Oracle Cloud Marketplace에 Oracle Advanced Authentication 배포

소개

이 사용지침서에서는 평가 목적으로 Oracle Cloud Marketplace에 Oracle Advanced Authentication(OAA) 및 종속 제품을 배포하는 방법을 보여줍니다.

관리자는 배포된 후 OAM(Oracle Access Management) 보호 애플리케이션용 OAA를 사용하여 MFA(다중 요소 인증) 평가를 수행할 수 있습니다.

주: 관리자는 다음 사항에 유의해야 합니다.

• 이 배포는 평가 목적으로만 사용해야 하며, 중요하지 않은 데이터에서만 사용해야 합니다.
• 푸시 통지 계수는 현재 Oracle Cloud Marketplace의 OAA에서 지원되지 않습니다.
• Oracle Universal Authenticator는 현재 Oracle Cloud Marketplace의 OAA에서 지원되지 않습니다.

Oracle Cloud Marketplace의 OAA는 Oracle Kubernetes Engine(OKE)을 사용하여 Kubernetes(K8S) 클러스터에 배포됩니다. Oracle Cloud Marketplace에 배포하면 다음과 같은 Oracle 제품 및 구성요소가 배포됩니다.

• Oracle Database
• OUD(Oracle Unified Directory)
• Oracle Access Management(OAM)
• Oracle Advanced Authentication(OAA)
• OHS(Oracle HTTP Server)

배포된 아키텍처는 다음과 같습니다.

사용 가능한 요소

다음 요소는 추가 관리자 구성 없이 OAA 마켓플레이스 배치에서 사용할 수 있습니다.

• 모바일 인증자가 있는 TOTP(시간 기반 일회용 비밀번호)
• FIDO2
• YubiKey

평가에 필요한 경우 다음 요소에 추가 Administrator 구성 사후 배치가 필요합니다.

• 보안 질문
• 전자메일
• SMS

참고: 모든 경우에 최종 사용자는 셀프 서비스 포털에 액세스하여 평가할 요소를 추가해야 합니다. 관리자 및 일반 사용자 작업에 대한 자세한 내용은 다음 자습서 섹션에서 확인할 수 있습니다.

사용자 생성됨

배치는 Oracle Unified Directory에 다음 사용자를 생성합니다.

• weblogic_iam - OAM 관리 콘솔에 로그인할 사용자 이름입니다.
• oaaadmin - OAA 관리 콘솔에 로그인할 사용자 이름입니다.
• oaauser1, oaauser2, oaauser3, oaauser4, oaauser5 - OAM을 통해 인증하고 OAA 셀프 서비스 포털에 로그인하는 최종사용자의 사용자 이름입니다.

생성된 NFS 볼륨

다음은 Oracle Cloud Marketplace 배치로 OAA에 대해 생성된 NFS 볼륨입니다.

• <NFS_CREDS_PATH>: /mnt/oaa/oaacredpv
• <NFS_CONFIG_PATH>: /mnt/oaa/oaaconfigpv
• <NFS_VAULT_PATH>: /mnt/oaa/oaavaultpv
• <NFS_LOGS_PATH>: /mnt/oaa/oaalogpv

이러한 볼륨은 배스천 노드에서 액세스할 수 있습니다.

NFS 볼륨 및 해당 내용에 대한 자세한 내용은 Configuring NFS Volumes을 참조하십시오.

일반 일반 일반 유저 흐름

다음은 Oracle Cloud Marketplace에서 OAA를 사용하여 평가할 수 있는 일반적인 흐름입니다.

1. 일반 사용자(예: oaauser1)는 셀프 서비스 포털에서 MFA에 대한 계수를 구성합니다.
2. 최종사용자는 OAM 및 OAA MFA 정책을 통해 보호되는 페이지(bank-emp.html)에 액세스합니다.
3. 최종 사용자는 자격 증명(oaauser1/<password>)으로 로그인하기 위해 OAM으로 재지정됩니다.
4. OAM은 OAA 정책을 기반으로 MFA를 트리거합니다. 사용자는 구성된 요소 중 하나를 사용하여 MFA 또는 암호 없는 인증을 완료해야 합니다.
5. 인증에 성공하면 보호된 페이지가 표시됩니다.

