在 Oracle Cloud Marketplace 上部署 Oracle Advanced Authentication

簡介

本教學課程示範如何在 Oracle Cloud Marketplace 上部署 Oracle Advanced Authentication (OAA) 和相依產品以進行評估。

部署之後，管理員即可針對受 Oracle Access Management (OAM) 保護的應用程式，使用 OAA 執行多因子驗證 (MFA) 評估。

注意：管理員應注意下列事項：

• 此部署應僅用於評估目的，且應僅用於非敏感性資料。
• Oracle Cloud Marketplace 上的 OAA 目前不支援推送通知因子。
• Oracle Cloud Marketplace 上的 OAA 目前不支援 Oracle Universal Authenticator。

Oracle Cloud Marketplace 上的 OAA 是使用 Oracle Kubernetes 引擎 (OKE) 部署在 Kubernetes (K8S) 叢集中。Oracle Cloud Marketplace 上的部署部署部署了以下 Oracle 產品和元件：

• Oracle Database
• Oracle Unified Directory (原始)
• Oracle Access Management (上午)
• Oracle Advanced Authentication (OAA)
• Oracle HTTP Server (OHS)

已部署的架構如下：

可用係數

OAA 市集部署不需任何進一步的管理員組態即可使用下列因素：

• 以時間為基礎的一次性數字密碼 (TOTP) 與行動認證應用程式
• FIDO2
• YubiKey

下列因素需要額外的管理員組態後續部署 (如果需要進行評估)：

• 安全性問題
• 電子郵件
• SMS

注意：在所有情況下，一般使用者都必須存取「自助服務入口網站」，才能新增要評估的因素。如需有關管理員和一般使用者工作的詳細資訊，請參閱下一步教學課程段落。

建立的使用者

建置會在 Oracle Unified Directory 中建立下列使用者：

• weblogic_iam - 登入「OAM 管理」主控台的使用者名稱。
• oaaadmin - 登入 OAA 管理主控台的使用者名稱。
• oaauser1、oaauser2、oaauser3、oaauser4、oaauser5 - 一般使用者透過 OAM 進行認證的使用者名稱，以及登入 OAA 自助服務入口網站。

建立的 NFS 磁碟區

下列是 Oracle Cloud Marketplace 部署為 OAA 建立的 NFS 磁碟區：

• <NFS_CREDS_PATH>: /mnt/oaa/oaacredpv
• <NFS_CONFIG_PATH>: /mnt/oaa/oaaconfigpv
• <NFS_VAULT_PATH>: /mnt/oaa/oaavaultpv
• <NFS_LOGS_PATH>: /mnt/oaa/oaalogpv

您可以從堡壘主機節點存取這些磁碟區。

如需有關 NFS 磁碟區及其內容的更多資訊，請參閱 Configuring NFS Volumes 。

一般一般一般使用者流程

以下是可在 Oracle Cloud Marketplace 上使用 OAA 進行評估的典型流程：

1. 一般使用者 (例如 oaauser1) 會在「自助服務入口網站」中設定 MFA 的因子。
2. 一般使用者會存取透過 OAM 和 OAA MFA 原則保護的頁面 (bank-emp.html)。
3. 一般使用者會被重新導向至 OAM 以使用其證明資料 (oaauser1/<password>) 登入。
4. OAM 會根據 OAA 原則觸發 MFA。系統會要求使用者使用其中一個設定的因素來完成 MFA 或無密碼認證。
5. 認證成功時，會顯示受保護的頁面。

OCI 先決條件

在 Oracle Cloud Marketplace 上部署 OAA 之前，您必須具備 OCI 公用租用戶的管理員存取權。

以下顯示您可用性網域中部署 OAA 所需的配額：

• 1 個 OKE 叢集
• 節點集區的 4 個運算節點 (8 個 CPU，含 64GB RAM)
• 堡壘主機的 1 個運算節點 (2 個 CPU，16GB RAM)
• 1 個檔案系統、2 個掛載目標
• 1 負載平衡器 (100 Mbps)
• 2 個具有網際網路、NAT 和服務閘道的虛擬雲端網路 (VCN)

注意：選擇性 - 建議您為 OAA 部署建立新的區間。請參閱建立區間。

檢查您的配額：

1. OAA 需要節點集區的四個 (4) 個或更多個運算節點，以及個別可用性網域中堡壘主機的一個 (1) 運算節點。若要檢查是否有足夠的可用運算節點，請執行下列動作：

   1. 存取 OCI 主畫面並存取導覽功能表。
   2. 請瀏覽至治理與管理 > 限制、配額及用途。
   3. 選取顯示已不再使用的限制核取方塊。
   4. 從 SERVICE 下拉式功能表中，選取運算。
   5. 從 SCOPE 功能表中，選取適當的可用性網域。
   6. 從 COMPARTMENT 功能表中選取 root 區間。
   7. 在資源功能表中，選取要檢查的「節點資源配置」。您必須為節點集區選擇允許 8 個 CPU 且具有 64GB RAM 的資源配置，以及 2 個 CPU 和 16GB RAM 的堡壘主機。
   8. 請核取可用資料欄，確定您有足夠的運算可用於想要部署的節點資源配置。

