Intégrer Oracle Access Management avec Oracle Advanced Authentication

Introduction

Ce tutoriel vous explique comment intégrer Oracle Access Management (OAM) à Oracle Advanced Authentication (OAA) pour que les utilisateurs accédant à une application protégée puissent se connecter à OAM avec l'authentification unique (SSO) et y répondre par un second facteur d'authentification à plusieurs facteurs.

Il explique également comment configurer la migration des utilisateurs. La migration d'utilisateurs est un processus dans lequel un utilisateur se connecte à OAM et que cet utilisateur est automatiquement migré vers OAA avec des facteurs enregistrés en fonction des attributs LDAP définis. Les facteurs enregistrés pour chaque utilisateur sont basés sur les attributs LDAP définis dans le plug-in d'authentification OAA. Si l'un de ces attributs LDAP est défini dans la banque d'identités utilisateur par défaut d'OAM, ces facteurs sont automatiquement enregistrés pour l'utilisateur dans OAA. Dans le cadre de ce tutoriel, les attributs LDAP mail et mobile sont utilisés pour définir les facteurs Courriel et SMS pour un utilisateur.

Objectif

Dans ce tutoriel, vous allez effectuer les tâches suivantes :

  1. Enregistrer OAA en tant que partenaire TAP dans OAM
  2. Configurer l'agent OAM dans OAA
  3. Installer et configurer le plug-in et les modules OAA dans OAM
  4. Le test de l'intégration OAM amd OAA a réussi

Prérequis pour Oracle Access Management

Avant de suivre ce tutoriel, vous devez disposer des éléments suivants :

Dans le cadre d'une démonstration, ce tutoriel s'appuie sur l'environnement créé dans la série de tutoriels Getting Started with Oracle Access Management 12c. Dans cet environnement, Oracle Access Management utilise Oracle Unified Directory (OUD) comme banque d'identités utilisateur par défaut. Une application appelée mybank est déployée sur le serveur WebLogic et protégée via Oracle WebGate. Toutes les références de ce tutoriel aux noms d'hôte, URL, PATH et utilisateurs OAM sont basées sur celles utilisées dans les tutoriels Introduction à Oracle Access Management 12c.

Si vous utilisez les tutoriels ci-dessus pour votre environnement OAM, vous devrez télécharger l'exemple oaausers.ldif. Ce fichier contient les utilisateurs et les groupes requis avant l'installation d'OAA. Modifiez oaausers.ldif et mettez à jour mail, mobile et <password> pour chaque utilisateur avec des valeurs valides. Vous pouvez ainsi vérifier que lorsqu'un utilisateur se connecte (par exemple, testuser) à OAM, il est migré vers OAA en définissant ses facteurs sur SMS et Courriel. Exécutez ldapmodify -f oaausers.ldif sur OUD pour charger les utilisateurs et les groupes.

Prérequis pour l'authentification Oracle Advanced

Avant de suivre ce tutoriel, vous devez disposer des éléments suivants :

Enregistrer OAA en tant que partenaire TAP dans OAM

Dans cette section, vous enregistrez OAA en tant que partenaire Trusted Authentication Protocol (TAP) dans OAM.

Objectifs

Pour enregistrer OAA en tant que partenaire TAP dans OAM.

Enregistrer le partenaire TAP dans OAM

  1. Sur le serveur OAM, lancez une fenêtre de terminal en tant que oracle et entrez la commande suivante :

    cd /u01/app/oracle/product/middleware/oracle_common/common/bin
./wlst.sh

    La sortie obtenue ressemble à ce qui suit :

    Initializing WebLogic Scripting Tool (WLST) ...

Welcome to WebLogic Server Administration Scripting Shell

Type help() for help on available commands

wls:/offline>

  2. Connectez-vous au serveur d'administration OAM comme suit :

    wls:/offline> connect ('weblogic','<password>')

    La sortie obtenue ressemble à ce qui suit :

    Successfully connected to Admin Server "AdminServer" that belongs to domain "oam_domain".

