Integra Oracle Access Management con l'autenticazione avanzata Oracle

Introduzione

Questa esercitazione descrive come integrare Oracle Access Management (OAM) con Oracle Advanced Authentication (OAA), in modo che gli utenti che accedono a un'applicazione protetta possano eseguire il login a OAM con Single-Sign On (SSO) e ricevere quindi una sfida con un secondo fattore per l'autenticazione con più fattori.

Verrà inoltre illustrato come configurare la migrazione degli utenti. La migrazione degli utenti è un processo in cui un utente esegue il login a OAM e l'utente viene automaticamente migrato a OAA con fattori registrati in base agli attributi LDAP definiti. I fattori registrati per ciascun utente si basano sugli attributi LDAP definiti nel plugin di autenticazione OAA. Se uno qualsiasi di questi attributi LDAP è impostato nell'area di memorizzazione identità utente predefinita di OAM, tali fattori vengono registrati automaticamente per l'utente in OAA. Ai fini di questa esercitazione, gli attributi LDAP mail e mobile vengono utilizzati per impostare i fattori E-mail e SMS per un utente.

Obiettivo

In questa esercitazione verranno eseguiti i seguenti task:

1. Registra OAA come partner TAP in OAM
2. Configura l'agente OAM in OAA
3. Installazione e configurazione del plugin OAA e dei moduli in OAM
4. Test dell'integrazione OAA OAM amd riuscito

Prerequisiti di Oracle Access Management

Prima di seguire questa esercitazione è necessario avere:

• Installazione di Oracle Access Management 12c (12.2.1.4) in esecuzione. L'installazione deve disporre di utenti di esempio nell'area di memorizzazione identità utente predefinita utilizzata da OAM.
• Un'installazione di Oracle HTTP Server e Oracle WebGate
• Un'applicazione protetta da WebGate

Ai fini della dimostrazione, questa esercitazione si basa sull'ambiente creato nella serie di esercitazioni Introduzione a Oracle Access Management 12c. In questo ambiente Oracle Access Management utilizza Oracle Unified Directory (OUD) come area di memorizzazione identità utente predefinita. Un'applicazione denominata mybank viene distribuita sul server WebLogic e protetta tramite Oracle WebGate. Qualsiasi riferimento in questa esercitazione a nomi host OAM, URL, PATH e utenti si basa su quelli utilizzati nelle esercitazioni Guida introduttiva a Oracle Access Management 12c.

Se si utilizzano le esercitazioni precedenti per l'ambiente OAM, è necessario scaricare l'esempio oaausers.ldif. Questo file contiene gli utenti e i gruppi richiesti prima di installare OAA. Modificare oaausers.ldif e aggiornare mail, mobile e <password> per ogni utente con valori validi. Ciò consente di verificare che, quando un utente esegue il login (ad esempio testuser) in OAM, verrà eseguita la migrazione a OAA con i relativi fattori impostati su SMS e posta elettronica. Eseguire ldapmodify -f oaausers.ldif su OUD per caricare gli utenti e i gruppi.

Prerequisiti di autenticazione avanzata Oracle

Prima di seguire questa esercitazione è necessario avere:

• Un'istanza Oracle Advanced Authentication (OAA) in esecuzione. Per istruzioni su come installare OAA, vedere Amministrazione dell'autenticazione avanzata Oracle e Oracle Adaptive Risk Management.
• L'istanza OAA è stata installata e configurata per l'uso di OAUTH rispetto alla stessa installazione OAM elencata in precedenza. È necessario conoscere il valore per oauth.applicationid passato nel file installOAA.properties durante l'installazione OAA.
• Per consentire l'autenticazione tramite SMS e/o EMAIL, è necessario configurare l'OA per l'uso con un provider di messaggistica. Vedere Configuring Oracle UMS Server for Email and SMS e Customizing E-Mail and SMS Messaging Provider.
• URL di amministrazione OAA, ad esempio https://oaa.example.com/oaa-admin e credenziali amministratore, ad esempio oaadmin/<password>
• URL SPUI (OA User Preferences): ad esempio http://oaa.example.com/oaa/rui

Registra OAA come partner TAP in OAM

In questa sezione si registra OAA come partner TAP (Trusted Authentication Protocol) in OAM.

Obiettivi

Per registrare OAA come partner TAP in OAM.

