portal de autoservicio para agregar los factores que se van a evaluar. Puede encontrar más información sobre las tareas de administrador y usuario final en la sección Next Tutorial.

Usuarios Creados

El despliegue crea los siguientes usuarios en Oracle Unified Directory:

• weblogic_iam: nombre de usuario para conectarse a la consola de administración de OAM.
• oaaadmin: nombre de usuario para conectarse a la consola de administración de OAA.
• oaauser1, oaauser2, oaauser3, oaauser4, oaauser5: nombres de usuario para que el usuario final se autentique a través de OAM y se conecte al portal de autoservicio de OAA.

Volúmenes NFS creados

A continuación, se muestran los volúmenes de NFS creados para OAA por el despliegue de Oracle Cloud Marketplace:

• <NFS_CREDS_PATH>: /mnt/oaa/oaacredpv
• <NFS_CONFIG_PATH>: /mnt/oaa/oaaconfigpv
• <NFS_VAULT_PATH>: /mnt/oaa/oaavaultpv
• <NFS_LOGS_PATH>: /mnt/oaa/oaalogpv

Se puede acceder a estos volúmenes desde el nodo bastión.

Para obtener más información sobre los volúmenes NFS y su contenido, consulte Configuring NFS Volumes.

Flujo de usuario final típico

A continuación, se muestra un flujo típico que se puede evaluar mediante OAA en Oracle Cloud Marketplace:

1. Un usuario final, por ejemplo oaauser1, configura sus factores para la MFA en el portal de autoservicio.
2. El usuario final accede a una página (bank-emp.html) que está protegida mediante OAM y una política de MFA de OAA.
3. Se redirige al usuario final a OAM para conectarse con sus credenciales (oaauser1/<password>).
4. OAM dispara la MFA según las políticas de OAA. Se le pide al usuario que complete la autenticación multifactor o sin contraseña mediante uno de sus factores configurados.
5. Tras la autenticación correcta, se muestra la página protegida.

Requisitos previos de OCI

Antes de desplegar OAA en Oracle Cloud Marketplace, debe tener acceso de administrador en un arrendamiento público de OCI.

A continuación, se muestran las cuotas necesarias en el dominio de disponibilidad para desplegar OAA:

• 1 clúster de OKE
• 4 nodos de cálculo para el pool de nodos (8 CPU con 64 GB de RAM)
• 1 nodo de cálculo para Bastion (2 CPU con 16 GB de RAM)
• 1 sistema de archivos, 2 destinos de montaje
• 1 equilibrador de carga (100 Mbps)
• 2 redes virtuales en la nube (VCN) con Internet, NAT y gateway de servicio

Nota: Opcional: se recomienda crear un nuevo compartimento para el despliegue de OAA. Consulte Creación de un compartimiento.

Para comprobar las cuotas:

1. OAA necesita cuatro (4) o más nodos de cálculo para el pool de nodos y un (1) nodo de cálculo para el bastión en el dominio de disponibilidad correspondiente. Para comprobar que tiene suficientes nodos de cálculo disponibles:

   1. Acceda a la consola y al menú de navegación de OCI.
   2. Vaya a Gobernanza y administración > Límites, cuota y uso.
   3. Seleccione la casilla de control Mostrar límites en desuso.
   4. En el menú desplegable SERVICE, seleccione Compute.
   5. En el menú SCOPE, seleccione el dominio de disponibilidad adecuado.
   6. En el menú COMPARTMENT, seleccione el compartimento root.
   7. En el menú Recurso, seleccione la unidad de nodo que desea comprobar. Debe elegir una unidad que permita 8 CPU con 64 GB de RAM para el pool de nodos, y 2 CPU y 16 GB de RAM para el bastión.
   8. Compruebe la columna Disponible y asegúrese de que dispone de suficientes cálculos para la unidad de nodo que desea desplegar.

Para obtener más información sobre las unidades de computación disponibles, consulte Unidades de computación.

