Oracle Cloud MarketplaceでのOracle Advanced Authenticationの構成とエンド・ユーザー・フローの検証

イントロダクション

このチュートリアルでは、Oracle Advanced Authentication (OAA)およびOracle Access Management (OAM)を構成して、Oracle Cloud MarketplaceデプロイメントでOAA MFAポリシーを使用してリソースを保護する方法を示します。

エンド・ユーザーは、セルフサービス・ポータルにファクタを追加します。その後、エンド・ユーザーは保護されたOAMアプリケーションにアクセスし、OAAを介してMFAを使用します。

前提条件

チュートリアル「Oracle Cloud MarketplaceへのOracle Advanced Authenticationのデプロイ」に従う必要があります。

OAMおよびOAAによるアプリケーションの保護

この項では、OAMおよびMFAでアプリケーション(bank-emp.html)を保護します。

  1. weblogic_iam/<COMMON_PASSWORD>を使用して、OAM管理コンソール(https://login.example.com/oamconsole)にログインします。

  2. 「アプリケーション・セキュリティ」起動パッドの「Access Manager」ペインで、「アプリケーション・ドメイン」をクリックします。

  3. 「アプリケーション・ドメインの検索」ペインで、「検索」をクリックします。

  4. 「IAMスイート」「リソース」の順にクリックします。

  5. 「検索」をクリックし、「検索結果」の下で「作成」をクリックします。

  6. 「リソースの作成」画面で次の詳細を入力し、「適用」をクリックします。

    • タイプ: HTTP
    • ホスト識別子: IAMSuiteAgent
    • リソースURL: /bank-emp.html
    • 保護レベル: Protected
    • 認証ポリシー: OAA_MFA_Policy
    • 認可ポリシー: Protected Resource Policy

    残りのプロパティはデフォルト値として残すことができます。

  7. OAM管理コンソールからログアウトします。

セルフサービス・ポータルでのファクタの構成

Oracle Cloud Marketplaceデプロイメントでは、これ以上の管理者構成なしで次の要因を使用できます:

セキュリティ質問、EメールまたはSMSファクタを構成する必要がある場合は、管理者がセルフサービス・ポータルに追加する前に、追加の管理タスクを実行する必要があります。次を参照してください。

エンド・ユーザー(oaauser1 - oaauser5)が前述のいずれかのファクタでMFAを使用できるようにするには、エンド・ユーザーがセルフサービス・ポータルでファクタを構成する必要があります。

  1. ブラウザを起動し、エンド・ユーザー(oaauser1/<COMMON_PASSWORD>など)としてセルフサービス・ポータル(https://login.example.com/oaa/rui)にログインします。

  2. 前述のいずれかのファクタを構成するには、セルフサービス・ポータルでのファクタの管理のドキュメントおよびチュートリアルに従います。

    ノート: ファクタ検証は、デフォルトでMarketplaceで構成されているため、チュートリアルの前提条件でこの構成を提案している場合は無視できます。

  3. ファクタを構成したら、セルフサービス・ポータルからログアウトします。

保護されたアプリケーションへのアクセス

この項では、保護されたアプリケーションにアクセスし、OAMにログインしてから、認証に使用する2つ目のファクタを選択します。認証に成功すると、保護されたページが表示されます。

  1. 保護されたアプリケーションhttps://login.example.com/bank-emp.htmlにアクセスします。

  2. OAMログイン・ページにリダイレクトされます。ユーザー名およびパスワード(oaauser1/<COMMON_PASSWORD>など)を入力します。「ログイン」をクリックします。

  3. 認証に成功すると、OAAチャレンジ・ページにリダイレクトされ、認証に使用する2番目のファクタが選択されます。次の例では、「Oracle Mobile Authenticator Challenge」が選択されています。

  4. ユーザーは、TOTP画面にリダイレクトされます。

  5. ユーザーは、モバイル・オーセンティケータ・アプリケーションを開いてOTPコードを表示します。

  6. ユーザーは、TOTP画面でOTPを入力し、「検証」をクリックします。

  7. 2番目のファクタの認証に成功すると、bank-emp.htmlが表示されます。

  8. 他のファクタをテストする必要がある場合は、「ログアウト」ボタンをクリックし、https://login.example.com/bank-emp.htmlに再度アクセスします。

追加ファクタの構成

エンド・ユーザーがセルフサービス・ポータルに追加する前に、次の要素に管理者構成を追加する必要があります。

セキュリティ質問

セキュリティ質問ファクタをテストするには、管理者がOAM-OAA-TAPエージェントでセキュリティ質問を有効にする必要があります。

  1. OAA管理コンソール(https://login.example.com/oaa-admin/index.html)にoaa_admin/<COMMON_PASSWORD>としてログインします。

  2. 左側のナビゲーション・メニューから、「統合エージェントの管理」を選択します。

  3. 「統合エージェント」ページで「OAM-OAA-TAP」をクリックします。

  4. 「OAM-OAA-TAP」ページで、リストされている「OAM-OAA-TAP」保証レベルをクリックします。

  5. 「使用」で、「セキュリティ質問チャレンジ」チェック・ボックスを選択します。

  6. 「保存」をクリックします。

電子メールとSMS

Eメール・ファクタまたはSMSファクタ(あるいはその両方)をテストする必要がある場合は、接続先の既存のOracle UMSサーバーが必要です。または、独自のEメールおよびSMSメッセージング・プロバイダを作成できます。

既存のOracle UMSサーバーを使用する場合は、「電子メールおよびSMS用のOracle UMSサーバーの構成」に従います。

独自の電子メールおよびSMSプロバイダを構成する場合は、「電子メールおよびSMSメッセージング・プロバイダのカスタマイズ」を参照してください。

さらに学ぶ

OAAの詳細は、「Oracle Advanced AuthenticationおよびOracle Adaptive Risk Managementの管理」を参照してください。

フィードバック

このチュートリアルに関するフィードバックを提供するには、idm_user_assistance_ww_grp@oracle.comに連絡してください。

テクニカル・サポートについては、Oracle Supportにお問い合せください。

謝辞

その他の学習リソース

docs.oracle.com/learnで他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。