Registra il partner TAP in OAM

1. Sul server OAM, avviare una finestra di terminale come oracle e immettere il seguente comando:

   cd /u01/app/oracle/product/middleware/oracle_common/common/bin
   ./wlst.sh
   

   L'output avrà l'aspetto seguente:

   Initializing WebLogic Scripting Tool (WLST) ...
   
   Welcome to WebLogic Server Administration Scripting Shell
   
   Type help() for help on available commands
   
   wls:/offline> 
   

2. Connettersi al server di amministrazione OAM come indicato di seguito.

   wls:/offline> connect ('weblogic','<password>')
   

   L'output avrà l'aspetto seguente:

   Successfully connected to Admin Server "AdminServer" that belongs to domain "oam_domain".
   
   Warning: An insecure protocol was used to connect to the server. 
   To ensure on-the-wire security, the SSL port or Admin port should be used instead.
   
   wls:/oam_domain/serverConfig/> 
   

3. Eseguire il comando seguente per recuperare il partner OAA TAP:

   wls:/oam_domain/serverConfig/> registerThirdPartyTAPPartner(partnerName = "<partner_name>", keystoreLocation= "<path_to_keystore>", password="<keystore_password>", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="<URL>")
   

   dove :

   • <partner_name> è il nome che si desidera assegnare per l'applicazione partner.
   • <path_to_keystore> è la posizione e il nome file del keystore da generare.
   • <keystore_password> è la password per il keystore generato.
   • tapRedirectUrl è qualsiasi URL HTTP valido. L'URL deve essere raggiungibile e restituisce una risposta 200 OK. Non utilizzare l'URL https. In caso contrario, verrà visualizzato un messaggio di errore.

   Ad esempio:

   registerThirdPartyTAPPartner(partnerName = "OAM-MFAPartner", keystoreLocation= "/tmp/OAMOAAKeyStore.jks", password="********", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="http://oam.example.com:7777")
   

   L'output avrà l'aspetto seguente:

   Registration Successful
   wls:/oam_domain/serverConfig/> 
   

   Nell'esempio precedente verrà generato un keystore /tmp/OAMOAAKeyStore.jks. La chiave e la password verranno utilizzate in seguito durante la registrazione di OAM come agente in OAA.

4. Eseguire il comando seguente per uscire da wlst:

   wls:/oam_domain/serverConfig/> exit()
   Exiting WebLogic Scripting Tool.
   

Configura l'agente OAM in OAA

In questa sezione è possibile configurare un agente per OAM nella console di amministrazione OAM.

Obiettivi

Per configurare un agente per OAM in OAA.

Configura l'agente OAM in OAA

1. Eseguire il login alla console di amministrazione OAA con le credenziali dell'amministratore, ad esempio https://oaa.example.com/oaa-admin

2. In Azioni rapide selezionare Crea agente integrazione OAM.

3. Nella scheda Crea agente integrazione immettere i seguenti valori nella scheda Dettagli:

   • Nome: <partner_name> dove il valore è uguale al nome partner TAP registrato in precedenza, ad esempio: OAM-MFAPartner
   • Descrizione: OAM TAP Partner for OAA
   • Tipo di agente di integrazione: Oracle Access Management
   • ID client: fare clic su Re-Generate
   • Segreto client: fare clic su Re-Generate
   • File di chiavi private: trascinare il file di chiavi creato durante la registrazione del partner TAP, ad esempio /tmp/OAMOAAKeyStore.jks, oppure fare clic su + per selezionarlo dal file system
   • Password chiave privata: <password> la password immessa per il keystore durante la registrazione del partner TAP

   Ad esempio:

   

   Descrizione dell'immagine createagent.jpg

4. Copiare l'ID client, ad esempio e1d7dd2d-83e2-4ac8-b338-5dbc6348b526 e Segreto client, ad esempio 34e360cf-3ccc-4dcd-911e-0b00e367dcee9 in un luogo sicuro in quanto questi sono necessari in seguito durante la configurazione di OAM.

5. Fare clic su Salva

6. Nella schermata Integration Agents fare clic sull'agente appena creato, ad esempio OAM-MFAPartner

7. In Livelli di assicurazione fare clic su Crea.

8. In Crea livello di garanzia immettere quanto riportato di seguito e fare clic su Crea.

   • Nome: OAM-MFA-Level
   • Descrizione: OAM-MFA-Level for OAM Integration

   Ad esempio:

   

   Descrizione dell'immagine securitylevel.jpg

   Nota: il valore immesso per Nome verrà utilizzato in seguito nella configurazione del plugin OAA OAM per ASSURANCE_LEVEL.