如需有關運算資源配置的詳細資訊，請參閱運算資源配置。

1. OAA 需要兩 (2) 個虛擬雲端網路 (VCN) 資源，才能在租用戶中使用。若要檢查是否有足夠的 VCN 可用：

   1. 從 SERVICE 下拉式功能表中選取虛擬雲端網路。
   2. 從 SCOPE 功能表中選取您的租用戶。
   3. 在資源功能表中，選取虛擬雲端網路計數。
   4. 請勾選可用資料欄，並且確定至少有兩個 VCN 可用。

2. OAA 需要一 (1) 個 100Mbps 負載平衡器資源才能使用：

   1. 從 SERVICE 下拉式功能表選取 LbaaS 。
   2. 從 SCOPE 功能表中選取您的租用戶。
   3. 在資源功能表中，選取 100Mbps 負載平衡器計數。
   4. 請檢查可用資料欄，確定至少有一 (1) 個負載平衡器可供使用。

3. OAA 需要一 (1) 個 OKE 叢集才能使用：

   1. 從 SERVICE 下拉式功能表中選取容器引擎。
   2. 從 SCOPE 功能表中選取您的租用戶。
   3. 在資源功能表中，選取基本叢集計數。
   4. 檢查可用資料欄，並確定至少有一個可用 (1)。

4. OAA 需要一 (1) 個檔案系統資源和一 (2) 個可用的掛載目標資源：

   1. 從 SERVICE 下拉式功能表選取檔案儲存。
   2. 從 SCOPE 功能表中，選取「可用性網域」。
   3. 請勾選可用資料欄，確定檔案系統計數至少有一 (1) 個資源可用，掛載目標計數則有兩 (2) 個資源可用。

如需資源的詳細資訊，請參閱區間配額。

在 Oracle Cloud Marketplace 上佈建 OAA

1. 存取 Oracle Cloud Marketplace 。

2. 搜尋 Oracle Advanced Authentication 清單並加以選取。

3. 在 Oracle Advanced Authentication 清單中，檢查版本詳細資訊顯示版本：12.2.1.4.1-<DATE>。

4. 選取取得應用程式，即可將安裝啟動至您的租用戶。

5. 登入您的租用戶。

6. 在畫面右上角，選取 OCI 區域。

7. 選取將部署 OAA 執行處理的區間。

   注意：請勿選取預設 (根) 區間。

   請務必選取有關條款與條件的核取方塊。

8. 按一下啟動堆疊。

9. 在堆疊資訊畫面中，視需要編輯名稱，並視需要新增描述。按下一步。

10. 在設定變數畫面中，輸入下方的變數，然後按下一步：

    租用戶詳細資訊：

    名稱	數值
    Region	此區域應與 OCI 主控台 URL 中所提及的區域相同。
    Availability Domain	將部署 OAA 的可用性網域。

    Oracle Kubernetes 引擎 (OKE) ：

    按一下顯示 OKE 進階選項：

    名稱	數值
    OKE Nodepool Instance Shape	選擇節點集區運算的資源配置，例如 VM.Standard.E4.Flex。
    OCPU Count	8
    Memory	64GB
    Size of the Node Pool	四 (4) 以上。根據「OCI 先決條件」段落，請確定檢查為「節點集區資源配置」選擇之「可用性網域」中的運算資源可用性。例如，如果您指定四 (4) 個節點，請確定所選 VM 資源配置有四 (4) 個運算資源可用。

    堡壘主機 - 運算節點：

    名稱	數值
    Bastion Instance Shape	選擇堡壘主機的資源配置，例如：VM.Standard.E4.Flex。根據「OCI 先決條件」區段，請確定檢查針對堡壘主機節點所選可用性網域中的運算資源可用性。必須指定所選 VM 資源配置的一 (1) 個運算資源。
    OCPU Count	2
    Memory	16GB
    Common Password	用於所有元件的通用密碼。密碼必須符合正規表示式：^[a-zA-Z0-9.\-/+=@_]*$|

    其餘變數可依其預設值而維持。

11. 在複查畫面中，驗證組態變數並選取建立。

    這將會觸發將顯示在 OCI 主控台中的工作。工作將顯示為 IN PROGRESS ，並在畫面底部的日誌區段中，顯示建置進度的詳細資訊。

    工作約需 90 分鐘完成。工作成功後，工作狀態會顯示為已成功。

新增公用 IP 至本機主機檔案

在此區段中，您會找到負載平衡器的公用 IP 位址。然後，IP 位址和主機名稱 (login.example.com) 會新增至任何需要評估 OAA 之電腦的本機主機檔案中。

