Déploiement d'Oracle Advanced Authentication sur Oracle Cloud Marketplace

Présentation

Ce tutoriel explique comment déployer Oracle Advanced Authentication (OAA) et des produits dépendants sur Oracle Cloud Marketplace à des fins d'évaluation.

Une fois déployés, les administrateurs peuvent effectuer une évaluation de l'authentification multifacteur avec les applications protégées par OAA pour Oracle Access Management (OAM).

Note : Les administrateurs doivent être conscients des éléments suivants :

OAA sur Oracle Cloud Marketplace est déployé dans une grappe Kubernetes (K8S) à l'aide d'Oracle Kubernetes Engine (OKE). Le déploiement sur Oracle Cloud Marketplace déploie les produits et composants Oracle suivants :

L'architecture déployée est la suivante :

Facteurs disponibles

Les facteurs suivants sont disponibles avec le déploiement d'OAA Marketplace sans configuration d'administrateur supplémentaire :

Les facteurs suivants nécessitent une configuration supplémentaire de l'administrateur après le déploiement s'ils sont requis pour l'évaluation :

Note : Dans tous les cas, l'utilisateur final devra accéder au portail en libre-service pour ajouter les facteurs à évaluer. Pour plus d'informations sur les tâches d'administrateur et d'utilisateur final, reportez-vous à la section Tutoriel suivant.

Utilisateurs créés

Le déploiement crée les utilisateurs suivants dans Oracle Unified Directory :

Volumes NFS créés

Les volumes NFS créés pour OAA par le déploiement d'Oracle Cloud Marketplace sont les suivants :

Ces volumes sont accessibles à partir du noeud d'hôte bastion.

Pour plus d'informations sur les volumes NFS et leur contenu, voir Configuration des volumes NFS.

Flux type d'utilisateur final

Voici un flux type qui peut être évalué à l'aide d'OAA sur Oracle Cloud Marketplace :

  1. Un utilisateur final, par exemple oaauser1, configure ses facteurs pour l'authentification multifacteur dans le portail en libre-service.
  2. L'utilisateur final accède à une page (bank-emp.html) protégée au moyen d'OAM et d'une politique d'authentification multifacteur OAA.
  3. L'utilisateur final est redirigé vers OAM pour se connecter avec ses données d'identification (oaauser1/<password>).
  4. OAM déclenche l'authentification multifacteur en fonction des politiques OAA. L'utilisateur est invité à effectuer une authentification multifacteur ou sans mot de passe à l'aide de l'un de ses facteurs configurés.
  5. Une fois l'authentification réussie, la page protégée s'affiche.

Préalables pour OCI

Avant de déployer OAA sur Oracle Cloud Marketplace, vous devez disposer d'un accès d'administrateur sur une location publique OCI.

Les quotas requis dans votre domaine de disponibilité pour déployer OAA sont les suivants :

Note : Facultatif - Il est recommandé de créer un nouveau compartiment pour le déploiement OAA. Voir, Création d'un compartiment.

Pour vérifier vos quotas :

  1. OAA nécessite quatre (4) noeuds de calcul ou plus pour le groupe de noeuds et un (1) noeud de calcul pour l'hôte bastion dans le domaine de disponibilité respectif. Pour vérifier que vous disposez de suffisamment de noeuds de calcul :

    1. Accédez à la console OCI et au menu de navigation.
    2. Naviguez jusqu'à Gouvernance et administration > Limites, quotas et utilisation.
    3. Cochez la case Afficher les limites obsolètes.
    4. Dans le menu déroulant SERVICE, sélectionnez Calcul.
    5. Dans le menu PORTÉE, sélectionnez le domaine de disponibilité approprié.
    6. Dans le menu COMPARTMENT, sélectionnez le compartiment racine.
    7. Dans le menu Ressource, sélectionnez la forme de noeud à vérifier. Vous devez choisir une forme qui autorise 8 UC avec 64 Go de mémoire vive pour le groupe de noeuds et 2 UC et 16 Go de mémoire vive pour l'hôte bastion.
    8. Vérifiez la colonne Disponible et assurez-vous que les calculs disponibles pour la forme de noeud à déployer sont suffisants.

Pour plus d'informations sur les formes de calcul disponibles, consultez Formes de Compute.