9. Nella scheda Livelli di assicurazione fare clic su Livello OAM-MFA.

10. In Utenti selezionare i fattori da assegnare al livello di garanzia, ad esempio Oracle Mobile Authenticator, Richiesta di verifica e-mail e SMS, quindi fare clic su Salva.

    Ad esempio:

    

    Descrizione dell'immagine definitionpolicy.jpg

Installazione e configurazione del plugin OAA in OAM

In questa sezione è possibile configurare il plugin OAA in OAM.

Obiettivi

Per configurare il plugin OAA in OAM e creare un modulo di autenticazione associato per abilitare l'integrazione con OAA per l'autenticazione del secondo fattore.

Installazione del plugin OAA per OAM

Nota: se si utilizza OAM con la patch del bundle del 22 aprile (12.2.1.4.220404) o versione successiva, è possibile saltare questa sezione e passare a Crea un modulo di autenticazione per OAA poiché il plugin è incluso in OAM per impostazione predefinita.

1. Nell'ambiente OAA in cui è in esecuzione il pod oaamgmt, copiare il plugin OAA OAAAuthnPlugin.jar dalla directory pod /u01/oracle/libs in una directory del computer host (ad esempio /scratch/OAA):

   $ kubectl cp <namespace>/<oaamgmt_pod>:/u01/oracle/libs/OAAAuthnPlugin.jar <directory>/OAAAuthnPlugin.jar
   

   Ad esempio:

   $ kubectl cp oaans/oaamgmt-oaa-mgmt-5c68dc9c57-t2h6w:/u01/oracle/libs/OAAAuthnPlugin.jar /scratch/OAA/OAAAuthnPlugin.jar
   

2. Avviare un browser e accedere alla console di amministrazione OAM: http://oam.example.com:7001/oamconsole. Accedere come weblogic/<password>.

3. Copiare OAAAuthnPlugin.jar nel computer in cui è in esecuzione il browser.

4. Passare a Sicurezza applicazioni -> Plugin -> Plugin di autenticazione.

5. Nella scheda Plugin selezionare Importa plugin.

6. Nella finestra Importa plugin selezionare Scegli file per selezionare il file plugin (*.jar). Selezionare la posizione di OAAAuthnPlugin.jar e fare clic su Importa.

7. Nella stessa pagina passare al campo Cerca e immettere OAAAuthnPlugin. Evidenziare il plugin e selezionare Distribuisci selezionato.

8. Una volta che lo Stato attivazione del plugin dice Distribuito selezionare Attiva selezione. Lo stato di attivazione deve essere impostato su Attivato.

   Ad esempio:

   

   Descrizione dell'immagine oaaauthnplugin.jpg

9. Chiudere la scheda Plugin.

Creazione di un modulo di autenticazione per OAA

1. Nella console OAM andare a Sicurezza applicazioni -> Plugin -> Moduli di autenticazione.

2. Nella scheda Moduli di autenticazione fare clic su Crea modulo di autenticazione, quindi su Crea modulo di autenticazione personalizzato.

3. Nella scheda Authentication Module -> General immettere il comando indicato di seguito.

   • Nome: OAA-MFA-Auth-Module
   • Descrizione: OAA MFA Authentication Module

4. Fare clic sul collegamento Passi e nella scheda Passi fare clic su Aggiungi.

5. Nella finestra Aggiungi nuovo passo immettere quanto segue e fare clic su OK.

   • Nome passo: UserIdentificationStep
   • Descrizione: Identify User
   • Nome plugin: UserIdentificationPlugIn

6. Fare di nuovo clic su Aggiungi, immettere quanto segue e fare clic su OK:

   • Nome passo: User OAA MFA Step
   • Descrizione: MFA with OAA
   • Nome plugin: OAAAuthnPlugin

7. Fare di nuovo clic su Aggiungi, immettere quanto segue e fare clic su OK:

   • Nome passo: PasswordValidation
   • Descrizione: Validate user password on OAM
   • Nome plugin: UserAuthenticationPlugin

   Attualmente il modulo dovrebbe avere il seguente aspetto:

   

