Distribuzione di Oracle Advanced Authentication su Oracle Cloud Marketplace

Introduzione

Questa esercitazione descrive come distribuire Oracle Advanced Authentication (OAA) e i prodotti dipendenti su Oracle Cloud Marketplace a scopo di valutazione.

Una volta distribuiti, gli amministratori possono eseguire la valutazione dell'autenticazione a più fattori (MFA) con OAA per le applicazioni protette da Oracle Access Management (OAM).

Nota: gli amministratori devono essere consapevoli degli elementi riportati di seguito.

• Questa distribuzione deve essere utilizzata solo a scopo di valutazione e deve essere utilizzata solo con dati non sensibili.
• Il fattore di notifica push non è attualmente supportato con OAA su Oracle Cloud Marketplace.
• Oracle Universal Authenticator non è attualmente supportato con OAA su Oracle Cloud Marketplace.

OAA su Oracle Cloud Marketplace viene distribuito in un cluster Kubernetes (K8S) utilizzando Oracle Kubernetes Engine (OKE). La distribuzione su Oracle Cloud Marketplace implementa i seguenti prodotti e componenti Oracle:

• Oracle Database
• Oracle Unified Directory (OUD)
• Oracle Access Management (OAM)
• Oracle Advanced Authentication (OAA)
• Oracle HTTP Server (OHS)

L'architettura distribuita è la seguente:

Fattori disponibili

Con la distribuzione di OAA Marketplace sono disponibili i seguenti fattori senza ulteriori configurazioni dell'amministratore:

• Passcode monouso (TOTP) basato sul tempo con un autenticatore mobile
• FIDO2
• YubiKey

I seguenti fattori richiedono una configurazione aggiuntiva dell'amministratore dopo la distribuzione se sono necessari per la valutazione:

• Domande di sicurezza
• E-mail
• SMS

Nota: in tutti i casi l'utente finale dovrà accedere al portale Self-Service per aggiungere i fattori da valutare. Ulteriori informazioni sui task dell'amministratore e dell'utente finale sono disponibili nella sezione Esercitazione successiva.

Utenti creati

La distribuzione crea gli utenti riportati di seguito in Oracle Unified Directory.

• weblogic_iam: nome utente per eseguire il login alla console di amministrazione di OAM.
• oaaadmin: nome utente per eseguire il login alla console di amministrazione OAA.
• oaauser1, oaauser2, oaauser3, oaauser4, oaauser5: nomi utente per l'utente finale da autenticare tramite OAM e per eseguire il login al Portale OAA Self-Service.

Volumi NFS creati

Di seguito sono riportati i volumi NFS creati per OAA dalla distribuzione di Oracle Cloud Marketplace:

• <NFS_CREDS_PATH>: /mnt/oaa/oaacredpv
• <NFS_CONFIG_PATH>: /mnt/oaa/oaaconfigpv
• <NFS_VAULT_PATH>: /mnt/oaa/oaavaultpv
• <NFS_LOGS_PATH>: /mnt/oaa/oaalogpv

Questi volumi sono accessibili dal nodo bastion.

Per ulteriori informazioni sulla configurazione dei volumi NFS e dei relativi contenuti, vedere Configuring NFS Volumes.

Flusso utente finale tipico

Di seguito è riportato un flusso tipico che può essere valutato utilizzando OAA su Oracle Cloud Marketplace:

1. Un utente finale, ad esempio oaauser1, configura i propri fattori per l'autenticazione MFA nel portale self-service.
2. L'utente finale accede a una pagina (bank-emp.html) protetta tramite OAM e un criterio MFA OAA.
3. L'utente finale viene reindirizzato a OAM per eseguire il login con le proprie credenziali (oaauser1/<password>).
4. OAM attiva l'autenticazione MFA in base ai criteri OAA. All'utente viene richiesto di completare l'autenticazione MFA o senza password utilizzando uno dei fattori configurati.
5. Al completamento dell'autenticazione viene visualizzata la pagina protetta.

Prerequisiti OCI

Prima di distribuire OAA su Oracle Cloud Marketplace, è necessario disporre dell'accesso amministratore su una tenancy pubblica OCI.

Di seguito sono riportate le quote necessarie nel dominio di disponibilità per distribuire OAA.