1. OAA requiere que dos (2) recursos de red virtual en la nube (VCN) estén disponibles en el arrendamiento. Para comprobar que tiene suficientes VCN disponibles:

   1. En el menú desplegable SERVICE (Servicio), seleccione Virtual Cloud Network (Red virtual en la nube).
   2. En el menú SCOPE, seleccione su arrendamiento.
   3. En el menú Recurso, seleccione Recuento de redes virtuales en la nube.
   4. Compruebe la columna Disponible y asegúrese de que al menos dos (2) VCN estén disponibles.

2. OAA necesita que esté disponible un (1) recurso de equilibrador de carga 100Mbps:

   1. En el menú desplegable SERVICE (Servicio), seleccione LbaaS.
   2. En el menú SCOPE, seleccione su arrendamiento.
   3. En el menú Recurso, seleccione 100Mbps Recuento de equilibradores de carga.
   4. Compruebe la columna Disponible y asegúrese de que al menos un (1) equilibrador de carga esté disponible.

3. OAA requiere que haya disponible un (1) cluster de OKE:

   1. En el menú desplegable SERVICE (Servicio), seleccione Container Engine (Motor de contenedor).
   2. En el menú SCOPE, seleccione su arrendamiento.
   3. En el menú Recurso, seleccione Recuento de Cluster Básico.
   4. Compruebe la columna Disponible y asegúrese de que al menos una (1) esté disponible.

4. OAA requiere que haya un (1) recurso del sistema de archivos y un (2) recurso de destino de montaje disponible:

   1. En el menú desplegable SERVICIO, seleccione Almacenamiento de archivos.
   2. En el menú SCOPE, seleccione su dominio de disponibilidad.
   3. Compruebe la columna Disponible y asegúrese de que al menos un (1) recurso esté disponible para Recuento de sistemas de archivos y que dos (2) recursos estén disponibles para Recuento de destinos de montaje.

Para obtener más información sobre los recursos, consulte Cuotas de compartimento.

Aprovisionamiento de OAA en Oracle Cloud Marketplace

1. Acceder a Oracle Cloud Marketplace.

2. Busque la lista de Oracle Advanced Authentication y selecciónela.

3. En la lista de Oracle Advanced Authentication, compruebe que los detalles de la versión muestren la versión: 12.2.1.4.1-<DATE>.

4. Inicie la instalación en su arrendamiento seleccionando Obtener aplicación.

5. Conéctese a su arrendamiento.

6. En la parte superior derecha de la pantalla, seleccione la región de OCI.

7. Seleccione el compartimento donde se desplegará la instancia de OAA.

   Nota: No seleccione el compartimento (raíz) por defecto.

   Asegúrese de seleccionar la casilla de control correspondiente a las condiciones.

8. Haga clic en Iniciar pila.

9. En la pantalla Stack Information (Información de pila), edite el Name (Nombre) según corresponda y agregue una Description (Descripción) si es necesario. Haga clic en Siguiente.

10. En la pantalla Configurar variables, introduzca las variables como se indica a continuación y haga clic en Siguiente:

    Detalles de arrendamiento:

    Nombre	Valor
    Region	La región debe ser la misma que se menciona en la URL de la consola de OCI.
    Availability Domain	Dominio de disponibilidad donde se desplegará OAA.

    Oracle Kubernetes Engine (OKE):

    Haga clic en Mostrar opciones avanzadas de OKE:

    Nombre	Valor
    OKE Nodepool Instance Shape	Seleccione la unidad para los cálculos del pool de nodos, por ejemplo, VM.Standard.E4.Flex.
    OCPU Count	8
    Memory	64 GB
    Size of the Node Pool	Cuatro (4) o más. Según la sección Requisitos previos de OCI, asegúrese de comprobar la disponibilidad de los recursos informáticos en el dominio de disponibilidad seleccionado para la unidad de pool de nodos. Por ejemplo, si especifica cuatro (4) nodos, asegúrese de que cuatro (4) recursos informáticos de la unidad de VM seleccionada estén disponibles.