  1. OAA nécessite que deux (2) ressources de réseau en nuage virtuel (VCN) soient disponibles dans la location. Pour vérifier que vous disposez de suffisamment de VCN :

    1. Dans le menu déroulant SERVICE, sélectionnez Réseau en nuage virtuel.
    2. Dans le menu PORTÉE, sélectionnez votre location.
    3. Dans le menu Ressource, sélectionnez Nombre de réseaux en nuage virtuels.
    4. Vérifiez la colonne Disponible et assurez-vous qu'au moins deux (2) réseaux VCN sont disponibles.
  2. OAA requiert la disponibilité d'une (1) ressource d'équilibreur de charge 100Mbps :

    1. Dans le menu déroulant SERVICE, sélectionnez LbaaS.
    2. Dans le menu PORTÉE, sélectionnez votre location.
    3. Dans le menu Ressource, sélectionnez Nombre d'équilibreurs de charge 100Mbps.
    4. Vérifiez la colonne Disponible et assurez-vous qu'au moins un (1) équilibreur de charge est disponible.
  3. OAA requiert qu'une (1) grappe OKE soit disponible :

    1. Dans le menu déroulant SERVICE, sélectionnez Container Engine.
    2. Dans le menu PORTÉE, sélectionnez votre location.
    3. Dans le menu Ressource, sélectionnez Nombre de grappes de base.
    4. Vérifiez la colonne Disponible et assurez-vous qu'au moins un (1) est disponible.
  4. OAA nécessite une (1) ressource de système de fichiers et une (2) ressource de cible de montage pour être disponible :

    1. Dans le menu déroulant SERVICE, sélectionnez Stockage de fichiers.
    2. Dans le menu PORTÉE, sélectionnez votre domaine de disponibilité.
    3. Vérifiez la colonne Disponible et assurez-vous qu'au moins une (1) ressource est disponible pour le nombre de systèmes de fichiers et que deux (2) ressources sont disponibles pour le nombre de cibles de montage.

Pour plus d'informations sur les ressources, voir Quotas de compartiment.

Provisionner OAA sur Oracle Cloud Marketplace

  1. Accédez à Oracle Cloud Marketplace.

  2. Recherchez la fiche descriptive Oracle Advanced Authentication et sélectionnez-la.

  3. Dans la liste Oracle Advanced Authentication, vérifiez que les détails de la version affichent la version : 12.2.1.4.1-<DATE>.

  4. Lancez l'installation dans votre location en sélectionnant Obtenir l'application.

  5. Connectez-vous à votre location.

  6. Dans le coin supérieur droit de l'écran, sélectionnez la région OCI.

  7. Sélectionnez le compartiment dans lequel l'instance OAA sera déployée.

    Note : Ne sélectionnez pas le compartiment (racine) par défaut.

    Assurez-vous de cocher la case correspondant aux conditions générales.

  8. Cliquez sur Lancer la pile.

  9. Dans l'écran Informations sur la pile, modifiez le nom selon le cas et ajoutez une description si nécessaire. Cliquez sur Suivant.

  10. Dans l'écran Configurer les variables, entrez les variables comme ci-dessous et cliquez sur Suivant :

    Détails de location :

    Nom Valeur
    Region La région doit être la même que celle mentionnée dans l'URL de la console OCI.
    Availability Domain Domaine de disponibilité dans lequel OAA sera déployé.

    Moteur Oracle Kubernetes (OKE) :

    Cliquez sur Afficher les options avancées OKE :

    Nom Valeur
    OKE Nodepool Instance Shape Sélectionnez la forme pour les calculs du groupe de noeuds, par exemple VM.Standard.E4.Flex.
    OCPU Count 8
    Memory 64Go
    Size of the Node Pool Quatre (4) ou plus. Conformément à la section Préalables pour OCI, vérifiez la disponibilité des ressources de calcul dans le domaine de disponibilité choisi pour la forme de groupe de noeuds. Par exemple, si vous spécifiez quatre (4) noeuds, assurez-vous que quatre (4) ressources de calcul de la forme de machine virtuelle sélectionnée sont disponibles.