OCI 필요 조건

Oracle Cloud Marketplace에 OAA를 배포하기 전에 OCI 퍼블릭 테넌시에 대한 관리자 액세스 권한이 있어야 합니다.

다음은 가용성 도메인에서 OAA를 배치하는 데 필요한 할당량을 보여줍니다.

• OKE 클러스터 1개
• 노드 풀용 컴퓨트 노드 4개(CPU 8개, 64GB RAM)
• 배스천용 컴퓨트 노드 1개(16GB RAM의 CPU 2개)
• 파일 시스템 1개, 마운트 대상 2개
• 로드 밸런서 1개(100Mbps)
• 인터넷, NAT 및 서비스 게이트웨이가 포함된 2개의 가상 클라우드 네트워크(VCN)

주: 선택사항 - OAA 배치에 대한 새 컴파트먼트를 생성하는 것이 좋습니다. 구획 생성을 참조하십시오.

할당량을 확인하려면 다음을 수행합니다.

1. OAA에는 노드 풀에 대한 컴퓨트 노드가 4개 이상 필요하며 각 가용성 도메인의 배스천에 대한 컴퓨트 노드가 1개 필요합니다. 사용 가능한 컴퓨트 노드가 충분한지 확인하려면 다음을 수행합니다.

   1. OCI 콘솔을 액세스하고 Navigation 메뉴에 액세스합니다.
   2. 거버넌스 및 관리 > 제한, 할당량 및 사용량으로 이동합니다.
   3. 사용되지 않는 제한 표시 확인란을 선택합니다.
   4. 서비스 드롭다운 메뉴에서 컴퓨트를 선택합니다.
   5. 범위 메뉴에서 적합한 가용성 도메인을 선택합니다.
   6. COMPARTMENT 메뉴에서 root 컴파트먼트를 선택합니다.
   7. 리소스 메뉴에서 확인할 노드 구성을 선택합니다. 노드 풀에 대해 64GB RAM의 CPU 8개와 배스천에 대해 CPU 2개 및 16GB RAM을 허용하는 구성을 선택해야 합니다.
   8. 사용 가능 열을 선택하고 배치하려는 노드 구성에 사용 가능한 컴퓨트가 충분한지 확인합니다.

사용 가능한 컴퓨트 구성에 대한 자세한 내용은 컴퓨트 구성을 참조하십시오.

1. OAA를 사용하려면 테넌시에서 사용할 수 있는 VCN(가상 클라우드 네트워크) 리소스가 2개 필요합니다. 사용 가능한 VCN이 충분한지 확인하려면 다음을 수행합니다.

   1. SERVICE 드롭다운 메뉴에서 Virtual Cloud Network(가상 클라우드 네트워크)를 선택합니다.
   2. 범위 메뉴에서 테넌시를 선택합니다.
   3. Resource(리소스) 메뉴에서 Virtual Cloud Networks Count(가상 클라우드 네트워크 수)를 선택합니다.
   4. 사용 가능 열을 확인하고 2개 이상의 VCN을 사용할 수 있는지 확인합니다.

2. OAA에는 사용할 수 있는 100Mbps 로드 밸런서 리소스 1개가 필요합니다.

   1. SERVICE 드롭다운 메뉴에서 LbaaS를 선택합니다.
   2. 범위 메뉴에서 테넌시를 선택합니다.
   3. 리소스 메뉴에서 100Mbps 로드 밸런서 수를 선택합니다.
   4. 사용 가능 열을 확인하고 하나 이상의 로드 밸런서를 사용할 수 있는지 확인합니다.

3. OAA를 사용하려면 하나의 OKE 클러스터를 사용할 수 있어야 합니다.

   1. SERVICE 드롭다운 메뉴에서 Container Engine(컨테이너 엔진)을 선택합니다.
   2. 범위 메뉴에서 테넌시를 선택합니다.
   3. 리소스 메뉴에서 기본 클러스터 수를 선택합니다.
   4. 사용 가능 열을 선택하고 하나 이상의 (1)을 사용할 수 있는지 확인합니다.