   Descrizione dell'immagine modulesteps.jpg

8. Fare clic su User OAA MFA Step e inserire i seguenti campi:

   • OAA_URL: <SPUI_URL/authn/v1> ad esempio https://oaa.example.com/oaa/rui/authn/v1
   • TAP_AGENT: <partner_name>. Questo valore deve essere il nome fornito durante la registrazione del partner TAP con OAM, ad esempio OAM-MFAPartner
   • APPLICATION_ID: <app_id>. Nome del gruppo OAA da associare agli utenti OAM di cui viene eseguita la migrazione a OAA, ad esempio Default. Questo valore deve corrispondere al valore oauth.applicationid utilizzato durante l'installazione di OAA, altrimenti gli utenti finali non saranno in grado di accedere all'interfaccia utente Preferenze utente.
   • IDENTITY_STORE_REF: <default_user_identity_store>. Il valore deve essere impostato su Area di memorizzazione predefinita nella console OAM -> Configurazione -> Area di memorizzazione identità utente. Ad esempio, OUDStore
   • ASSURANCE_LEVEL: <assurance_level>. Questo valore deve essere impostato sul livello di assicurazione creato in OAA in precedenza, ad esempio OAM-MFA-Level
   • CLIENT_ID: <client_id>. Questo è il valore dell'ID client copiato quando si crea l'agente in precedenza, ad esempio: e1d7dd2d-83e2-4ac8-b338-5dbc6348b526
   • CLIENT_SECRET: <client_secret>. Questo è il valore dell'ID client copiato quando si crea l'agente in precedenza, ad esempio: 34e360cf-3ccc-4dcd-911e-0b00e367dcee
   • LDAP_ATTRS: mail,mobile. Gli attributi LDAP impostati per l'indirizzo e-mail e il numero di cellulare per gli utenti nel server LDAP. Ciò consente la migrazione dei dati utente in OAA. Nota: è necessario specificare LDAP_ATTRS in minuscolo. Ciò è vero anche se l'attributo LDAP è memorizzato in LDAP come camelCase.

   Ad esempio:

   

   Descrizione dell'immagine useoaamfastep.jpg

9. Fare clic su Salva.

10. Fare clic su Orchestrazione fasi e dall'elenco a discesa Passo iniziale selezionare Passo MFA OAA utente.

11. Nella tabella selezionare i valori come indicato di seguito.

    Nome	Descrizione	In caso di operazione riuscita	In caso di operazione non riuscita	In caso di errore
    UserIdentificationStep	Identifica utente	Convalida password	errore	errore
    Usa passo MFA OAA	MFA con OAA	operazione riuscita	UserIdentificationStep	errore
    PasswordValidation	Convalida password utente in OAM	Usa passo MFA OAA	errore	errore

    Ad esempio:

    

    Descrizione dell'immagine steporchestration.jpg

12. Fare clic su Applica.

Crea uno schema di autenticazione OAA

1. In Sicurezza applicazioni Launchpad -> Access Manager fare clic su Schemi di autenticazione.

2. Nella scheda Schemi di autenticazione selezionare Crea schema di autenticazione.

3. Nella scheda "Crea schema di autenticazione" immettere:

   • Nome: <scheme_name> ad esempio OAA-MFA-Scheme
   • Descrizione: OAA MFA Authentication Scheme
   • Livello di autenticazione: 2
   • Metodo di verifica: Form
   • URL di reindirizzamento contestazione: /oam/server/
   • Modulo di autenticazione: OAA-MFA-Auth-Module
   • URL di verifica: /pages/login.jsp
   • Tipo di contesto: Default
   • Valore contesto: /oam
   • Parametri di verifica: initial_command=NONE. Questo parametro consente il login senza password. Vedere Login senza password

   

   Descrizione dell'immagine authnscheme.jpg

4. Fare clic su Applica.

Aggiornare WebGate per utilizzare lo schema MFA OAA per l'applicazione protetta

Nota: negli esempi riportati sotto il webgate viene utilizzato webgate_7777 e l'URL dell'applicazione protetto è /mybank. Modificare di conseguenza se si utilizza qualcosa di diverso.

