Déploiement d'Oracle Advanced Authentication sur Oracle Cloud Marketplace

Introduction

Ce tutoriel vous explique comment déployer Oracle Advanced Authentication (OAA) et les produits dépendants sur Oracle Cloud Marketplace à des fins d'évaluation.

Une fois déployés, les administrateurs peuvent évaluer l'authentification à plusieurs facteurs avec les applications protégées OAA pour Oracle Access Management (OAM).

Remarque : les administrateurs doivent connaître les points suivants :

Ce déploiement ne doit être utilisé qu'à des fins d'évaluation et ne doit être utilisé qu'avec des données non sensibles.
Le facteur de notification Push n'est actuellement pas pris en charge avec OAA sur Oracle Cloud Marketplace.
Oracle Universal Authenticator n'est actuellement pas pris en charge avec OAA sur Oracle Cloud Marketplace.

OAA sur Oracle Cloud Marketplace est déployé dans un cluster Kubernetes (K8S) à l'aide d'Oracle Kubernetes Engine (OKE). Le déploiement sur Oracle Cloud Marketplace déploie les produits et composants Oracle suivants :

Oracle Database
Oracle Unified Directory (OUD)
Oracle Access Management (OAM)
Oracle Advanced Authentication (OAA)
Oracle HTTP Server (OHS)

L'architecture déployée est la suivante :

Facteurs disponibles

Les facteurs suivants sont disponibles avec le déploiement d'OAA Marketplace sans autre configuration d'administrateur :

Code secret à usage unique basé sur le temps (TOTP) avec un authentificateur mobile
FIDO2
Clé YubiKey

Les facteurs suivants nécessitent une configuration supplémentaire de l'administrateur après le déploiement s'ils sont requis pour l'évaluation :

Questions de sécurité
Courriel
SMS

Remarque : Dans tous les cas, l'utilisateur final doit accéder au portail en libre-service pour ajouter les facteurs à évaluer. Pour plus d'informations sur les tâches d'administrateur et d'utilisateur final, reportez-vous à la section Prochain tutoriel.

Utilisateurs créés

Le déploiement crée les utilisateurs suivants dans Oracle Unified Directory :

weblogic_iam : nom utilisateur permettant de se connecter à la console d'administration OAM.
oaaadmin : nom utilisateur permettant de se connecter à la console d'administration OAA.
oaauser1, oaauser2, oaauser3, oaauser4, oaauser5 - Noms d'utilisateur permettant à l'utilisateur final de s'authentifier via OAM et de se connecter au portail en libre-service OAA.

Volumes NFS créés

Les volumes NFS créés pour OAA par le déploiement Oracle Cloud Marketplace sont les suivants :

<NFS_CREDS_PATH>: /mnt/oaa/oaacredpv
<NFS_CONFIG_PATH>: /mnt/oaa/oaaconfigpv
<NFS_VAULT_PATH>: /mnt/oaa/oaavaultpv
<NFS_LOGS_PATH>: /mnt/oaa/oaalogpv

Ces volumes sont accessibles à partir du noeud de bastion.

Pour plus d'informations sur les volumes NFS et leur contenu, reportez-vous à Configuration de volumes NFS.

Flux utilisateur final standard

Voici un flux standard qui peut être évalué à l'aide d'AAO sur Oracle Cloud Marketplace :

Un utilisateur final, par exemple oaauser1, configure ses facteurs pour l'authentification à plusieurs facteurs dans le portail en libre-service.
L'utilisateur final accède à une page (bank-emp.html) protégée via OAM et une stratégie d'authentification à plusieurs facteurs OAA.
L'utilisateur final est redirigé vers OAM pour se connecter avec ses informations d'identification (oaauser1/<password>).
OAM déclenche l'authentification à plusieurs facteurs en fonction des stratégies OAA. L'utilisateur est invité à effectuer l'authentification à plusieurs facteurs ou l'authentification sans mot de passe à l'aide de l'un de ses facteurs configurés.
Une fois l'authentification réussie, la page protégée s'affiche.

Prérequis OCI

Avant de déployer OAA sur Oracle Cloud Marketplace, vous devez disposer d'un accès administrateur sur une location publique OCI.