Warning: An insecure protocol was used to connect to the server. 
To ensure on-the-wire security, the SSL port or Admin port should be used instead.

wls:/oam_domain/serverConfig/>

  3. Exécutez la commande suivante pour créer à nouveau le partenaire OAA TAP :

    wls:/oam_domain/serverConfig/> registerThirdPartyTAPPartner(partnerName = "<partner_name>", keystoreLocation= "<path_to_keystore>", password="<keystore_password>", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="<URL>")

    où :

    • <partner_name> est le nom que vous voulez donner pour l'application partenaire.
    • <path_to_keystore> est l'emplacement et le nom du fichier de clés à générer.
    • <keystore_password> est le mot de passe du fichier de clés généré.
    • tapRedirectUrl est une URL HTTP valide. L'URL doit être accessible et renvoyer une réponse 200 OK. N'utilisez pas d'URL HTTPS, sinon un message d'erreur apparaît.

    Par exemple :

    registerThirdPartyTAPPartner(partnerName = "OAM-MFAPartner", keystoreLocation= "/tmp/OAMOAAKeyStore.jks", password="********", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="http://oam.example.com:7777")

    La sortie obtenue ressemble à ce qui suit :

    Registration Successful
wls:/oam_domain/serverConfig/>

    Dans l'exemple ci-dessus, un keystore /tmp/OAMOAAKeyStore.jks sera généré. Cette clé et ce mot de passe seront utilisés ultérieurement lors de l'inscription d'OAM en tant qu'agent dans OAA.

  4. Exécutez la commande suivante pour quitter wlst :

    wls:/oam_domain/serverConfig/> exit()
Exiting WebLogic Scripting Tool.

Configurer l'agent OAM dans OAA

Dans cette section, vous configurez un agent OAM dans la console d'administration OAM.

Objectifs

Configurer un agent pour OAM dans OAA.

Configurer l'agent OAM dans OAA

  1. Connectez-vous à la console d'administration OAA avec vos informations d'identification d'administrateur. Par exemple : https://oaa.example.com/oaa-admin

  2. Sous Actions rapides, sélectionnez Créer un agent d'intégration OAM.

  3. Dans l'onglet Créer un agent d'intégration, Détails, entrez les informations suivantes :

    • Nom : <partner_name> où la valeur est identique au nom du partenaire TAP enregistré précédemment, par exemple : OAM-MFAPartner
    • Description : OAM TAP Partner for OAA
    • Type d'agent d'intégration : Oracle Access Management
    • ID client : cliquez sur Re-Generate
    • Clé secrète du client : cliquez sur Re-Generate
    • Fichier de clés privées : glissez-déplacez le fichier de clés créé lors de l'inscription du partenaire TAP, par exemple /tmp/OAMOAAKeyStore.jks, ou cliquez sur + pour le sélectionner dans le système de fichiers.
    • Mot de passe de clé privée : <password> Mot de passe saisi pour le fichier de clés lors de l'enregistrement du partenaire TAP

    Par exemple :

    Description de l'image createagent.jpg

  4. Copiez l'ID client (par exemple, e1d7dd2d-83e2-4ac8-b338-5dbc6348b526 et la clé secrète client (par exemple, 34e360cf-3ccc-4dcd-911e-0b00e367dcee9) dans un emplacement sécurisé car ces informations sont requises ultérieurement lors de la configuration d'OAM.

  5. Cliquez sur Enregistrer

  6. Dans l'écran Agents d'intégration, cliquez sur l'agent qui vient d'être créé, par exemple : OAM-MFAPartner

  7. Dans Niveaux d'assurance, cliquez sur Créer.

  8. Dans Créer un niveau d'assurance, entrez les informations suivantes et cliquez sur Créer :

    • Nom : OAM-MFA-Level
    • Description : OAM-MFA-Level for OAM Integration

    Par exemple :

    Description de l'image assurlevel.jpg

    Remarque : la valeur saisie pour Nom sera utilisée ultérieurement dans la configuration du plug-in OAM OAA pour ASSURANCE_LEVEL.

  9. Dans l'onglet Niveaux d'assurance, cliquez sur Niveau OAM-MFA.

  10. Sous Utilisations, sélectionnez les facteurs à affecter au niveau d'assurance, par exemple : Oracle Mobile Authenticator, Question de vérification par courriel et Question de sécurité SMS, puis cliquez sur Enregistrer.

    Par exemple :

    Description de l'image Definepolicy.jpg

Installer et configurer le plug-in OAA dans OAM

Dans cette section, vous configurez le module d'extension OAA dans OAM.