4. OAA를 사용하려면 파일 시스템 리소스 1개와 사용할 수 있는 마운트 대상 리소스 1개가 필요합니다.

   1. SERVICE 드롭다운 메뉴에서 File Storage를 선택합니다.
   2. 범위 메뉴에서 가용성 도메인을 선택합니다.
   3. 사용 가능 열을 확인하고 파일 시스템 수에 대해 하나 이상의 리소스를 사용할 수 있고 마운트 대상 수에 대해 두 개의 리소스를 사용할 수 있는지 확인합니다.

리소스에 대한 자세한 내용은 컴파트먼트 할당량을 참조하십시오.

Oracle Cloud Marketplace에서 OAA 프로비저닝

1. Oracle Cloud Marketplace에 액세스합니다.

2. Oracle Advanced Authentication 목록을 검색하고 선택합니다.

3. Oracle Advanced Authentication 목록에서 Version 세부정보에 버전 12.2.1.4.1-<DATE>이 표시되는지 확인합니다.

4. 앱 받기를 선택하여 테넌시에 설치를 실행합니다.

5. 테넌시에 사인인합니다.

6. 화면 오른쪽 상단에서 OCI 리전을 선택합니다.

7. OAA 인스턴스가 배치될 컴파트먼트를 선택합니다.

   주: 기본(루트) 컴파트먼트를 선택하지 마십시오.

   조건 및 조항과 관련된 체크박스를 선택해야 합니다.

8. 스택 실행을 누릅니다.

9. 스택 정보 화면에서 필요에 따라 이름을 편집하고 필요한 경우 설명을 추가합니다. 다음을 누릅니다.

10. 변수 구성 화면에서 아래와 같이 변수를 입력하고 다음을 누릅니다.

    테넌시 세부정보:

    이름	값
    Region	리전은 OCI 콘솔의 URL에 언급된 것과 동일해야 합니다.
    Availability Domain	OAA가 배치될 가용성 도메인입니다.

    Oracle Kubernetes Engine(OKE):

    OKE 고급 옵션 표시를 누릅니다.

    이름	값
    OKE Nodepool Instance Shape	노드 풀 계산에 대한 구성을 선택합니다(예: VM.Standard.E4.Flex).
    OCPU Count	8
    Memory	64GB
    Size of the Node Pool	4개 이상 OCI 필요 조건 섹션에 따라 노드 풀 구성에 대해 선택한 가용성 도메인에서 컴퓨트 리소스의 가용성을 확인해야 합니다. 예를 들어 4개의 노드를 지정하면 선택한 VM 구성의 컴퓨트 리소스 4개를 사용할 수 있는지 확인합니다.

    배스천 - 컴퓨트 노드:

    이름	값
    Bastion Instance Shape	배스천의 구성을 선택합니다(예: VM.Standard.E4.Flex). OCI 필요 조건 섹션에 따라 배스천 노드에 대해 선택한 가용성 도메인에서 컴퓨트 리소스의 가용성을 확인하십시오. 선택한 VM 구성의 컴퓨트 리소스 1개가 필요합니다.
    OCPU Count	2
    Memory	16GB
    Common Password	모든 구성요소에 사용할 공통 비밀번호입니다. 비밀번호는 정규 표현식과 일치해야 합니다. ^[a-zA-Z0-9.\-/+=@_]*$|

    나머지 변수는 기본값에 따라 유지될 수 있습니다.

11. 검토 화면에서 구성 변수를 확인하고 생성을 선택합니다.

    그러면 OCI 콘솔에 표시될 작업이 트리거됩니다. 작업이 IN PROGRESS로 표시되고 화면 하단의 Logs 섹션에 배치 진행률의 세부정보가 표시됩니다.

    작업을 완료하는 데는 90분 정도 걸립니다. 작업이 성공하면 작업 상태가 SUCCEEDED로 표시됩니다.

로컬 호스트 파일에 공용 IP 추가

이 섹션에서는 로드 밸런서의 공용 IP 주소를 찾습니다. 그런 다음 IP 주소 및 호스트 이름(login.example.com)이 OAA를 평가해야 하는 모든 컴퓨터의 로컬 hosts 파일에 추가됩니다.

