Implantando o Oracle Advanced Authentication no Oracle Cloud Marketplace

Introdução

Este tutorial mostra como implantar o Oracle Advanced Authentication (OAA) e produtos dependentes no Oracle Cloud Marketplace para fins de avaliação.

Depois de implantados, os Administradores podem executar a avaliação da Autenticação Multifator (MFA) com o OAA para aplicativos protegidos pelo Oracle Access Management (OAM).

Observação: os administradores devem estar cientes do seguinte:

O OAA no Oracle Cloud Marketplace é implantado em um cluster do Kubernetes (K8S) usando o Oracle Kubernetes Engine (OKE). A implantação no Oracle Cloud Marketplace implanta os seguintes produtos e componentes da Oracle:

A arquitetura implantada é a seguinte:

Fatores Disponíveis

Os seguintes fatores estão disponíveis com a implantação do OAA Marketplace sem nenhuma configuração adicional do Administrador:

Os seguintes fatores exigem configuração adicional do Administrador após a implantação, se forem necessários para avaliação:

Observação: em todos os casos, o usuário final precisará acessar o Portal de Autoatendimento para adicionar os fatores a serem avaliados. Mais informações sobre as tarefas do Administrador e do usuário final podem ser encontradas na seção Próximo Tutorial.

Usuários Criados

A implantação cria os seguintes usuários no Oracle Unified Directory:

Volumes NFS Criados

Estes são os volumes NFS criados para OAA pela implantação do Oracle Cloud Marketplace:

Esses volumes podem ser acessados no nó bastion.

Para obter mais informações sobre os volumes NFS e seu conteúdo, consulte Configurando Volumes NFS.

Fluxo Típico do Usuário Final

O seguinte é um fluxo típico que pode ser avaliado usando OAA no Oracle Cloud Marketplace:

  1. Um usuário final, por exemplo, oaauser1, configura seus fatores para MFA no Portal de Autoatendimento.
  2. O usuário final acessa uma página (bank-emp.html) que é protegida por meio do OAM e de uma política de MFA do OAA.
  3. O usuário final é redirecionado ao OAM para fazer log-in com suas credenciais (oaauser1/<password>).
  4. O OAM aciona a MFA com base em políticas OAA. O usuário é solicitado a concluir a autenticação MFA ou Passwordless usando um de seus fatores configurados.
  5. Após a autenticação bem-sucedida, a página protegida é exibida.

Pré-requisitos do OCI

Antes de implantar o OAA no Oracle Cloud Marketplace, você deve ter acesso de administrador em uma tenancy pública do OCI.

Veja a seguir as cotas necessárias em seu Domínio de Disponibilidade para implantar o OAA:

Observação: Opcional - É recomendável criar um novo compartimento para a implantação do OAA. Consulte Criando um Compartimento.

Para verificar suas cotas:

  1. O OAA requer quatro (4) ou mais nós de computação para o Pool de Nós e um (1) nó de computação para o Bastion no respectivo Domínio de Disponibilidade. Para verificar se você tem nós de computação suficientes disponíveis:

    1. Acesse a console do OCI e acesse o Menu de Navegação.
    2. Navegue até Governança e Administração > Limites, Cota e Uso.
    3. Marque a caixa de seleção Mostrar limites obsoletos.
    4. No menu drop-down SERVIÇO, selecione Computação.
    5. No menu SCOPE, selecione o Domínio de Disponibilidade apropriado.
    6. No menu COMPARTMENT, selecione o compartimento root.
    7. No menu Recurso, selecione a Forma do Nó a ser verificada. Escolha uma forma que permita 8 CPUs com 64 GB de RAM para o pool de nós e 2 CPUs e 16 GB de RAM para o bastion.
    8. Verifique a coluna Disponível e certifique-se de ter cálculos suficientes disponíveis para a Forma do Nó que você deseja implantar.

Para obter mais informações sobre as formas de computação disponíveis, consulte Formas de Computação.