    Bastion - Nodos de cálculo:

    Nombre	Valor
    Bastion Instance Shape	Seleccione la unidad para el bastión, por ejemplo: VM.Standard.E4.Flex. Según la sección Requisitos previos de OCI, asegúrese de comprobar la disponibilidad de los recursos informáticos en el dominio de disponibilidad seleccionado para el nodo bastión. Se necesita un (1) recurso informático de la unidad de máquina virtual seleccionada.
    OCPU Count	2
    Memory	16 GB
    Common Password	Contraseña común que se utilizará para todos los componentes. La contraseña debe coincidir con la expresión regular: ^[a-zA-Z0-9.\-/+=@_]*$|

    El resto de las variables pueden permanecer según sus valores por defecto.

11. En la pantalla Review, verifique las variables de configuración y seleccione Create.

    Esto disparará un trabajo que se mostrará en la consola de OCI. El trabajo se mostrará como IN PROGRESS y, en la sección Logs de la parte inferior de la pantalla, se mostrarán los detalles del progreso del despliegue.

    El trabajo tardará aproximadamente 90 minutos en completarse. Una vez que el trabajo se haya realizado correctamente, el estado del trabajo mostrará SUCCEEDED.

Adición de la IP pública al archivo de hosts local

En esta sección, encontrará la dirección IP pública del equilibrador de carga. La dirección IP y el nombre de host (login.example.com) se agregan al archivo de hosts local de cualquier equipo que necesite evaluar OAA.

1. Acceda a la consola de OCI y, en el menú de navegación, seleccione Resource Manager (Gestor de recursos) > Stacks (Pilas).

2. Seleccione el compartimento correspondiente en la lista desplegable. Se mostrará una lista de pilas en el compartimento. Seleccione la pila que acaba de crear, por ejemplo OAA.

3. Haga clic en el trabajo que acaba de ejecutar. En la sección Recursos, haga clic en el enlace Logs del trabajo.

4. En la salida de Logs, busque la cadena load_balancer_public_ip mediante la búsqueda del explorador. Tome nota de la dirección IP pública del equilibrador de carga.

5. Agregue una entrada al archivo de hosts local para asignar la IP del equilibrador de carga al nombre de host definido. Esto debe hacerse en todos los equipos que necesitan evaluar OAA.

   Nota: Debe utilizar el nombre de host que se muestra a continuación:

   <LB_PUBLIC_IP> login.example.com
   

Descarga de la autoridad de certificación de confianza

En esta sección, descargará el certificado de autoridad de certificación (CA) que firmó el certificado del equilibrador de carga. A continuación, debe importar el certificado de CA en cualquier explorador que necesite acceder a OAA y probarlo.

Nota: Este es un requisito si necesita probar la autenticación FIDO2 de OAA y también para evitar errores de certificado en el explorador al acceder a las URL de OAA u OAM.

1. Ejecute el siguiente comando para obtener los certificados:

   openssl s_client -connect login.example.com:443 -showcerts </dev/null 2>/dev/null| sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > certs.pem
   

   Nota: Utilice Git Bash para ejecutar el comando anterior si se ejecuta en un entorno Windows.

2. Edite el certs.pem. certs.pem contiene dos certificados. El certificado superior del archivo es el certificado del equilibrador de carga. El certificado inferior del archivo es el certificado de CA. Copie el certificado de CA (de -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----).

3. Cree un nuevo archivo oaamktplaceca.pem, pegue el certificado copiado en este archivo y guárdelo.

4. Copie oaamktplaceca.pem en cualquier máquina cuyo explorador acceda a las URL de OAA y OAM.

5. Importe el certificado en el almacén de autoridad de certificación de confianza del explorador. Consulte la documentación del explorador para obtener más información si es necesario.

Conexión mediante SSH al host bastión

Para conectarse mediante SSH al host bastión:

1. Acceda a la consola de OCI y, en el menú de navegación, seleccione Resource Manager (Gestor de recursos) > Stacks (Pilas).

2. Seleccione el compartimento correspondiente de la lista desplegable. Se mostrará una lista de pilas en el compartimento. Seleccione la pila que acaba de crear, por ejemplo OAA.