1. OCI 콘솔에 액세스하고 탐색 메뉴에서 리소스 관리자 > 스택을 선택합니다.

2. 드롭다운 목록에서 관련 컴파트먼트를 선택합니다. 컴파트먼트의 스택 목록이 표시됩니다. 방금 생성한 스택(예: OAA)을 선택합니다.

3. 방금 실행한 작업을 누릅니다. 리소스 섹션에서 작업에 대한 로그 링크를 누릅니다.

4. 브라우저 검색을 사용하여 Logs 출력에서 load_balancer_public_ip 문자열을 검색합니다. 로드 밸런서의 공용 IP 주소를 확인합니다.

5. 로드 밸런서 IP를 정의된 호스트 이름에 매핑할 항목을 로컬 호스트 파일에 추가합니다. 이 작업은 OAA를 평가해야 하는 모든 컴퓨터에서 수행해야 합니다.

   주: 아래 나열된 호스트 이름을 사용해야 합니다.

   <LB_PUBLIC_IP> login.example.com
   

신뢰할 수 있는 인증 기관 다운로드

이 섹션에서는 로드 밸런서 인증서에 서명한 CA(인증 기관) 인증서를 다운로드합니다. 그런 다음 OAA에 액세스하고 테스트해야 하는 브라우저로 CA 인증서를 임포트합니다.

주: OAA FIDO2 인증을 테스트해야 하고 OAA 또는 OAM URL에 액세스할 때 브라우저에서 인증서 오류가 발생하지 않도록 해야 하는 경우의 요구 사항입니다.

1. 다음 명령을 실행하여 인증서를 가져옵니다.

   openssl s_client -connect login.example.com:443 -showcerts </dev/null 2>/dev/null| sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > certs.pem
   

   주: Windows 환경에서 실행되는 경우 위 명령을 수행하려면 Git Bash를 사용합니다.

2. certs.pem를 편집합니다. certs.pem에는 두 개의 인증서가 포함되어 있습니다. 파일의 최상위 인증서는 로드 밸런서 인증서입니다. 파일의 맨 아래 인증서는 CA 인증서입니다. CA 인증서(-----BEGIN CERTIFICATE-----에서 -----END CERTIFICATE-----로)를 복사합니다.

3. 새 파일 oaamktplaceca.pem를 만들고 복사한 인증서를 이 파일에 붙여넣고 저장합니다.

4. 브라우저가 OAA 및 OAM URL에 액세스할 시스템에 oaamktplaceca.pem를 복사합니다.

5. 인증서를 브라우저의 신뢰할 수 있는 인증 기관 저장소로 가져옵니다. 필요한 경우 자세한 내용은 브라우저 설명서를 참조하십시오.

SSH를 통해 배스천 호스트에 연결

SSH를 통해 배스천 호스트에 접속하려면 다음과 같이 하십시오.

1. OCI 콘솔에 액세스하고 탐색 메뉴에서 리소스 관리자 > 스택을 선택합니다.

2. 드롭다운 목록에서 관련 컴파트먼트를 선택합니다. 컴파트먼트의 스택 목록이 표시됩니다. 방금 생성한 스택(예: OAA)을 선택합니다.

3. 방금 실행한 작업을 누릅니다. 리소스 섹션에서 작업에 대한 상태 보기 링크를 누릅니다.

4. 보기 상태 창에서 브라우저 검색을 사용하여 ssh_to_bastion 문자열을 검색합니다. value 라인 노트의 끝에서 IP 주소(예: opc@<bastion_ip>)를 기록합니다.

5. 동일한 value 행에서 표시된 개인 키 데이터를 복사합니다(-----BEGIN RSA PRIVATE KEY----에서 -----END RSA PRIVATE KEY-----\n로). 파일(예: oaamktplace.key)을 생성하고 복사한 값을 파일에 붙여넣고 저장합니다.