Objectifs

Configurer le plug-in OAA dans OAM et créer un module d'authentification associé pour activer l'intégration à OAA pour l'authentification par second facteur.

Installer le plug-in OAA pour OAM

Remarque : si vous utilisez OAM avec le patch de bundle du 22 avril (12.2.1.4.220404) ou une version ultérieure, vous pouvez ignorer cette section et passer à Create an Authentication Module for OAA car le module d'extension est inclus dans OAM par défaut.

  1. Sur l'environnement OAA où le pod oaamgmt est en cours d'exécution, copiez le plug-in OAA OAAAuthnPlugin.jar du répertoire /u01/oracle/libs du pod vers un répertoire sur l'ordinateur hôte (par exemple, /scratch/OAA) :

    $ kubectl cp <namespace>/<oaamgmt_pod>:/u01/oracle/libs/OAAAuthnPlugin.jar <directory>/OAAAuthnPlugin.jar

    Par exemple :

    $ kubectl cp oaans/oaamgmt-oaa-mgmt-5c68dc9c57-t2h6w:/u01/oracle/libs/OAAAuthnPlugin.jar /scratch/OAA/OAAAuthnPlugin.jar

  2. Lancez un navigateur et accédez à la console d'administration OAM : http://oam.example.com:7001/oamconsole. Connectez-vous en tant qu'utilisateur weblogic/<password>.

  3. Copiez OAAAuthnPlugin.jar sur l'ordinateur sur lequel le navigateur est exécuté.

  4. Accédez à Sécurité de l'application -> Plug-ins -> Plug-ins d'authentification.

  5. Dans l'onglet Plug-ins, sélectionnez Importer le plug-in.

  6. Dans la fenêtre Importer le plug-in, sélectionnez Choisir un fichier pour sélectionner le fichier du plug-in (*.jar). Sélectionnez l'emplacement de OAAAuthnPlugin.jar et cliquez sur Importer.

  7. Sur la même page, accédez au champ Rechercher et entrez OAAAuthnPlugin. Mettez le plug-in en surbrillance et sélectionnez Distribuer les éléments sélectionnés.

  8. Une fois que le statut d'activation du plug-in indique Distribué, sélectionnez Activer la sélection. Le statut d'activation doit passer à Activé.

    Par exemple :

    Description de l'image oaaauthnplugin.jpg

  9. Fermez l'onglet Plugins.

Créer un module d'authentification pour OAA

  1. Dans la console OAM, accédez à Sécurité des applications -> Modules d'authentification -> Modules d'authentification.

  2. Dans l'onglet Authentication Modules, cliquez sur Create Authentication Module puis sur Create Custom Authentication Module.

  3. Dans l'onglet Authentication Module -> General, entrez les informations suivantes :

    • Nom : OAA-MFA-Auth-Module
    • Description : OAA MFA Authentication Module

  4. Cliquez sur le lien Etapes et, dans l'onglet Etapes, cliquez sur Ajouter.

  5. Dans la fenêtre Ajouter une nouvelle étape, entrez les informations suivantes et cliquez sur OK :

    • Nom de l'étape : UserIdentificationStep
    • Description : Identify User
    • Nom de connexion : UserIdentificationPlugIn

  6. Cliquez à nouveau sur Ajouter, entrez les informations suivantes et cliquez sur OK :

    • Nom de l'étape : User OAA MFA Step
    • Description : MFA with OAA
    • Nom de connexion : OAAAuthnPlugin

  7. Cliquez à nouveau sur Ajouter, entrez les informations suivantes et cliquez sur OK :

    • Nom de l'étape : PasswordValidation
    • Description : Validate user password on OAM
    • Nom de connexion : UserAuthenticationPlugin

    Le module doit se présenter comme suit :