    Hôte bastion - Noeuds de calcul :

    Nom Valeur
    Bastion Instance Shape Sélectionnez la forme de l'hôte bastion, par exemple : VM.Standard.E4.Flex. Conformément à la section Préalables pour OCI, vérifiez la disponibilité des ressources de calcul dans le domaine de disponibilité choisi pour le noeud d'hôte bastion. Une (1) ressource de calcul de la forme de machine virtuelle sélectionnée est requise.
    OCPU Count 2
    Memory 16Go
    Common Password Mot de passe commun à utiliser pour tous les composants. Le mot de passe doit correspondre à l'expression rationnelle : ^[a-zA-Z0-9.\-/+=@_]*$|

    Le reste des variables peut rester conforme à leurs valeurs par défaut.

  11. Dans l'écran Vérifier, vérifiez les variables de configuration et sélectionnez Créer.

    Cela déclenchera un travail qui sera affiché dans la console OCI. La tâche sera affichée sous IN PROGRESS (En cours) et dans la section Logs (Journaux) au bas de l'écran, les détails de la progression du déploiement sont affichés.

    Le travail prendra environ 90 minutes. Une fois la tâche réussie, le statut de la tâche affiche SUCCEEDED.

Ajout de l'adresse IP publique au fichier des hôtes locaux

Dans cette section, vous trouverez l'adresse IP publique de l'équilibreur de charge. L'adresse IP et le nom d'hôte (login.example.com) sont ensuite ajoutés au fichier d'hôtes locaux de tout ordinateur qui doit évaluer OAA.

  1. Accédez à la console OCI et, dans le menu de navigation, sélectionnez Gestionnaire de ressources > Piles.

  2. Sélectionnez le compartiment approprié dans la liste déroulante. Une liste des piles du compartiment s'affiche. Sélectionnez la pile qui vient d'être créée, par exemple OAA.

  3. Cliquez sur l'emploi qui vient d'être exécuté. Dans la section Ressources, cliquez sur le lien Journaux pour la tâche.

  4. Dans la sortie Journaux, recherchez la chaîne load_balancer_public_ip à l'aide de la recherche dans le navigateur. Notez l'adresse IP publique de l'équilibreur de charge.

  5. Ajoutez une entrée à votre fichier d'hôtes local pour mapper l'adresse IP de l'équilibreur de charge au nom d'hôte défini. Cela doit être fait sur tous les ordinateurs qui ont besoin d'évaluer OAA.

    Note : Vous devez utiliser le nom d'hôte indiqué ci-dessous :

    <LB_PUBLIC_IP> login.example.com
    

Téléchargement de l'autorité de certification approuvée

Dans cette section, vous téléchargez le certificat de l'autorité de certification qui a signé le certificat de l'équilibreur de charge. Vous importez ensuite le certificat AC dans n'importe quel navigateur qui doit accéder à OAA et le tester.

Remarque : Il s'agit d'une exigence si vous devez tester l'authentification OAA FIDO2, ainsi que pour empêcher des erreurs de certificat dans le navigateur lors de l'accès à des URL OAA ou OAM.

  1. Exécutez la commande suivante pour obtenir les certificats :

    openssl s_client -connect login.example.com:443 -showcerts </dev/null 2>/dev/null| sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > certs.pem
    

    Note : Utilisez Git Bash pour exécuter la commande ci-dessus dans un environnement Windows.

  2. Modifiez certs.pem. certs.pem contient deux certificats. Le certificat supérieur du fichier est le certificat de l'équilibreur de charge. Le certificat inférieur du fichier est le certificat de l'autorité de certification. Copiez le certificat de l'autorité de certification (de -----BEGIN CERTIFICATE----- à -----END CERTIFICATE-----).

  3. Créez un nouveau fichier oaamktplaceca.pem et collez le certificat copié dans ce fichier et enregistrez.

  4. Copiez le fichier oaamktplaceca.pem sur tout ordinateur dont le navigateur accède aux URL OAA et OAM.

  5. Importez le certificat dans le magasin d'autorité de certification approuvée du navigateur. Consultez la documentation de votre navigateur pour plus de détails si nécessaire.

Connexion au moyen de SSH à l'hôte bastion

Pour vous connecter au moyen de SSH à l'hôte bastion :

  1. Accédez à la console OCI et, dans le menu de navigation, sélectionnez Gestionnaire de ressources > Piles.

  2. Sélectionnez le compartiment approprié dans la liste déroulante. Une liste des piles du compartiment s'affiche. Sélectionnez la pile qui vient d'être créée, par exemple OAA.

  3. Cliquez sur l'emploi qui vient d'être exécuté. Dans la section Ressources, cliquez sur le lien Voir l'état de la tâche.