   -----BEGIN RSA PRIVATE KEY-----\nXXXXXXXXXXXXYYYYYYYYYYYYYYPPPPPPPPPPP++YYYYY
   YYYYTTTTTTTTTTT\IIIIIIIIIhhhhjjuuuuuu/VVVuuuuuuuuuuu908888/zdS1UCdLr/Q2q9yd12
   etc.....................................................................
   +Qjl5\nxOByCUtZ8TbRbQMgEA/6G6wzVQ+mjCPy0n0ykxhWaHVj22ytfxKtApNLjwhtlZm
   \npD58jI0CgYEAv3GvEcfVPg92KmN8OH+hSrkLzz22bemNqioRvKi2mXBwfk0xu0kK\nvTdjVqwbD
   lCeAhISJxXdsT3J83pyeaGm6TrxBwUptJ8SzlZgFptpJffE1acAq8m\nXd7RoF2rBqZ5HHYYYYYkl
   kkk90zedjxPoJW6XxC3ljingatsgJzAixIMSc8=\n-----END RSA PRIVATE KEY-----\n
   

6. 다음 명령을 실행하여 "\n" 문자를 제거하고 파일에 대한 권한을 변경합니다.

   sed -i 's/\\n/\n/g' oaamktplace.key
   

   chmod 400 oaamktplace.key
   

   주: 관리자는 다음 사항에 유의해야 합니다.

   • Windows 환경에서 실행되는 경우 Git Bash와 같은 도구를 사용하여 명령을 실행하거나 텍스트 편집기에서 키 파일을 편집하고 모든 "\n" 문자를 제거할 수 있습니다.
   • Windows에서는 chmod 400 명령을 실행하지 않고 대신 파일의 등록 정보를 읽기 전용으로 변경합니다.

   oaamktplace.key 파일을 열고 \n 문자가 제거되었는지 검증합니다.

7. 전용 키 파일을 사용하여 배스천 호스트에 연결합니다.

   ssh -i oaamktplace.key opc@<bastion_ip>
   

   로그인에 성공해야 합니다.

OAA 배치 검증

이 섹션에서는 OAA 환경의 모든 구성 요소가 올바르게 실행되고 있으며 관리 콘솔 및 셀프 서비스 포탈에 액세스할 수 있는지 확인합니다.

1. 배스천 호스트의 ssh 세션에서 다음 명령을 실행하여 OAA Pod의 상태를 확인합니다.

   kubectl get pods -n oaans
   

   출력은 다음과 비슷합니다. 모든 포드는 READY 1\1 및 RUNNING이어야 합니다.

   NAME                                READY   STATUS    RESTARTS   AGE
   edg-email-74766c4548-v58qd          1/1     Running   0          1h
   edg-fido-6d45456459-pbjw6           1/1     Running   0          1h
   edg-oaa-9c9bb4bf-r2fx9              1/1     Running   0          1h
   edg-oaa-admin-ui-79866b8fdc-8lh4z   1/1     Running   0          1h
   edg-oaa-drss-6b47b788b6-8xtlk       1/1     Running   0          1h
   edg-oaa-kba-686c76679c-29nfl        1/1     Running   0          1h
   edg-oaa-policy-6448db6fd8-bzjjb     1/1     Running   0          1h
   edg-push-77dc7db499-rcgp4           1/1     Running   0          1h
   edg-risk-59b856c99c-9qvhn           1/1     Running   0          1h
   edg-risk-cc-6fb6d7b94c-7z8vq        1/1     Running   0          1h
   edg-sms-688679d548-jlxpc            1/1     Running   0          1h
   edg-spui-86dd46d59f-rtgpn           1/1     Running   0          1h
   edg-totp-7f9db7894-mjx82            1/1     Running   0          1h
   edg-yotp-7c88b7fff5-wjjm4           1/1     Running   0          1h
   oaamgmt                             1/1     Running   0          1h
   

2. 컴퓨터에서 웹 브라우저를 열고 다음 콘솔에 액세스합니다. 배치 중 입력한 <COMMON_PASSWORD>를 사용하여 관련 사용자 이름으로 로그인합니다. 다음 콘솔에 액세스하기 전에 콘솔에서 로그아웃해야 합니다.