• 1 cluster OKE
• 4 nodi di calcolo per il pool di nodi (8 CPU con RAM da 64 GB)
• 1 nodo di calcolo per il bastion (2 CPU con 16 GB di RAM)
• 1 file system, 2 destinazioni di accesso
• 1 Load Balancer (100 Mbps)
• 2 reti cloud virtuali (VCN) con Internet, NAT e gateway del servizio

Nota: facoltativa. Si consiglia di creare un nuovo compartimento per la distribuzione OAA. Vedere Creazione di un compartimenti.

Per controllare le quote:

1. OAA richiede quattro (4) o più nodi di calcolo per il pool di nodi e un (1) nodo di calcolo per il bastion nel rispettivo dominio di disponibilità. Per verificare di disporre di un numero sufficiente di nodi di calcolo:

   1. Accedere alla console OCI e accedere al menu di navigazione.
   2. Passare a Governance e amministrazione > Limiti, quota e uso.
   3. Selezionare la casella di controllo Mostra limiti non più validi.
   4. Nel menu a discesa SERVIZIO selezionare Computazione.
   5. Dal menu SCOPO selezionare il dominio di disponibilità appropriato.
   6. Nel menu COMPARTMENT selezionare il compartimento root.
   7. Nel menu Risorsa selezionare la forma del nodo da controllare. È necessario scegliere una forma che consenta 8 CPU con 64 GB di RAM per il pool di nodi e 2 CPU e 16 GB di RAM per il bastion.
   8. Controllare la colonna Disponibile e assicurarsi di disporre di un numero sufficiente di calcoli per la forma nodo che si desidera distribuire.

Per ulteriori informazioni sulle forme di computazione disponibili, consulta la sezione relativa alle forme di computazione.

1. OAA richiede che due (2) risorse della rete cloud virtuale (VCN) siano disponibili nella tenancy. Per verificare di avere a disposizione una quantità sufficiente di VCN:

   1. Nel menu a discesa SERVIZIO selezionare Rete cloud virtuale.
   2. Nel menu SCOPE selezionare la tenancy.
   3. Nel menu Risorsa selezionare Conteggio reti cloud virtuali.
   4. Controllare la colonna Disponibile e assicurarsi che siano disponibili almeno due (2) VCN.

2. OAA richiede la disponibilità di una (1) risorsa del load balancer 100Mbps:

   1. Nel menu a discesa SERVIZIO selezionare LbaaS.
   2. Nel menu SCOPE selezionare la tenancy.
   3. Nel menu Risorsa selezionare 100Mbps Conteggio load balancer.
   4. Controllare la colonna Disponibile e assicurarsi che sia disponibile almeno un (1) load balancer.

3. OAA richiede che sia disponibile un (1) cluster OKE:

   1. Nel menu a discesa SERVIZIO selezionare Motore container.
   2. Nel menu SCOPE selezionare la tenancy.
   3. Nel menu Risorsa selezionare Conteggio cluster di base.
   4. Controllare la colonna Disponibile e assicurarsi che sia disponibile almeno un (1).

4. OAA richiede una (1) risorsa di file system e una (2) risorsa di destinazione di accesso per essere disponibile:

   1. Nel menu a discesa SERVIZIO selezionare Storage file.
   2. Dal menu SCOPO selezionare il dominio di disponibilità.
   3. Selezionare la colonna Disponibile e assicurarsi che sia disponibile almeno una (1) risorsa per Conteggio file system e che siano disponibili due (2) risorse per Conteggio destinazioni di MOUNT.

Per ulteriori informazioni sulle risorse, vedere Quote di compartimento.

Esegui provisioning di OAA su Oracle Cloud Marketplace

1. Accedi all'Oracle Cloud Marketplace.

2. Cercare la scheda descrittiva Oracle Advanced Authentication e selezionarla.

3. Nell'elenco di Oracle Advanced Authentication, controllare i dettagli della versione che mostrano la versione: 12.2.1.4.1-<DATE>.

4. Avviare l'installazione nella tenancy selezionando Ottieni applicazione.

5. Connettersi alla tenancy.

6. Nella parte in alto a destra della schermata, selezionare l'area OCI.

7. Selezionare il compartimento in cui verrà distribuita l'istanza OAA.

   Nota: non selezionare il compartimento (root) predefinito.

   Assicurarsi di selezionare la casella di controllo relativa ai termini e alle condizioni.

8. Fare clic su Launch Stack.

9. Nella schermata Informazioni stack modificare il nome in base alle esigenze e aggiungere una descrizione, se necessario. Fare clic su Avanti.