    Description de l'image modulesteps.jpg

  8. Cliquez sur User OAA MFA Step et renseignez les champs suivants :

    • OAA_URL : <SPUI_URL/authn/v1>, par exemple https://oaa.example.com/oaa/rui/authn/v1
    • TAP_AGENT : <partner_name>. Cette valeur doit être le nom indiqué lors de l'inscription du partenaire TAP auprès d'OAM, par exemple OAM-MFAPartner
    • APPLICATION_ID : <app_id>. Il s'agit du nom du groupe OAA à associer aux utilisateurs OAM migrés vers OAA, par exemple Default. Cette valeur doit correspondre à la valeur oauth.applicationid utilisée lors de l'installation d'OAA. Sinon, les utilisateurs finals ne pourront pas accéder à l'interface utilisateur des préférences utilisateur.
    • IDENTITY_STORE_REF : <default_user_identity_store>. Cette valeur doit être définie sur la valeur de l'emplacement de stockage par défaut définie dans la console OAM -> Configuration -> Emplacements de stockage des identités de l'utilisateur. Par exemple, OUDStore
    • ASSURANCE_LEVEL : <assurance_level>. Cette valeur doit être définie sur le niveau d'assurance créé précédemment dans OAA, par exemple OAM-MFA-Level
    • CLIENT_ID : <client_id>. Il s'agit de la valeur de l'ID client copié lors de la création de l'agent précédemment. Par exemple : e1d7dd2d-83e2-4ac8-b338-5dbc6348b526
    • CLIENT_SECRET : <client_secret>. Il s'agit de la valeur de l'ID client copié lors de la création de l'agent précédemment. Par exemple : 34e360cf-3ccc-4dcd-911e-0b00e367dcee
    • LDAP_ATTRS: mail,mobile. Il s'agit des attributs LDAP définis pour l'adresse électronique et le numéro de téléphone portable des utilisateurs du serveur LDAP. Cela permet de migrer les données utilisateur vers OAA. Remarque : LDAP_ATTRS doit être indiqué en minuscules. Cela est vrai même si l'attribut LDAP est stocké dans LDAP en tant que camelCase.

    Par exemple :

    Description de l'image useoaamfastep.jpg

  9. Cliquez sur Enregistrer.

  10. Cliquez sur Orchestration des étapes et, dans la liste déroulante Etape initiale, sélectionnez Etape MFA OAA utilisateur.

  11. Dans le tableau, sélectionnez les valeurs comme suit :

    Nom Description En cas de réussite En cas d'échec En cas d'erreur
    UserIdentificationStep Identifier l'utilisateur Validation de mot de passe échec Echec
    Utiliser l'étape MFA OAA MFA avec OAA succès UserIdentificationStep Echec
    PasswordValidation Valider le mot de passe utilisateur sur OAM Utiliser l'étape MFA OAA Echec Echec

    Par exemple :

    Description de l'image Stepsorchestration.jpg

  12. Cliquez sur Appliquer.

Créer un modèle d'authentification OAA

  1. Dans le panneau de lancement Application Security -> Access Manager, cliquez sur Schémas d'authentification.

  2. Dans l'onglet Schémas d'authentification, sélectionnez Créer un schéma d'authentification.

  3. Dans l'onglet Create Authentication Scheme, entrez les informations suivantes :

    • Nom : <scheme_name>, par exemple OAA-MFA-Scheme
    • Description : OAA MFA Authentication Scheme
    • Niveau d'authentification: 2
    • Méthode de vérification : Form
    • URL de réacheminement de défi : /oam/server/
    • Module d'authentification : OAA-MFA-Auth-Module
    • URL de défi : /pages/login.jsp
    • Type de contexte : Default
    • Valeur contextuelle : /oam
    • Paramètres de défi : initial_command=NONE. Ce paramètre permet une connexion sans mot de passe. Voir Connexion sans mot de passe

    Description de l'image authnscheme.jpg

  4. Cliquez sur Appliquer.

Mettez à jour WebGate pour utiliser le modèle d'authentification à plusieurs facteurs OAA pour l'application protégée

Remarque : dans les exemples ci-dessous, la passerelle Web webgate_7777 est utilisée et l'URL d'application protégée est /mybank. Modifiez-le si vous utilisez quelque chose de différent.