1. In Sicurezza applicazioni Launchpad -> Access Manager fare clic su Domini applicazione.

2. Nella scheda Dominio applicazione fare clic su Cerca.

3. Fare clic su WebGate per eseguire l'aggiornamento, ad esempio webgate_7777.

4. Nella scheda WebGate (webgate_7777), fare clic su Criteri di autenticazione. Fare clic su Crea.

5. In Crea criterio di autenticazione immettere quanto riportato di seguito e fare clic su Applica.

   • Nome: OAA_MFA-Policy
   • Schema di autenticazione: OAA-MFA-Scheme

6. Nella scheda WebGate (webgate_7777), selezionare la scheda Risorse, fare clic su Cerca, quindi fare clic su Crea.

7. Nella scheda Crea risorsa immettere quanto segue e fare clic su Applica:

   • Tipo: HTTP
   • Descrizione: OAA Resource
   • Identificativo host: webgate_7777
   • URL risorsa: /mybank/**
   • Operazioni: ALL
   • Livello di protezione: Protected
   • Criterio di autenticazione: OAA_MFA-Policy
   • Criterio di autorizzazione: Protected Resource Policy

   Nota: se sono già protetti altri URI /mybank, aggiornarli e modificare il criterio di autenticazione in OAA_MFA_Policy

8. Riavviare i server OAM per recuperare la nuova configurazione del plugin OAA.

Test dell'integrazione OAM e OAA

In questa sezione è possibile accedere all'applicazione protetta, eseguire il login a OAM e verificare il funzionamento dell'autenticazione del secondo fattore.

Obiettivi

Il test dell'integrazione OAA e OAM è riuscito.

Test dell'integrazione OAM e OAA

1. Avviare un browser e accedere all'applicazione protetta, ad esempio http://oam.example.com:7777/mybank. Poiché questa applicazione è protetta, si dovrebbe essere reindirizzati alla pagina di login OAM. Eseguire il login come nuovo utente testuser/<password>.

   

   Descrizione dell'immagine oamlogin.jpg

2. Se il login riesce, si verrà reindirizzati all'endpoint OAA, ad esempio https://oaa.example.com/oaa/authnui. Poiché LDAP_ATTRS per il plugin OAA in OAM è impostato su mail,mobile e tali attributi LDAP vengono popolati per il testuser, viene visualizzata una pagina di scelta di richiesta di verifica per consentire all'utente di selezionare EMAIL o SMS. In Invia richiesta di verifica e-mail selezionare Invia OTP al computer**@**.com.

   

   Descrizione dell'immagine sfidechoice.jpg

3. Si verrà reindirizzati alla pagina E-mail in cui viene richiesto di immettere OTP dall'indirizzo di posta elettronica registrato Device1. Nel campo Immettere OTP immettere il passcode monouso inviato per posta elettronica all'indirizzo di posta elettronica degli utenti e fare clic su Verifica.

   

   Descrizione dell'immagine emailotp.jpg

4. Se l'autenticazione riesce, è necessario reindirizzarla alla pagina dell'applicazione protetta, ad esempio /mybank.

   

   Descrizione dell'immagine mybank.jpg

5. Chiudere il browser esistente e avviare un nuovo browser. Accedere nuovamente all'applicazione protetta, ad esempio http://oam.example.com:7777/mybank.

6. Poiché il login senza password è abilitato mediante il parametro initial_command=NONE nello schema di autenticazione OAA-MFA-Scheme, all'utente non viene richiesto di immettere l'utente e la password OAM ed è indirizzato a scegliere il secondo metodo di autenticazione dei fattori. In SMS Challenge scegliere Invia OTP al telefono 0****3.

   

   Descrizione dell'immagine sfidechoice.jpg

7. Si verrà reindirizzati alla pagina SMS in cui viene richiesto di immettere OTP dal dispositivo SMS registrato. Nel campo Immettere OTP inserire il passcode monouso inviato al dispositivo mobile utenti e fare clic su Verify.

8. Se l'autenticazione riesce, è necessario reindirizzarla alla pagina dell'applicazione protetta, ad esempio /mybank.

Per saperne di più

• Oracle Advanced Authentication and Oracle Adaptive Risk Management
• Utilizza le API REST di autenticazione avanzata Oracle con Postman
• WebLogic Guida di riferimento dei comandi di Scripting Tool per la gestione delle identità e degli accessi

Feedback

Per fornire un feedback su questa esercitazione, contattare idm_user_assistance_ww_grp@oracle.com

Riconoscimenti

• Autore: Russ Hodgson

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di apprendimento gratuito sul canale Oracle Learning YouTube. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare il sito Oracle Help Center.

---

Titolo e informazioni sul copyright

Integrate Oracle Access Management with Oracle Advanced Authentication

F39325-06

January 2023

Copyright © 2023 Oracle and/or its affiliates.