3. Haga clic en el trabajo que acaba de ejecutar. En la sección Recursos, haga clic en el enlace Ver estado del trabajo.

4. En la ventana Ver Estado, busque la cadena ssh_to_bastion mediante la búsqueda del explorador. Al final de la línea value, anote la dirección IP, por ejemplo: opc@<bastion_ip>.

5. En la misma línea value, copie los datos de clave privada mostrados (de -----BEGIN RSA PRIVATE KEY---- a -----END RSA PRIVATE KEY-----\n). Cree un archivo, por ejemplo oaamktplace.key, pegue el valor copiado en el archivo y guárdelo:

   -----BEGIN RSA PRIVATE KEY-----\nXXXXXXXXXXXXYYYYYYYYYYYYYYPPPPPPPPPPP++YYYYY
   YYYYTTTTTTTTTTT\IIIIIIIIIhhhhjjuuuuuu/VVVuuuuuuuuuuu908888/zdS1UCdLr/Q2q9yd12
   etc.....................................................................
   +Qjl5\nxOByCUtZ8TbRbQMgEA/6G6wzVQ+mjCPy0n0ykxhWaHVj22ytfxKtApNLjwhtlZm
   \npD58jI0CgYEAv3GvEcfVPg92KmN8OH+hSrkLzz22bemNqioRvKi2mXBwfk0xu0kK\nvTdjVqwbD
   lCeAhISJxXdsT3J83pyeaGm6TrxBwUptJ8SzlZgFptpJffE1acAq8m\nXd7RoF2rBqZ5HHYYYYYkl
   kkk90zedjxPoJW6XxC3ljingatsgJzAixIMSc8=\n-----END RSA PRIVATE KEY-----\n
   

6. Ejecute el siguiente comando para convertir los caracteres "\n" y cambiar los permisos en el archivo:

   sed -i 's/\\n/\n/g' oaamktplace.key
   

   chmod 400 oaamktplace.key
   

   Nota: Los administradores deben tener en cuenta lo siguiente:

   • Si se ejecuta en un entorno Windows, puede ejecutar el comando con una herramienta como Git Bash, o bien editar el archivo de claves en un editor de texto y eliminar todos los caracteres "\n".
   • En Windows, no ejecute el comando chmod 400; en su lugar, cambie las propiedades del archivo a sólo lectura.

   Abra el archivo oaamktplace.key y valide que se eliminen los caracteres \n.

7. Conéctese al host bastión mediante el archivo de clave privada:

   ssh -i oaamktplace.key opc@<bastion_ip>
   

   La conexión debe ser correcta.

Validación del despliegue de OAA

En esta sección, comprobará que todos los componentes del entorno OAA se están ejecutando correctamente y que puede acceder a las consolas de administración y al portal de autoservicio.

1. Desde la sesión ssh en el host bastión, ejecute el siguiente comando para comprobar el estado de los pods de OAA:

   kubectl get pods -n oaans
   

   La salida será similar a la siguiente. Todos los pods deben ser READY 1\1 y RUNNING:

   NAME                                READY   STATUS    RESTARTS   AGE
   edg-email-74766c4548-v58qd          1/1     Running   0          1h
   edg-fido-6d45456459-pbjw6           1/1     Running   0          1h
   edg-oaa-9c9bb4bf-r2fx9              1/1     Running   0          1h
   edg-oaa-admin-ui-79866b8fdc-8lh4z   1/1     Running   0          1h
   edg-oaa-drss-6b47b788b6-8xtlk       1/1     Running   0          1h
   edg-oaa-kba-686c76679c-29nfl        1/1     Running   0          1h
   edg-oaa-policy-6448db6fd8-bzjjb     1/1     Running   0          1h
   edg-push-77dc7db499-rcgp4           1/1     Running   0          1h
   edg-risk-59b856c99c-9qvhn           1/1     Running   0          1h
   edg-risk-cc-6fb6d7b94c-7z8vq        1/1     Running   0          1h
   edg-sms-688679d548-jlxpc            1/1     Running   0          1h
   edg-spui-86dd46d59f-rtgpn           1/1     Running   0          1h
   edg-totp-7f9db7894-mjx82            1/1     Running   0          1h
   edg-yotp-7c88b7fff5-wjjm4           1/1     Running   0          1h
   oaamgmt                             1/1     Running   0          1h
   