  1. O OAA requer que dois (2) recursos de VCN (Virtual Cloud Network) estejam disponíveis na tenancy. Para verificar se você tem VCN suficiente disponível:

    1. No menu suspenso SERVIÇO, selecione Rede Virtual na Nuvem.
    2. No menu SCOPE, selecione sua tenancy.
    3. No menu Recurso, selecione Contagem de Redes Virtuais na Nuvem.
    4. Verifique a coluna Disponível e certifique-se de que pelo menos duas (2) VCN estejam disponíveis.

  2. O OAA requer que um (1) recurso do Balanceador de Carga 100Mbps esteja disponível:

    1. No menu suspenso SERVIÇO, selecione LbaaS.
    2. No menu SCOPE, selecione sua tenancy.
    3. No menu Recurso, selecione 100Mbps Contagem do Balanceador de Carga.
    4. Verifique a coluna Disponível e certifique-se de que pelo menos um (1) Balanceador de Carga esteja disponível.

  3. O OAA requer que um (1) cluster do OKE esteja disponível:

    1. No menu suspenso SERVICE, selecione Container Engine.
    2. No menu SCOPE, selecione sua tenancy.
    3. No menu Recurso, selecione Contagem Básica de Clusters.
    4. Verifique a coluna Disponível e certifique-se de que pelo menos uma (1) esteja disponível.

  4. O OAA requer que um (1) recurso de Sistema de Arquivos e um (2) recursos de Ponto de Acesso NFS estejam disponíveis:

    1. No menu drop-down SERVIÇO, selecione File Storage.
    2. No menu SCOPE, selecione seu Domínio de Disponibilidade.
    3. Verifique a coluna Disponível e certifique-se de que pelo menos um (1) recurso esteja disponível para a Contagem do Sistema de Arquivos e dois (2) recursos estejam disponíveis para a Contagem do Ponto de Acesso NFS.

Para obter mais informações sobre recursos, consulte Cotas de Compartimento.

Provisionar OAA no Oracle Cloud Marketplace

  1. Acesse o Oracle Cloud Marketplace.

  2. Procure o Oracle Advanced Authentication de listagem e selecione-o.

  3. Na listagem do Oracle Advanced Authentication, verifique se os detalhes da Versão mostram a Versão: 12.2.1.4.1-<DATE>.

  4. Inicie a instalação na sua tenancy selecionando Obter Aplicativo.

  5. Acesse sua tenancy.

  6. No canto superior direito da tela, selecione a região do OCI.

  7. Selecione o compartimento no qual a Instância do OAA será implantada.

    Observação: Não selecione o compartimento (raiz) padrão.

    Certifique-se de marcar a caixa de seleção referente aos termos e condições.

  8. Clique em Iniciar Pilha.

  9. Na tela Informações da Pilha, edite o Nome conforme apropriado e adicione uma Descrição, se necessário. Clique em Próximo.

  10. Na tela Configurar Variáveis, informe as variáveis conforme abaixo e clique em Próximo:

    Detalhes da Tenancy:

    Nome Valor
    Region A região deve ser a mesma mencionada no URL da console do OCI.
    Availability Domain O Domínio de Disponibilidade em que o OAA será implantado.

    Oracle Kubernetes Engine (OKE):

    Clique em Mostrar opções avançadas do OKE:

    Nome Valor
    OKE Nodepool Instance Shape Escolha a forma para os cálculos do pool de nós, por exemplo, VM.Standard.E4.Flex.
    OCPU Count 8
    Memory 64GB
    Size of the Node Pool Quatro (4) ou mais. De acordo com a seção Pré-requisitos do OCI, certifique-se de verificar a disponibilidade dos recursos de computação no Domínio de Disponibilidade escolhido para a Forma do Pool de Nós. Por exemplo, se você especificar 4 (quatro) nós, certifique-se de que 4 (quatro) recursos de computação da Forma de VM escolhida estejam disponíveis.