Voici les quotas requis dans votre domaine de disponibilité pour déployer OAA :

1 cluster OKE
4 noeuds de calcul pour le pool de noeuds (8 UC avec 64 Go de RAM)
1 noeud de calcul pour le bastion (2 CPU avec 16 Go de RAM)
1 système de fichiers, 2 cibles de montage
1 équilibreur de charge (100 Mbps)
2 réseaux cloud virtuels avec Internet, NAT et passerelle de service

Remarque : facultatif. Il est recommandé de créer un compartiment pour le déploiement OAA. Reportez-vous à Création d'un compartiment

Pour vérifier vos quotas :

OAA requiert quatre (4) noeuds de calcul ou plus pour le pool de noeuds et un (1) noeud de calcul pour le bastion dans le domaine de disponibilité respectif. Pour vérifier que vous disposez de suffisamment de noeuds de calcul disponibles :
1. Accédez à la console OCI et au menu de navigation.
2. Accédez à Gouvernance et administration > Limites, quota et utilisation.
3. Cochez la case Afficher les limites en phase d'abandon.
4. Dans le menu déroulant SERVICE, sélectionnez Compute.
5. Dans le menu SCOPE, sélectionnez le domaine de disponibilité approprié.
6. Dans le menu COMPARTMENT, sélectionnez le compartiment root.
7. Dans le menu Ressource, sélectionnez la forme de noeud à vérifier. Vous devez choisir une forme qui autorise 8 UC avec 64 Go de RAM pour le pool de noeuds, et 2 UC et 16 Go de RAM pour le bastion.
8. Vérifiez la colonne Disponible et assurez-vous que vous disposez de suffisamment de calculs pour la forme de noeud à déployer.

Pour plus d'informations sur les formes de calcul disponibles, reportez-vous à Formes de calcul.

OAA exige que deux (2) ressources de réseau cloud virtuel (VCN) soient disponibles dans la location. Pour vérifier que vous avez suffisamment de VCN disponibles :
1. Dans le menu déroulant SERVICE, sélectionnez Réseau cloud virtuel.
2. Dans le menu SCOPE, sélectionnez votre location.
3. Dans le menu Ressource, sélectionnez Nombre de réseaux cloud virtuels.
4. Vérifiez la colonne Disponible et assurez-vous qu'au moins deux (2) VCN sont disponibles.
OAA requiert une (1) ressource d'équilibreur de charge 100Mbps disponible :
1. Dans le menu déroulant SERVICE, sélectionnez LbaaS.
2. Dans le menu SCOPE, sélectionnez votre location.
3. Dans le menu Ressource, sélectionnez 100Mbps Nombre d'équilibreurs de charge.
4. Vérifiez la colonne Disponible et assurez-vous qu'au moins un (1) équilibreur de charge est disponible.
OAA requiert la disponibilité d'un (1) cluster OKE :
1. Dans le menu déroulant SERVICE, sélectionnez Moteur de conteneur.
2. Dans le menu SCOPE, sélectionnez votre location.
3. Dans le menu Ressource, sélectionnez Nombre de clusters de base.
4. Vérifiez la colonne Disponible et assurez-vous qu'au moins un (1) est disponible.
OAA requiert une (1) ressource de système de fichiers et une (2) ressource de cible de montage :
1. Dans le menu déroulant SERVICE, sélectionnez File Storage.
2. Dans le menu SCOPE, sélectionnez votre domaine de disponibilité.
3. Vérifiez la colonne Disponible et assurez-vous qu'au moins une (1) ressource est disponible pour Nombre de systèmes de fichiers et que deux (2) ressources sont disponibles pour Nombre de cibles de montage.

Pour plus d'informations sur les ressources, reportez-vous à Quotas de compartiment.

Provisionner OAA sur Oracle Cloud Marketplace

Accédez à Oracle Cloud Marketplace.
Recherchez la liste Oracle Advanced Authentication et sélectionnez-la.
Dans la liste Oracle Advanced Authentication, vérifiez que les détails de la version affichent la version 12.2.1.4.1-<DATE>.
Lancez l'installation dans votre location en sélectionnant Obtenir l'application.
Connectez-vous à votre location.
Dans le coin supérieur droit de l'écran, sélectionnez la région OCI.
Sélectionnez le compartiment dans lequel l'instance OAA sera déployée.

Remarque : ne sélectionnez pas le compartiment (racine) par défaut.

Veillez à cocher la case concernant les conditions générales.
Cliquez sur Lancer une pile.
Dans l'écran Informations sur la pile, modifiez le nom en fonction de vos besoins et ajoutez une description si nécessaire. Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.

Dans l'écran Configurer les variables, entrez les variables comme suit et cliquez sur Suivant :

Détails de location:

Nom	Value
`Region`	La région doit être identique à celle indiquée dans l'URL de la console OCI.
`Availability Domain`	Domaine de disponibilité dans lequel OAA sera déployé.