10. Nella schermata Configura variabili immettere le variabili come indicato di seguito e fare clic su Successivo.

    Dettagli tenancy:

    Nome	Valore
    Region	L'area deve essere la stessa indicata nell'URL della console OCI.
    Availability Domain	Dominio di disponibilità in cui verrà distribuito OAA.

    Motore Oracle Kubernetes (OKE):

    Fare clic su Mostra opzioni avanzate OKE.

    Nome	Valore
    OKE Nodepool Instance Shape	Scegliere la forma per i calcoli del pool di nodi, ad esempio VM.Standard.E4.Flex.
    OCPU Count	8
    Memory	64GB
    Size of the Node Pool	Quattro (4) o più. In base alla sezione Prerequisiti OCI, assicurati di controllare la disponibilità delle risorse di computazione nel dominio di disponibilità scelto per la forma del pool di nodi. Ad esempio, se si specificano quattro (4) nodi, assicurarsi che siano disponibili quattro (4) risorse di computazione della forma VM scelta.

    Bastion - Nodi di calcolo:

    Nome	Valore
    Bastion Instance Shape	Scegliere la forma per il bastion, ad esempio: VM.Standard.E4.Flex. In base alla sezione Prerequisiti OCI, assicurati di controllare la disponibilità delle risorse di computazione nel dominio di disponibilità scelto per il nodo bastion. È richiesta una (1) risorsa di computazione della forma VM scelta.
    OCPU Count	2
    Memory	16GB
    Common Password	Password comune da utilizzare per tutti i componenti. La password deve corrispondere all'espressione regolare: ^[a-zA-Z0-9.\-/+=@_]*$|

    Il resto delle variabili può rimanere in base ai valori predefiniti.

11. Nella schermata Revisione verificare le variabili di configurazione e selezionare Crea.

    In questo modo verrà attivato un job che verrà visualizzato nella console OCI. Il job verrà visualizzato come IN PROGRESS e nella sezione Log nella parte inferiore della schermata verranno visualizzati i dettagli sullo stato di avanzamento della distribuzione.

    Il completamento del job richiederà circa 90 minuti. Quando il job avrà esito positivo, lo stato del job verrà visualizzato SUCCESSO.

Aggiunta dell'IP pubblico al file degli host locali

In questa sezione è disponibile l'indirizzo IP pubblico del load balancer. L'indirizzo IP e il nome host (login.example.com) vengono quindi aggiunti al file host locale di qualsiasi computer che deve valutare OAA.

1. Accedere alla console OCI e dal menu di navigazione selezionare Resource Manager > Stack.

2. Selezionare il compartimento pertinente dall'elenco a discesa. Verrà visualizzata una lista di stack nel compartimento. Selezionare lo stack appena creato, ad esempio OAA.

3. Fare clic sul job appena eseguito. Nella sezione Risorse fare clic sul collegamento Log per il job.

4. Nella ricerca di output Log per la stringa load_balancer_public_ip utilizzando la ricerca del browser. Prendere nota dell'indirizzo IP pubblico del load balancer.

5. Aggiungere una voce al file hosts locale per mappare l'IP del load balancer al nome host definito. Questo deve essere fatto su tutti i computer che hanno bisogno di valutare OAA.

   Nota: è necessario utilizzare il nome host elencato di seguito:

   <LB_PUBLIC_IP> login.example.com
   

Download dell'autorità di certificazione trusted

In questa sezione è possibile scaricare il certificato dell'autorità di certificazione (CA) che ha firmato il certificato del load balancer. È quindi possibile importare il certificato CA in qualsiasi browser che deve accedere ed eseguire il test di OAA.

Nota: questo requisito è necessario se è necessario eseguire il test dell'autenticazione OAA FIDO2 e anche per evitare errori di certificato nel browser quando si accede agli URL OAA o OAM.

1. Eseguire il comando seguente per ottenere i certificati:

   openssl s_client -connect login.example.com:443 -showcerts </dev/null 2>/dev/null| sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > certs.pem
   

   Nota: utilizzare Git Bash per eseguire il comando precedente se eseguito in un ambiente Windows.

2. Modificare il file certs.pem. Il file certs.pem contiene due certificati. Il certificato superiore nel file è il certificato del load balancer. Il certificato più basso nel file è il certificato CA. Copiare il certificato CA (da -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----).

3. Creare un nuovo file oaamktplaceca.pem e incollare il certificato copiato in questo file e salvare.

4. Copiare oaamktplaceca.pem in qualsiasi computer il cui browser accederà agli URL OAA e OAM.

5. Importare il certificato nell'archivio Trusted Certificate Authority del browser. Se necessario, consultare la documentazione del browser per ulteriori dettagli.