    Bastion - Nós de Computação:

    Nome Valor
    Bastion Instance Shape Escolha a forma do bastion, por exemplo: VM.Standard.E4.Flex. De acordo com a seção Pré-requisitos do OCI, certifique-se de verificar a disponibilidade dos recursos de computação no Domínio de Disponibilidade escolhido para o nó bastion. É necessário um (1) recurso de computação da Forma de VM escolhida.
    OCPU Count 2
    Memory 16GB
    Common Password A senha comum a ser usada para todos os componentes. A senha deve corresponder à expressão regular: ^[a-zA-Z0-9.\-/+=@_]*$|

    O restante das variáveis pode permanecer de acordo com seus valores padrão.

  11. Na tela Revisar, verifique as variáveis de configuração e selecione Criar.

    Isso acionará um job que será exibido na console do OCI. O job será mostrado como EM PROGRESSO e, na seção Logs na parte inferior da tela, os detalhes do andamento da implantação serão exibidos.

    O trabalho levará aproximadamente 90 minutos para ser concluído. Assim que o job for bem-sucedido, o status do job mostrará SUCCEEDED.

Adicionando o IP Público ao Arquivo de Hosts Locais

Nesta seção, você encontra o endereço IP público do balanceador de carga. O endereço IP e o nome do host (login.example.com) são então adicionados ao arquivo de hosts locais de qualquer computador que precise avaliar o OAA.

  1. Acesse a console do OCI e, no Menu de Navegação, selecione Resource Manager > Pilhas.

  2. Selecione o compartimento relevante na lista drop-down. Uma lista de pilhas no compartimento será exibida. Selecione a pilha recém-criada, por exemplo, OAA.

  3. Clique no job que acabou de ser executado. Na seção Recursos, clique no link Logs do job.

  4. Na pesquisa de saída Logs, procure a string load_balancer_public_ip usando a pesquisa do browser. Observe o endereço IP público do Balanceador de Carga.

  5. Adicione uma entrada ao arquivo de hosts locais para mapear o IP do Balanceador de Carga para o nome de host definido. Isso deve ser feito em todos os computadores que precisam avaliar o OAA.

    Observação: você deve usar o nome do host listado abaixo:

    <LB_PUBLIC_IP> login.example.com

Fazendo Download da Autoridade de Certificação Confiável

Nesta seção, você faz download do certificado da Autoridade de Certificação (CA) que assinou o certificado do balanceador de carga. Em seguida, importe o certificado da CA para qualquer navegador que precise acessar e testar o OAA.

Observação: esse é um requisito se você precisar testar a autenticação OAA FIDO2 e também para evitar erros de certificado no browser ao acessar os URLs do OAA ou do OAM.

  1. Execute o seguinte comando para obter os certificados:

    openssl s_client -connect login.example.com:443 -showcerts </dev/null 2>/dev/null| sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > certs.pem

    Observação: use o Git Bash para executar o comando acima se estiver em execução em um ambiente Windows.

  2. Edite a certs.pem. O certs.pem contém dois certificados. O principal certificado do arquivo é o certificado do balanceador de carga. O certificado inferior no arquivo é o certificado CA. Copie o certificado da CA (de -----BEGIN CERTIFICATE----- para -----END CERTIFICATE-----).

  3. Crie um novo arquivo oaamktplaceca.pem e cole o certificado copiado nesse arquivo e salve.

  4. Copie o oaamktplaceca.pem para qualquer máquina cujo navegador acesse os URLs do OAA e do OAM.

  5. Importe o certificado para o armazenamento de Autoridade de Certificação Confiável do navegador. Consulte a documentação do seu navegador para obter mais detalhes, se necessário.

Estabelecendo Conexão via SSH com o Bastion Host

Para estabelecer conexão via SSH com o bastion host:

  1. Acesse a console do OCI e, no Menu de Navegação, selecione Resource Manager > Pilhas.

  2. Selecione o compartimento relevante na lista drop-down. Uma lista de pilhas no compartimento será exibida. Selecione a pilha recém-criada, por exemplo, OAA.