Moteur Oracle Kubernetes (OKE) :

Cliquez sur Afficher les options avancées OKE :

Nom	Value
`OKE Nodepool Instance Shape`	Choisissez la forme pour les calculs du pool de noeuds, par exemple `VM.Standard.E4.Flex`.
`OCPU Count`	8
`Memory`	64GB
`Size of the Node Pool`	Quatre (4) ou plus. Conformément à la section Prérequis OCI, assurez-vous de vérifier la disponibilité des ressources de calcul dans le domaine de disponibilité choisi pour la forme de pool de noeuds. Par exemple, si vous indiquez quatre (4) noeuds, assurez-vous que quatre (4) ressources de calcul de la forme de machine virtuelle choisie sont disponibles.

Bastion - Noeuds de calcul :

Nom	Value
`Bastion Instance Shape`	Choisissez la forme du bastion, par exemple : `VM.Standard.E4.Flex`. Conformément à la section Prérequis OCI, assurez-vous de vérifier la disponibilité des ressources de calcul dans le domaine de disponibilité choisi pour le noeud de bastion. Une (1) ressource de calcul de la forme de machine virtuelle choisie est requise.
`OCPU Count`	2
`Memory`	16GB
`Common Password`	Mot de passe commun à utiliser pour tous les composants. Le mot de passe doit correspondre à l'expression régulière : ^[a-zA-Z0-9.\-/+=@_]*$\|

Les autres variables peuvent rester conformes à leurs valeurs par défaut.

Dans l'écran Vérifier, vérifiez les variables de configuration et sélectionnez Créer.

Cela déclenche un travail qui sera affiché dans la console OCI. Le travail s'affiche en tant que IN PROGRESS et dans la section Logs en bas de l'écran, des détails sur la progression du déploiement sont affichés.

La durée du travail prend environ 90 minutes. Une fois le travail réussi, le statut du travail affiche SUCCEEDED.

Ajout de l'adresse IP publique au fichier d'hôtes locaux

Cette section contient l'adresse IP publique de l'équilibreur de charge. L'adresse IP et le nom d'hôte (login.example.com) sont ensuite ajoutés au fichier des hôtes locaux de tout ordinateur qui doit évaluer OAA.

Accédez à la console OCI et, dans le menu de navigation, sélectionnez Resource Manager > Piles.
Sélectionnez le compartiment approprié dans la liste déroulante. La liste des piles du compartiment apparaît. Sélectionnez la pile que vous venez de créer, par exemple OAA.
Cliquez sur le travail qui vient d'être exécuté. Dans la section Ressources, cliquez sur le lien Journaux du travail.
Dans la sortie Logs, recherchez la chaîne load_balancer_public_ip à l'aide de la recherche dans le navigateur. Notez l'adresse IP publique de l'équilibreur de charge.
Ajoutez une entrée au fichier d'hôtes local pour mettre en correspondance l'adresse IP de l'équilibreur de charge avec le nom d'hôte défini. Cela doit être fait sur tous les ordinateurs qui doivent évaluer OAA.

Remarque : vous devez utiliser le nom d'hôte répertorié ci-dessous :
```
<LB_PUBLIC_IP> login.example.com
```

Téléchargement de l'autorité de certification sécurisée

Dans cette section, vous téléchargez le certificat d'autorité de certification (CA) qui a signé le certificat d'équilibreur de charge. Vous importez ensuite le certificat CA dans n'importe quel navigateur qui doit accéder à OAA et le tester.

Remarque : vous devez tester l'authentification OAA FIDO2 et éviter les erreurs de certificat dans le navigateur lors de l'accès aux URL OAA ou OAM.

Exécutez la commande suivante pour obtenir les certificats :
```
openssl s_client -connect login.example.com:443 -showcerts </dev/null 2>/dev/null| sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > certs.pem
```
Remarque : utilisez Git Bash pour exécuter la commande ci-dessus si elle est exécutée dans un environnement Windows.
Modifiez certs.pem. certs.pem contient deux certificats. Le certificat supérieur du fichier est le certificat d'équilibreur de charge. Le certificat inférieur dans le fichier est le certificat CA. Copiez le certificat CA (de -----BEGIN CERTIFICATE----- à -----END CERTIFICATE-----).
Créez un fichier oaamktplaceca.pem, collez le certificat copié dans ce fichier et enregistrez-le.
Copiez le fichier oaamktplaceca.pem sur un ordinateur dont le navigateur accède aux URL OAA et OAM.
Importez le certificat dans le magasin Trusted Certificate Authority du navigateur. Consultez la documentation de votre navigateur pour plus de détails si nécessaire.