Connessione tramite SSH all'host bastion

Per connettersi tramite SSH all'host bastion:

1. Accedere alla console OCI e dal menu di navigazione selezionare Resource Manager > Stack.

2. Selezionare il compartimento pertinente dall'elenco a discesa. Verrà visualizzata una lista di stack nel compartimento. Selezionare lo stack appena creato, ad esempio OAA.

3. Fare clic sul job appena eseguito. Nella sezione Risorse fare clic sul collegamento Visualizza stato per il job.

4. Nella finestra Visualizza stato cercare la stringa ssh_to_bastion utilizzando la ricerca del browser. Alla fine della riga value annotare l'indirizzo IP, ad esempio: opc@<bastion_ip>.

5. Dalla stessa riga value, copiare i dati della chiave privata visualizzati (da -----BEGIN RSA PRIVATE KEY---- a -----END RSA PRIVATE KEY-----\n). Creare un file, ad esempio oaamktplace.key, incollare il valore copiato nel file e salvare:

   -----BEGIN RSA PRIVATE KEY-----\nXXXXXXXXXXXXYYYYYYYYYYYYYYPPPPPPPPPPP++YYYYY
   YYYYTTTTTTTTTTT\IIIIIIIIIhhhhjjuuuuuu/VVVuuuuuuuuuuu908888/zdS1UCdLr/Q2q9yd12
   etc.....................................................................
   +Qjl5\nxOByCUtZ8TbRbQMgEA/6G6wzVQ+mjCPy0n0ykxhWaHVj22ytfxKtApNLjwhtlZm
   \npD58jI0CgYEAv3GvEcfVPg92KmN8OH+hSrkLzz22bemNqioRvKi2mXBwfk0xu0kK\nvTdjVqwbD
   lCeAhISJxXdsT3J83pyeaGm6TrxBwUptJ8SzlZgFptpJffE1acAq8m\nXd7RoF2rBqZ5HHYYYYYkl
   kkk90zedjxPoJW6XxC3ljingatsgJzAixIMSc8=\n-----END RSA PRIVATE KEY-----\n
   

6. Eseguire il comando seguente per convertire i caratteri "\n" e modificare le autorizzazioni per il file:

   sed -i 's/\\n/\n/g' oaamktplace.key
   

   chmod 400 oaamktplace.key
   

   Nota: gli amministratori devono essere consapevoli degli elementi riportati di seguito.

   • Se eseguito in un ambiente Windows, è possibile eseguire il comando utilizzando uno strumento come Git Bash o, in alternativa, modificare il file delle chiavi in un editor di testo e rimuovere tutti i\n caratteri.
   • In Windows non eseguire il comando chmod 400, ma modificare le proprietà del file in sola lettura.

   Aprire il file oaamktplace.key e verificare che i caratteri \n vengano rimossi.

7. Connettersi all'host bastion utilizzando il file di chiavi private:

   ssh -i oaamktplace.key opc@<bastion_ip>
   

   Il login dovrebbe essere riuscito.

Convalida della distribuzione OAA

In questa sezione, verificare che tutti i componenti dell'ambiente OAA siano in esecuzione correttamente e che sia possibile accedere alle console di amministrazione e al portale Self-Service.

1. Dalla sessione ssh sull'host bastion, eseguire il comando seguente per controllare lo stato dei pod OAA:

   kubectl get pods -n oaans
   

   L'output sarà simile a quanto riportato di seguito. Tutti i pod devono essere READY 1\1 e RUNNING:

   NAME                                READY   STATUS    RESTARTS   AGE
   edg-email-74766c4548-v58qd          1/1     Running   0          1h
   edg-fido-6d45456459-pbjw6           1/1     Running   0          1h
   edg-oaa-9c9bb4bf-r2fx9              1/1     Running   0          1h
   edg-oaa-admin-ui-79866b8fdc-8lh4z   1/1     Running   0          1h
   edg-oaa-drss-6b47b788b6-8xtlk       1/1     Running   0          1h
   edg-oaa-kba-686c76679c-29nfl        1/1     Running   0          1h
   edg-oaa-policy-6448db6fd8-bzjjb     1/1     Running   0          1h
   edg-push-77dc7db499-rcgp4           1/1     Running   0          1h
   edg-risk-59b856c99c-9qvhn           1/1     Running   0          1h
   edg-risk-cc-6fb6d7b94c-7z8vq        1/1     Running   0          1h
   edg-sms-688679d548-jlxpc            1/1     Running   0          1h
   edg-spui-86dd46d59f-rtgpn           1/1     Running   0          1h
   edg-totp-7f9db7894-mjx82            1/1     Running   0          1h
   edg-yotp-7c88b7fff5-wjjm4           1/1     Running   0          1h
   oaamgmt                             1/1     Running   0          1h
   