  3. Clique no job que acabou de ser executado. Na seção Recursos, clique no link Exibir Estado do job.

  4. Na janela Exibir Estado, procure a string ssh_to_bastion usando a pesquisa do browser. No final da linha value, anote o endereço IP, por exemplo: opc@<bastion_ip>.

  5. Na mesma linha value, copie os dados da chave privada exibidos (de -----BEGIN RSA PRIVATE KEY---- para -----END RSA PRIVATE KEY-----\n). Crie um arquivo, por exemplo, oaamktplace.key, cole o valor copiado no arquivo e salve:

    -----BEGIN RSA PRIVATE KEY-----\nXXXXXXXXXXXXYYYYYYYYYYYYYYPPPPPPPPPPP++YYYYY
YYYYTTTTTTTTTTT\IIIIIIIIIhhhhjjuuuuuu/VVVuuuuuuuuuuu908888/zdS1UCdLr/Q2q9yd12
etc.....................................................................
+Qjl5\nxOByCUtZ8TbRbQMgEA/6G6wzVQ+mjCPy0n0ykxhWaHVj22ytfxKtApNLjwhtlZm
\npD58jI0CgYEAv3GvEcfVPg92KmN8OH+hSrkLzz22bemNqioRvKi2mXBwfk0xu0kK\nvTdjVqwbD
lCeAhISJxXdsT3J83pyeaGm6TrxBwUptJ8SzlZgFptpJffE1acAq8m\nXd7RoF2rBqZ5HHYYYYYkl
kkk90zedjxPoJW6XxC3ljingatsgJzAixIMSc8=\n-----END RSA PRIVATE KEY-----\n

  6. Execute o seguinte comando para converter os caracteres remover e alterar as permissões no arquivo:

    sed -i 's/\\n/\n/g' oaamktplace.key

    chmod 400 oaamktplace.key

    Observação: os administradores devem estar cientes do seguinte:

    • Se estiver em execução em um ambiente Windows, você poderá executar o comando usando uma ferramenta como o Git Bash ou, como alternativa, editar o arquivo de chaves em um editor de texto e remover todos os caracteres "\n".
    • No Windows, não execute o comando chmod 400; em vez disso, altere as propriedades do arquivo para somente leitura.

    Abra o arquivo oaamktplace.key e valide se os caracteres \n foram removidos.

  7. Conecte-se ao bastion host usando o arquivo de chave privada:

    ssh -i oaamktplace.key opc@<bastion_ip>

    O login deve ser bem-sucedido.

Validando a Implantação do OAA

Nesta seção, você verifica se todos os componentes do ambiente OAA estão sendo executados corretamente e se pode acessar as consoles de Administração e o Portal de Autoatendimento.

  1. Na sessão ssh no bastion host, execute o seguinte comando para verificar o status dos pods do OAA:

    kubectl get pods -n oaans

    A saída será semelhante à seguinte. Todos os pods devem ser READY 1\1 e RUNNING:

    NAME                                READY   STATUS    RESTARTS   AGE
edg-email-74766c4548-v58qd          1/1     Running   0          1h
edg-fido-6d45456459-pbjw6           1/1     Running   0          1h
edg-oaa-9c9bb4bf-r2fx9              1/1     Running   0          1h
edg-oaa-admin-ui-79866b8fdc-8lh4z   1/1     Running   0          1h
edg-oaa-drss-6b47b788b6-8xtlk       1/1     Running   0          1h
edg-oaa-kba-686c76679c-29nfl        1/1     Running   0          1h
edg-oaa-policy-6448db6fd8-bzjjb     1/1     Running   0          1h
edg-push-77dc7db499-rcgp4           1/1     Running   0          1h
edg-risk-59b856c99c-9qvhn           1/1     Running   0          1h
edg-risk-cc-6fb6d7b94c-7z8vq        1/1     Running   0          1h
edg-sms-688679d548-jlxpc            1/1     Running   0          1h
edg-spui-86dd46d59f-rtgpn           1/1     Running   0          1h
edg-totp-7f9db7894-mjx82            1/1     Running   0          1h
edg-yotp-7c88b7fff5-wjjm4           1/1     Running   0          1h
oaamgmt                             1/1     Running   0          1h