  4. Dans la fenêtre Voir l'état, recherchez la chaîne ssh_to_bastion à l'aide de la recherche dans le navigateur. À la fin de la ligne value, notez l'adresse IP, par exemple : opc@<bastion_ip>.

  5. À partir de la même ligne value, copiez les données de clé privée affichées (de -----BEGIN RSA PRIVATE KEY---- à -----END RSA PRIVATE KEY-----\n). Créez un fichier, par exemple oaamktplace.key, et collez la valeur copiée dans le fichier et enregistrez :

    -----BEGIN RSA PRIVATE KEY-----\nXXXXXXXXXXXXYYYYYYYYYYYYYYPPPPPPPPPPP++YYYYY
    YYYYTTTTTTTTTTT\IIIIIIIIIhhhhjjuuuuuu/VVVuuuuuuuuuuu908888/zdS1UCdLr/Q2q9yd12
    etc.....................................................................
    +Qjl5\nxOByCUtZ8TbRbQMgEA/6G6wzVQ+mjCPy0n0ykxhWaHVj22ytfxKtApNLjwhtlZm
    \npD58jI0CgYEAv3GvEcfVPg92KmN8OH+hSrkLzz22bemNqioRvKi2mXBwfk0xu0kK\nvTdjVqwbD
    lCeAhISJxXdsT3J83pyeaGm6TrxBwUptJ8SzlZgFptpJffE1acAq8m\nXd7RoF2rBqZ5HHYYYYYkl
    kkk90zedjxPoJW6XxC3ljingatsgJzAixIMSc8=\n-----END RSA PRIVATE KEY-----\n
    
  6. Exécutez la commande suivante pour convertir supprimer les "\n" caractères et modifier les autorisations sur le fichier :

    sed -i 's/\\n/\n/g' oaamktplace.key
    
    chmod 400 oaamktplace.key
    

    Note : Les administrateurs doivent être conscients des éléments suivants :

    • Si vous exécutez la commande dans un environnement Windows, vous pouvez l'exécuter à l'aide d'un outil tel que Git Bash, ou modifier le fichier de clé dans un éditeur de texte et supprimer tous les "\n" caractères.
    • Sous Windows, n'exécutez pas la commande chmod 400, modifiez plutôt les propriétés du fichier en lecture seule.

    Ouvrez le fichier oaamktplace.key et vérifiez que les caractères \n sont supprimés.

  7. Connectez-vous à l'hôte bastion à l'aide du fichier de clé privée :

    ssh -i oaamktplace.key opc@<bastion_ip>
    

    La connexion doit être réussie.

Validation du déploiement OAA

Dans cette section, vous allez vérifier que tous les composants de l'environnement OAA fonctionnent correctement et que vous pouvez accéder aux consoles d'administration et au portail en libre-service.

  1. À partir de la session SSH sur l'hôte bastion, exécutez la commande suivante pour vérifier le statut des pods OAA :

    kubectl get pods -n oaans
    

    La sortie se présente comme suit . Tous les pods doivent être READY 1\1 et RUNNING :

    NAME                                READY   STATUS    RESTARTS   AGE
    edg-email-74766c4548-v58qd          1/1     Running   0          1h
    edg-fido-6d45456459-pbjw6           1/1     Running   0          1h
    edg-oaa-9c9bb4bf-r2fx9              1/1     Running   0          1h
    edg-oaa-admin-ui-79866b8fdc-8lh4z   1/1     Running   0          1h
    edg-oaa-drss-6b47b788b6-8xtlk       1/1     Running   0          1h
    edg-oaa-kba-686c76679c-29nfl        1/1     Running   0          1h
    edg-oaa-policy-6448db6fd8-bzjjb     1/1     Running   0          1h
    edg-push-77dc7db499-rcgp4           1/1     Running   0          1h
    edg-risk-59b856c99c-9qvhn           1/1     Running   0          1h
    edg-risk-cc-6fb6d7b94c-7z8vq        1/1     Running   0          1h
    edg-sms-688679d548-jlxpc            1/1     Running   0          1h
    edg-spui-86dd46d59f-rtgpn           1/1     Running   0          1h
    edg-totp-7f9db7894-mjx82            1/1     Running   0          1h
    edg-yotp-7c88b7fff5-wjjm4           1/1     Running   0          1h
    oaamgmt                             1/1     Running   0          1h
    