2. Aprire un browser Web sul computer e accedere alle seguenti console. Eseguire il login con il nome utente corrispondente utilizzando il <COMMON_PASSWORD> immesso durante la distribuzione. Assicurarsi di eseguire il logout dalla console prima di accedere alla console successiva.

   Console	URL	Nome utente
   Console di amministrazione di OAM	https://login.example.com/oamconsole	weblogic_iam
   Console amministrazione OAA	https://login.example.com/oaa-admin/index.html	oaaadmin
   Portale self-service OAA	https://login.example.com/oaa/rui	oaauser1 - oaauser5

   Nota: se il certificato CA è stato importato correttamente nel browser, non dovrebbero esserci errori di certificato.

Eliminazione o eliminazione dello stack OAA

Se è necessario eliminare lo stack OAA per eseguire il cleanup da una distribuzione non riuscita o eliminare completamente lo stack, eseguire le operazioni riportate di seguito.

Nota: i passi 1 e 2 riportati di seguito potrebbero non essere possibili se la distribuzione non è riuscita prima della creazione dell'host bastion o se invoke_oaa non è stato eseguito. In entrambi i casi, andare direttamente al punto 3.

1. Connettersi tramite SSH all'host bastion in base alla sezione Connessione tramite SSH all'host bastion.

2. Eseguire il comando seguente sull'host bastion:

   /home/opc/oaascripts/utils/delete_all.sh
   

3. In OCI Console andare a Servizi per sviluppatori > Resource Manager > Stack.

4. Trovare e fare clic sullo stack OAA.

5. Nella pagina Dettagli stack fare clic su Elimina. Verrà avviato un job di eliminazione per eliminare lo stack.

6. Una volta completato il job di eliminazione, se è necessario eliminare completamente lo stack, fare clic su Dettagli stack nell'indicatore di percorso, quindi selezionare Altre azioni > Elimina stack.

7. Assicurarsi che i cluster vengano eliminati passando a Servizi per sviluppatori > Cluster Kubernetes (OKE). In caso contrario, eliminare manualmente i cluster.

8. Quando i cluster vengono arrestati, anche le istanze devono essere arrestate automaticamente. Passare a Computazione > Istanze e verificare che le istanze siano state eliminate. Se non vengono eliminati, interromperli manualmente.

9. Controllare il load balancer e lo storage dei file passando a Networking > Load balancer. Se le risorse esistono ancora, terminarle manualmente.

10. Controllare che le VCN vengano eliminate passando a Networking > Reti cloud virtuali. Se non viene eliminato, arrestare manualmente le reti VCN. In caso di problemi durante l'interruzione della VCN, seguire la sezione Risoluzione dei problemi nella subnet o nell'eliminazione della VCN.

11. Verificare se i criteri di identità vengono rimossi passando a Identità e sicurezza > Identità > Criteri. Se non viene eliminato, eliminarlo manualmente.

12. Andare a Identità e sicurezza > Identità > Domini. Selezionare il compartimento radice e selezionare il dominio. Fare clic su Gruppi dinamici e controllare che i gruppi dinamici siano rimossi. Se non viene eliminato, eliminarlo manualmente.

13. Una volta completati i passi precedenti, attendere alcuni minuti per assicurarsi che venga eseguito il cleanup di tutte le risorse. Quindi, controllare i limiti per assicurarsi che tali risorse siano ora libere passando a Governance e amministrazione > Limiti, quota e uso.

Esercitazione successiva

Per eseguire il test del flusso MFA, vedere Configurazione di Oracle Advanced Authentication e convalida del flusso dell'utente finale su Oracle Cloud Marketplace.

Feedback

Per fornire feedback su questo tutorial, si prega di contattare idm_user_assistance_ww_grp@oracle.com.

Per il supporto tecnico, contatta l'Oracle Support.

Riconoscimenti

• Autore: Russ Hodgson

Titolo e informazioni sul copyright

Deploying Oracle Advanced Authentication on Oracle Cloud Marketplace

G36596-01

Copyright ©2025, Oracle and/or its affiliates.