  2. Abra um navegador da Web no seu computador e acesse os seguintes consoles. Faça log-in com o nome de usuário relevante, usando o <COMMON_PASSWORD> informado durante a implantação. Certifique-se de fazer logout da console antes de acessar a próxima console:

    Console URL Nome do usuário
    Console de Administração do OAM https://login.example.com/oamconsole weblogic_iam
    Console de Administração do OAA https://login.example.com/oaa-admin/index.html oaaadmin
    OAA - Portal Self-Service https://login.example.com/oaa/rui oaauser1 - oaauser5

    Observação: se você tiver importado o certificado da CA para o browser corretamente, não deverá haver erros de certificado.

Destruindo ou Excluindo a Pilha OAA

Se você precisar destruir a pilha do OAA para fazer a limpeza de uma implantação com falha ou excluir completamente a pilha, execute as seguintes etapas:

Observação: as etapas 1 e 2 abaixo podem não ser possíveis se a implantação falhar antes de criar o bastion host ou se invoke_oaa não tiver sido executado. Se ambos os casos, vá direto para a etapa 3.

  1. Estabeleça conexão via SSH com o bastion host de acordo com a seção Estabelecendo Conexão via SSH com o Bastion Host.

  2. Execute o seguinte comando no bastion host:

    /home/opc/oaascripts/utils/delete_all.sh

  3. Na Console do OCI, navegue até Serviços do Desenvolvedor > Resource Manager > Pilhas.

  4. Localize e clique na pilha OAA.

  5. Na página Detalhes da Pilha, clique em Destruir. Isso iniciará um job de destruição para destruir a pilha.

  6. Quando o job de destruição for bem-sucedido, se você precisar excluir completamente a pilha, clique em Detalhes da Pilha na trilha de navegação estrutural e selecione Mais ações > Excluir Pilha.

  7. Certifique-se de que os clusters sejam excluídos navegando até Developer Services > Clusters do Kubernetes (OKE). Caso contrário, exclua manualmente os clusters.

  8. Quando os clusters são encerrados, as instâncias também devem ser encerradas automaticamente. Navegue até Compute > Instances e verifique se as instâncias foram excluídas. Se não for excluído, encerre-o manualmente.

  9. Verifique o balanceador de carga e o armazenamento de arquivos navegando até Networking > Load Balancers. Se ainda existirem recursos, encerre-os manualmente.

  10. Verifique se as VCN são destruídas navegando até Networking > Virtual Cloud Networks. Se não for destruído, encerre manualmente as VCNs. Se houver problemas ao encerrar a VCN, siga a seção Diagnóstico e Solução de Problemas em Exclusão de Sub-rede ou VCN.

  11. Verifique se as Políticas de Identidade são removidas navegando até Identidade e Segurança > Identidade > Políticas. Se não for destruído, destrua-o manualmente.

  12. Navegue até Identity & Security > Identity > Domains. Selecione o compartimento-raiz e selecione seu Domínio. Clique em Grupos Dinâmicos e verifique se os Grupos Dinâmicos foram removidos. Se não for destruído, destrua-o manualmente.

  13. Quando as etapas acima forem concluídas, aguarde alguns minutos para garantir que todos os recursos sejam limpos. Em seguida, verifique os limites para garantir que esses recursos agora estejam livres navegando até Governança e Administração > Limites, Cota e Uso.

Próximo Tutorial

Para testar o fluxo da MFA, consulte Configurando o Oracle Advanced Authentication e Validando o Fluxo do Usuário Final no Oracle Cloud Marketplace.

Feedback

Para fornecer feedback sobre este tutorial, entre em contato com idm_user_assistance_ww_grp@oracle.com.

Para suporte técnico, entre em contato com o Suporte Técnico da Oracle.

Agradecimentos