   콘솔	URL	사용자 이름
   OAM 관리 콘솔	https://login.example.com/oamconsole	weblogic_iam
   OAA 관리 콘솔	https://login.example.com/oaa-admin/index.html	oaaadmin
   OAA 셀프 서비스 포털	https://login.example.com/oaa/rui	oaauser1 - oaauser5

   주: CA 인증서를 브라우저로 올바르게 임포트한 경우 인증서 오류가 없어야 합니다.

OAA 스택 삭제 또는 삭제

실패한 배치에서 정리하기 위해 OAA 스택을 삭제하거나 스택을 완전히 삭제해야 하는 경우 다음 단계를 수행하십시오.

주: 배스천 호스트를 생성하기 전에 배치가 실패했거나 invoke_oaa가 실행되지 않은 경우 아래의 1단계와 2단계가 가능하지 않을 수 있습니다. 두 경우 모두 3단계로 이동합니다.

1. Connecting via SSH to the Bastion Host 절에 따라 SSH를 통해 배스천 호스트에 연결합니다.

2. 배스천 호스트에서 다음 명령을 실행합니다.

   /home/opc/oaascripts/utils/delete_all.sh
   

3. OCI 콘솔에서 개발자 서비스 > 리소스 관리자 > 스택으로 이동합니다.

4. OAA 스택을 찾아 누릅니다.

5. 스택 세부정보 페이지에서 삭제를 누릅니다. 그러면 스택을 삭제하는 삭제 작업이 시작됩니다.

6. 삭제 작업이 성공한 후 스택을 완전히 삭제해야 하는 경우 이동 경로에서 스택 세부정보를 누른 다음 작업 더 보기 > 스택 삭제를 선택합니다.

7. 개발자 서비스 > OKE(Kubernetes 클러스터)로 이동하여 클러스터가 삭제되었는지 확인합니다. 그렇지 않은 경우 클러스터를 수동으로 삭제합니다.

8. 클러스터가 종료되면 인스턴스도 자동으로 종료되어야 합니다. 컴퓨트 > 인스턴스로 이동하고 인스턴스가 삭제되었는지 확인합니다. 삭제되지 않은 경우 수동으로 종료합니다.

9. 네트워킹 > 로드 밸런서로 이동하여 로드 밸런서 및 파일 스토리지를 확인합니다. 리소스가 계속 존재하는 경우 수동으로 종료합니다.

10. Networking(네트워킹) > Virtual Cloud Networks(가상 클라우드 네트워크)로 이동하여 VCN이 삭제되었는지 확인합니다. 삭제되지 않은 경우 VCN을 수동으로 종료합니다. VCN을 종료하는 데 문제가 있는 경우 서브넷 또는 VCN 삭제의 문제 해결 섹션을 따르십시오.

11. ID 및 보안 > ID > 정책으로 이동하여 ID 정책이 제거되었는지 확인합니다. 삭제되지 않은 경우 수동으로 삭제하십시오.

12. ID 및 보안 > ID > 도메인으로 이동합니다. 루트 컴파트먼트를 선택하고 도메인을 선택합니다. 동적 그룹을 누르고 동적 그룹이 제거되었는지 확인합니다. 삭제하지 않은 경우 수동으로 삭제하십시오.

13. 위의 단계가 완료되면 몇 분 정도 기다렸다가 모든 리소스가 정리되는지 확인합니다. 그런 다음 거버넌스 및 관리 > 제한, 할당량 및 사용량으로 이동하여 해당 리소스가 사용 가능한지 확인합니다.

다음 자습서

MFA 플로우를 테스트하려면 Oracle Cloud Marketplace에서 Oracle Advanced Authentication 및 최종 사용자 플로우 검증 구성을 참조하십시오.

피드백

이 자습서에 대한 피드백을 제공하려면 idm_user_assistance_ww_grp@oracle.com으로 문의하십시오.

기술 지원은 Oracle Support에 문의하십시오.

감사의 글

• 작성자 - Russ Hodgson

제목 및 저작권 정보

Deploying Oracle Advanced Authentication on Oracle Cloud Marketplace

G36598-01

Copyright ©2025, Oracle and/or its affiliates.