Connexion via SSH à l'hôte Bastion

Pour vous connecter via SSH au bastion :

Accédez à la console OCI et, dans le menu de navigation, sélectionnez Resource Manager > Piles.
Sélectionnez le compartiment approprié dans la liste déroulante. La liste des piles du compartiment apparaît. Sélectionnez la pile que vous venez de créer, par exemple OAA.
Cliquez sur le travail qui vient d'être exécuté. Dans la section Ressources, cliquez sur le lien Afficher l'état du travail.
Dans la fenêtre Afficher l'état, recherchez la chaîne ssh_to_bastion à l'aide de la recherche du navigateur. A la fin de la ligne value, notez l'adresse IP, par exemple : opc@<bastion_ip>.

A partir de la même ligne value, copiez les données de clé privée affichées (de -----BEGIN RSA PRIVATE KEY---- à -----END RSA PRIVATE KEY-----\n). Créez un fichier, par exemple oaamktplace.key, collez la valeur copiée dans le fichier et enregistrez :

-----BEGIN RSA PRIVATE KEY-----\nXXXXXXXXXXXXYYYYYYYYYYYYYYPPPPPPPPPPP++YYYYY
YYYYTTTTTTTTTTT\IIIIIIIIIhhhhjjuuuuuu/VVVuuuuuuuuuuu908888/zdS1UCdLr/Q2q9yd12
etc.....................................................................
+Qjl5\nxOByCUtZ8TbRbQMgEA/6G6wzVQ+mjCPy0n0ykxhWaHVj22ytfxKtApNLjwhtlZm
\npD58jI0CgYEAv3GvEcfVPg92KmN8OH+hSrkLzz22bemNqioRvKi2mXBwfk0xu0kK\nvTdjVqwbD
lCeAhISJxXdsT3J83pyeaGm6TrxBwUptJ8SzlZgFptpJffE1acAq8m\nXd7RoF2rBqZ5HHYYYYYkl
kkk90zedjxPoJW6XxC3ljingatsgJzAixIMSc8=\n-----END RSA PRIVATE KEY-----\n

Exécutez la commande suivante pour convertir les caractères "\n" et modifier les autorisations sur le fichier :
```
sed -i 's/\\n/\n/g' oaamktplace.key
```
```
chmod 400 oaamktplace.key
```
Remarque : les administrateurs doivent connaître les points suivants :
- En cas d'exécution dans un environnement Windows, vous pouvez exécuter la commande à l'aide d'un outil tel que Git Bash, ou encore modifier le fichier de clés dans un éditeur de texte et supprimer tous les caractères "\n".
- Sous Windows, n'exécutez pas la commande chmod 400, mais modifiez les propriétés du fichier en lecture seule.
Ouvrez le fichier oaamktplace.key et vérifiez que les caractères \n ont été enlevés.
Connectez-vous à l'hôte du bastion à l'aide du fichier de clés privées :
```
ssh -i oaamktplace.key opc@<bastion_ip>
```
La connexion doit être réussie.

Valider le déploiement OAA

Dans cette section, vous allez vérifier que tous les composants de l'environnement OAA fonctionnent correctement et que vous pouvez accéder aux consoles d'administration et au portail en libre-service.

A partir de la session SSH sur l'hôte de bastion, exécutez la commande suivante pour vérifier le statut des pods OAA :

kubectl get pods -n oaans

La sortie obtenue ressemble à ce qui suit . Tous les pods doivent être READY 1\1 et RUNNING :

NAME                                READY   STATUS    RESTARTS   AGE
edg-email-74766c4548-v58qd          1/1     Running   0          1h
edg-fido-6d45456459-pbjw6           1/1     Running   0          1h
edg-oaa-9c9bb4bf-r2fx9              1/1     Running   0          1h
edg-oaa-admin-ui-79866b8fdc-8lh4z   1/1     Running   0          1h
edg-oaa-drss-6b47b788b6-8xtlk       1/1     Running   0          1h
edg-oaa-kba-686c76679c-29nfl        1/1     Running   0          1h
edg-oaa-policy-6448db6fd8-bzjjb     1/1     Running   0          1h
edg-push-77dc7db499-rcgp4           1/1     Running   0          1h
edg-risk-59b856c99c-9qvhn           1/1     Running   0          1h
edg-risk-cc-6fb6d7b94c-7z8vq        1/1     Running   0          1h
edg-sms-688679d548-jlxpc            1/1     Running   0          1h
edg-spui-86dd46d59f-rtgpn           1/1     Running   0          1h
edg-totp-7f9db7894-mjx82            1/1     Running   0          1h
edg-yotp-7c88b7fff5-wjjm4           1/1     Running   0          1h
oaamgmt                             1/1     Running   0          1h