  2. Ouvrez un navigateur Web sur votre ordinateur et accédez aux consoles suivantes. Connectez-vous avec le nom d'utilisateur approprié, à l'aide de <COMMON_PASSWORD> que vous avez entré lors du déploiement. Assurez-vous de vous déconnecter de la console avant d'accéder à la console suivante :

    Console URL Nom d'utilisateur
    Console d'administration OAM https://login.example.com/oamconsole weblogic_iam
    Console d'administration OAA https://login.example.com/oaa-admin/index.html oaaadmin
    Portail en libre-service OAA https://login.example.com/oaa/rui oaauser1 - oaauser5

    Note : Si vous avez importé correctement le certificat de l'autorité de certification dans le navigateur, il ne doit pas y avoir d'erreur de certificat.

Destruction ou suppression de la pile OAA

Si vous devez détruire la pile OAA pour effectuer un nettoyage à partir d'un déploiement ayant échoué, ou supprimer complètement la pile, procédez comme suit :

Note : Les étapes 1 et 2 ci-dessous peuvent ne pas être possibles si le déploiement a échoué avant la création de l'hôte bastion ou si invoke_oaa n'a pas été exécuté. Dans les deux cas, passez directement à l'étape 3.

  1. Connectez-vous au moyen de SSH à l'hôte bastion conformément à la section Connexion au moyen de SSH à l'hôte bastion.

  2. Exécutez la commande suivante sur l'hôte bastion :

    /home/opc/oaascripts/utils/delete_all.sh
    
  3. Dans la console OCI, naviguez jusqu'à Services de développement > Gestionnaire de ressources > Piles.

  4. Recherchez et cliquez sur la pile OAA.

  5. Dans la page Détails de la pile, cliquez sur Détruire. Cela va démarrer une tâche de destruction pour détruire la pile.

  6. Une fois la tâche de destruction réussie, si vous devez supprimer complètement la pile, cliquez sur Détails de la pile dans le chemin de navigation, puis sélectionnez Actions supplémentaires > Supprimer la pile.

  7. Assurez-vous que les grappes sont supprimées en naviguant jusqu'à Services de développement > Grappes Kubernetes (OKE). Sinon, supprimez manuellement les grappes.

  8. Lorsque les grappes sont arrêtées, les instances doivent également être arrêtées automatiquement. Naviguez jusqu'à Calcul > Instances et vérifiez que les instances sont supprimées. S'il n'est pas supprimé, résiliez-les manuellement.

  9. Vérifiez l'équilibreur de charge et le stockage de fichiers en naviguant jusqu'à Réseau > Équilibreurs de charge. Si des ressources existent toujours, mettez-les fin manuellement.

  10. Vérifiez que les réseaux VCN sont détruits en naviguant jusqu'à Réseau > Réseaux en nuage virtuels. Si ce n'est pas détruit, mettez fin manuellement aux réseaux en nuage virtuels. En cas de problème lors de l'arrêt du VCN, suivez la section Dépannage sous Suppression de sous-réseau ou de VCN.

  11. Vérifiez si les politiques d'identité sont supprimées en naviguant jusqu'à Identité et sécurité > Identité > Politiques. S'il n'est pas détruit, supprimez-le manuellement.

  12. Naviguez jusqu'à Identité et sécurité > Identité > Domaines. Sélectionnez le compartiment racine et sélectionnez votre domaine. Cliquez sur Groupes dynamiques et vérifiez que les groupes dynamiques sont supprimés. S'il n'est pas détruit, supprimez-le manuellement.

  13. Lorsque les étapes ci-dessus sont terminées, attendez quelques minutes pour vous assurer que toutes les ressources sont nettoyées. Vérifiez ensuite les limites pour vous assurer que ces ressources sont désormais gratuites en naviguant jusqu'à Gouvernance et administration > Limites, quotas et utilisation.

Tutoriel suivant

Pour tester le flux d'authentification multifacteur, voir Configuration d'Oracle Advanced Authentication et validation du flux de l'utilisateur final dans Oracle Cloud Marketplace.

Rétroaction

Pour obtenir des commentaires sur ce tutoriel, veuillez communiquer avec idm_user_assistance_ww_grp@oracle.com.

Pour obtenir du soutien technique, communiquez avec Oracle Support.

Remerciements