2. Abra un navegador web en su computadora y acceda a las siguientes consolas. Conéctese con el nombre de usuario relevante mediante el <COMMON_PASSWORD> que ha introducido durante el despliegue. Asegúrese de desconectarse de la consola antes de acceder a la siguiente consola:

   Consola	URL	Nombre de usuario
   La Consola de Administración de OAM	https://login.example.com/oamconsole	weblogic_iam
   Consola de Administración de OAA	https://login.example.com/oaa-admin/index.html	oaaadmin
   Portal de autoservicio de OAA	https://login.example.com/oaa/rui	oaauser1 - oaauser5

   Nota: Si ha importado correctamente el certificado de CA en el explorador, no debe haber errores de certificado.

Destrucción o Supresión de la Pila OAA

Si necesita destruir la pila de OAA para limpiar de un despliegue fallido o suprimir la pila por completo, realice los siguientes pasos:

Nota: Es posible que los pasos 1 y 2 siguientes no sean posibles si el despliegue ha fallado antes de crear el host bastión o si invoke_oaa no se ha ejecutado. En ambos casos, vaya directamente al paso 3.

1. Conéctese a través de SSH al host bastión según la sección Conexión a través de SSH al host bastión.

2. Ejecute el siguiente comando en el host bastión:

   /home/opc/oaascripts/utils/delete_all.sh
   

3. En la consola de OCI, vaya a Developer Services > Resource Manager > Stacks.

4. Busque y haga clic en la pila OAA.

5. En la página Detalles de pila, haga clic en Destruir. Esto iniciará un trabajo de destrucción para destruir la pila.

6. Una vez que el trabajo de destrucción se haya realizado correctamente, si necesita suprimir la pila por completo, haga clic en Detalles de pila en la ruta de navegación y, a continuación, seleccione Más acciones > Suprimir pila.

7. Asegúrese de que los clusters se suprimen. Para ello, vaya a Developer Services > Kubernetes Clusters (OKE). Si no es así, suprima manualmente los clusters.

8. Cuando se terminan los clusters, las instancias también se deben terminar automáticamente. Vaya a Recursos informáticos > Instancias y compruebe que las instancias se han suprimido. Si no se suprimen, finalícelos manualmente.

9. Compruebe el equilibrador de carga y el almacenamiento de archivos navegando hasta Red > Equilibradores de carga. Si aún existen recursos, cámbielos manualmente.

10. Para comprobar que las VCN se destruyen, vaya a Red > Redes virtuales en la nube. Si no se destruye, termine manualmente las VCN. Si hay problemas para terminar las VCN, siga la sección Solución de problemas de Supresión de subred o VCN.

11. Compruebe si las políticas de identidad se eliminan. Para ello, vaya a Identidad y seguridad > Identidad > Políticas. Si no se destruye, suprima manualmente.

12. Navegue hasta Identidad y seguridad > Identidad > Dominios. Seleccione el compartimento raíz y el dominio. Haga clic en Grupos dinámicos y compruebe que se han eliminado los grupos dinámicos. Si no se destruye, suprima manualmente.

13. Cuando se completen los pasos anteriores, espere unos minutos para asegurarse de que se limpian todos los recursos. A continuación, compruebe los límites para asegurarse de que esos recursos ahora estén libres. Para ello, vaya a Gobernanza y administración > Límites, cuota y uso.

Siguiente tutorial

Para probar el flujo de MFA, consulte Configuración de Oracle Advanced Authentication y validación del flujo de usuario final en Oracle Cloud Marketplace.

Comentarios

Para proporcionar comentarios sobre este tutorial, póngase en contacto con idm_user_assistance_ww_grp@oracle.com.

Para obtener soporte técnico, póngase en contacto con los Servicios de Soporte Oracle.

Agradecimientos

• Autor: Russ Hodgson

Título e Información de Copyright

Deploying Oracle Advanced Authentication on Oracle Cloud Marketplace

G36593-01

Copyright ©2025, Oracle and/or its affiliates.