Ouvrez un navigateur Web sur votre ordinateur et accédez aux consoles suivantes. Connectez-vous avec le nom utilisateur approprié à l'aide de l'adresse <COMMON_PASSWORD> que vous avez saisie lors du déploiement. Assurez-vous de vous déconnecter de la console avant d'accéder à la console suivante :

Console	URL	Nom utilisateur
Console d'administration OAM	`https://login.example.com/oamconsole`	`weblogic_iam`
Console d'administration OAA	`https://login.example.com/oaa-admin/index.html`	`oaaadmin`
Portail libre service OAA	`https://login.example.com/oaa/rui`	`oaauser1` - `oaauser5`

Remarque : si vous avez correctement importé le certificat d'autorité de certification dans le navigateur, il ne devrait y avoir aucune erreur de certificat.

Destruction ou suppression de la pile OAA

Si vous devez détruire la pile OAA pour effectuer un nettoyage à partir d'un déploiement en échec ou supprimer complètement la pile, procédez comme suit :

Remarque : les étapes 1 et 2 ci-dessous peuvent ne pas être possibles si le déploiement a échoué avant la création de l'hôte de bastion ou si invoke_oaa n'a pas été exécuté. Dans les deux cas, passez directement à l'étape 3.

Connectez-vous via SSH au bastion conformément à la section Connexion via SSH à l'hôte de bastion.
Exécutez la commande suivante sur l'hôte du bastion :
```
/home/opc/oaascripts/utils/delete_all.sh
```
Dans la console OCI, accédez à Services de développeur > Resource Manager > Piles.
Recherchez et cliquez sur la pile OAA.
Sur la page Détails de la pile, cliquez sur Détruire. Un travail de destruction est alors lancé pour détruire la pile.
Une fois le travail de destruction terminé, si vous devez supprimer complètement la pile, cliquez sur Détails de pile dans le chemin de navigation, puis sélectionnez Actions supplémentaires > Supprimer la pile.
Assurez-vous que les clusters sont supprimés en accédant à Services de développeur > Clusters Kubernetes (OKE). Sinon, supprimez manuellement les clusters.
Une fois les clusters terminés, les instances doivent également prendre fin automatiquement. Accédez à Compute > Instances et vérifiez que les instances ont été supprimées. Si elle n'est pas supprimée, arrêtez-les manuellement.
Vérifiez l'équilibreur de charge et le stockage de fichiers en accédant à Networking > Equilibreurs de charge. Si des ressources existent encore, mettez-les manuellement fin.
Vérifiez que les réseaux VCN sont détruits en accédant à Networking > Virtual Cloud Networks. Si aucun réseau cloud virtuel n'est détruit, arrêtez-le manuellement. Si des problèmes surviennent lors de la terminaison du VCN, suivez la section Dépannage dans Suppression de sous-réseau ou de VCN.
Vérifiez si les stratégies d'identité sont enlevées en accédant à Identité et sécurité > Identité > Stratégies. S'il n'est pas détruit, supprimez-le manuellement.
Accédez à Identité et sécurité > Identité > Domaines. Sélectionnez le compartiment racine et le domaine. Cliquez sur Groupes dynamiques et vérifiez que les groupes dynamiques sont enlevés. S'il n'est pas détruit, supprimez-le manuellement.
Une fois les étapes ci-dessus terminées, attendez quelques minutes pour vous assurer que toutes les ressources sont nettoyées. Vérifiez ensuite les limites pour vous assurer que ces ressources sont désormais gratuites en accédant à Gouvernance et administration > Limites, quota et utilisation.

Tutoriel suivant

Pour tester le flux d'authentification à plusieurs facteurs, reportez-vous à Configuration d'Oracle Advanced Authentication et validation du flux utilisateur final sur Oracle Cloud Marketplace.

Informations en retour

Pour donner votre avis sur ce tutoriel, veuillez contacter idm_user_assistance_ww_grp@oracle.com.

Pour obtenir un support technique, contactez le support technique Oracle.

Remerciements

Auteur - Russ Hodgson

Informations relatives au titre et au copyright

Deploying Oracle Advanced Authentication on Oracle Cloud Marketplace

G36595-01