  1. Dans le panneau de lancement Application Security -> Access Manager, cliquez sur Domaines d'application.

  2. Dans l'onglet Domaine d'application, cliquez sur Rechercher.

  3. Cliquez sur WebGate pour mettre à jour, par exemple : webgate_7777.

  4. Dans l'onglet WebGate (webgate_7777), cliquez sur Stratégies d'authentification. Cliquez sur Créer.

  5. Dans Créer une stratégie d'authentification, entrez les informations suivantes et cliquez sur Appliquer :

    • Nom : OAA_MFA-Policy
    • Modèle d'authentification : OAA-MFA-Scheme

  6. Dans l'onglet WebGate (webgate_7777), sélectionnez l'onglet Ressources, cliquez sur Rechercher, puis sur Créer.

  7. Dans l'onglet Créer une ressource, entrez les informations suivantes et cliquez sur Appliquer :

    • Type : HTTP
    • Description : OAA Resource
    • identificateur d'hôte : webgate_7777
    • URL de ressource : /mybank/**
    • Opérations : ALL
    • Niveau de protection : Protected
    • Stratégie d'authentification : OAA_MFA-Policy
    • Stratégie d'autorisation : Protected Resource Policy

    Remarque : si vous disposez d'autres URI /mybank déjà protégés, mettez-les à jour et remplacez la stratégie d'authentification par OAA_MFA_Policy.

  8. Redémarrez les serveurs OAM pour récupérer la nouvelle configuration de plug-in OAA.

Tester l'intégration OAM et OAA

Dans cette section, vous accédez à l'application protégée, connectez-vous à OAM et testez le fonctionnement de l'authentification par second facteur.

Objectifs

Pour tester l'intégration OAA et OAM, procédez comme suit.

Tester l'intégration OAM et OAA

  1. Lancez un navigateur et accédez à l'application protégée, par exemple : http://oam.example.com:7777/mybank. Cette application étant protégée, vous devez être redirigé vers la page de connexion OAM. Connectez-vous en tant que nouvel utilisateur testuser/<password>.

    Description de l'image oamlogin.jpg

  2. Si la connexion est établie, vous serez redirigé vers l'adresse OAA, par exemple : https://oaa.example.com/oaa/authnui. Comme LDAP_ATTRS pour le module d'extension OAA dans OAM est défini sur mail,mobile et que ces attributs LDAP sont renseignés pour l'utilisateur test, une page de choix de question de vérification s'affiche pour que l'utilisateur puisse sélectionner EMAIL ou SMS. Sous Question de vérification par courriel, sélectionnez Envoyer le mot de passe à usage unique à te**@**.com.

    Description de l'image challengeechoice.jpg

  3. Vous serez redirigé vers la page Courriel où vous êtes invité à saisir le mot de passe à usage unique à partir du courriel enregistré Device1. Dans le champ Entrer le mot de passe à usage unique, entrez le code secret à usage unique envoyé par courriel à l'adresse électronique des utilisateurs, puis cliquez sur Vérifier.

    Description de l'image emailotp.jpg

  4. Si l'authentification réussit, vous devez être redirigé vers la page de l'application protégée, par exemple /mybank.

    Description de l'image mybank.jpg

  5. Fermez le navigateur existant et lancez un nouveau navigateur. Accédez de nouveau à l'application protégée, par exemple : http://oam.example.com:7777/mybank.

  6. La connexion sans mot de passe étant activée via le paramètre initial_command=NONE dans le modèle d'authentification OAA-MFA-Scheme, l'utilisateur n'est pas invité à saisir l'utilisateur et le mot de passe OAM et est invité à choisir sa deuxième méthode d'authentification à facteur. Sous Question de vérification SMS, choisissez Envoyer le mot de passe à usage unique au téléphone 0****3.

    Description de l'image challengeechoice.jpg

  7. Vous serez redirigé vers la page SMS où vous êtes invité à saisir le mot de passe à usage unique à partir du dispositif SMS enregistré. Dans le champ Entrer le mot de passe à usage unique, entrez le code secret à usage unique envoyé au dispositif mobile des utilisateurs et cliquez sur Vérifier.

  8. Si l'authentification réussit, vous devez être redirigé vers la page de l'application protégée, par exemple /mybank.

En savoir plus

Commentaires

Pour faire part de vos commentaires sur ce tutoriel, veuillez contacter idm_user_assistance_ww_grp@oracle.com

Remerciements

Ressources de formation supplémentaires

Explorez d'autres exercices sur docs.oracle.com/learn ou accédez à davantage de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir Oracle Learning Explorer.

Pour consulter la documentation du produit, consultez le centre d'aide Oracle.