1. 存取 OCI 主控台，然後從導覽功能表選取資源管理程式 > 堆疊。

2. 從下拉式清單中選取相關的區間。將會顯示區間中的堆疊清單。選取剛建立的堆疊，例如 OAA。

3. 按一下剛執行的工作。在資源區段中，按一下工作的日誌連結。

4. 在日誌輸出中，使用瀏覽器搜尋來搜尋字串 load_balancer_public_ip 。記下負載平衡器的公用 IP 位址。

5. 新增項目至您的本機主機檔案，以將負載平衡器 IP 對應至定義的主機名稱。這必須在需要評估 OAA 的所有電腦上完成。

   注意：您必須使用下列主機名稱：

   <LB_PUBLIC_IP> login.example.com
   

下載信任憑證授權機構

在此區段中，您會下載簽署負載平衡器憑證的憑證授權機構 (CA) 憑證。接著，您將 CA 憑證匯入任何需要存取和測試 OAA 的瀏覽器。

注意：如果您需要測試 OAA FIDO2 認證，以及防止瀏覽器在存取 OAA 或 OAM URL 時發生憑證錯誤，就必須這麼做。

1. 執行下列命令以取得憑證：

   openssl s_client -connect login.example.com:443 -showcerts </dev/null 2>/dev/null| sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > certs.pem
   

   注意：如果是在 Windows 環境上執行，請使用 Git Bash 執行上述命令。

2. 編輯 certs.pem。certs.pem 包含兩個憑證。檔案中的最上層憑證是負載平衡器憑證。檔案中的底部憑證是 CA 憑證。將 CA 憑證 (從 -----BEGIN CERTIFICATE----- 複製到 -----END CERTIFICATE-----)。

3. 建立新檔案 oaamktplaceca.pem，並將複製的憑證貼到此檔案並儲存。

4. 將 oaamktplaceca.pem 複製到瀏覽器將存取 OAA 和 OAM URL 的任何機器。

5. 將憑證匯入瀏覽器的「信任憑證授權機構」存放區。若有需要，請查閱您的瀏覽器文件以瞭解進一步的詳細資訊。

透過 SSH 連線至堡壘主機

透過 SSH 連線至堡壘主機：

1. 存取 OCI 主控台，然後從導覽功能表選取資源管理程式 > 堆疊。

2. 從下拉式清單中選取相關的區間。將會顯示區間中的堆疊清單。選取剛建立的堆疊，例如 OAA。

3. 按一下剛執行的工作。在資源區段中，按一下工作的檢視狀態連結。

4. 在檢視狀態視窗中，使用瀏覽器搜尋來搜尋字串 ssh_to_bastion。在 value 行結尾記下 IP 位址，例如：opc@<bastion_ip>。

5. 從相同的 value 行複製顯示的私密金鑰資料 (從 -----BEGIN RSA PRIVATE KEY---- 複製到 -----END RSA PRIVATE KEY-----\n)。建立一個檔案，例如 oaamktplace.key，並將複製的值貼到檔案中並儲存：

   -----BEGIN RSA PRIVATE KEY-----\nXXXXXXXXXXXXYYYYYYYYYYYYYYPPPPPPPPPPP++YYYYY
   YYYYTTTTTTTTTTT\IIIIIIIIIhhhhjjuuuuuu/VVVuuuuuuuuuuu908888/zdS1UCdLr/Q2q9yd12
   etc.....................................................................
   +Qjl5\nxOByCUtZ8TbRbQMgEA/6G6wzVQ+mjCPy0n0ykxhWaHVj22ytfxKtApNLjwhtlZm
   \npD58jI0CgYEAv3GvEcfVPg92KmN8OH+hSrkLzz22bemNqioRvKi2mXBwfk0xu0kK\nvTdjVqwbD
   lCeAhISJxXdsT3J83pyeaGm6TrxBwUptJ8SzlZgFptpJffE1acAq8m\nXd7RoF2rBqZ5HHYYYYYkl
   kkk90zedjxPoJW6XxC3ljingatsgJzAixIMSc8=\n-----END RSA PRIVATE KEY-----\n
   

6. 發出下列指令以轉換移除 "\n" 字元並變更檔案的權限：

   sed -i 's/\\n/\n/g' oaamktplace.key
   

   chmod 400 oaamktplace.key
   

   注意：管理員應注意下列事項：

   • 如果在 Windows 環境上執行，您可以使用 Git Bash 之類的工具執行指令，或者在文字編輯器中編輯金鑰檔案，並移除所有 "\n" 字元。
   • 在 Windows 上，請勿執行 chmod 400 命令，而是將檔案的特性變更為唯讀。

   開啟 oaamktplace.key 檔案並驗證移除的 \n 字元。

7. 使用私密金鑰檔案連線至堡壘主機：

   ssh -i oaamktplace.key opc@<bastion_ip>
   

   登入應該成功。

驗證 OAA 部署

在此段落中，您可以檢查 OAA 環境的所有元件是否正確執行，以及存取「管理」主控台和「自行服務入口網站」。

1. 從堡壘主機上的 ssh 階段作業，執行下列命令來檢查 OAA Pod 的狀態：

   kubectl get pods -n oaans
   

   輸出結果看起來與下列類似。所有 Pod 都應該是 READY 1\1 和 RUNNING：

   NAME                                READY   STATUS    RESTARTS   AGE
   edg-email-74766c4548-v58qd          1/1     Running   0          1h
   edg-fido-6d45456459-pbjw6           1/1     Running   0          1h
   edg-oaa-9c9bb4bf-r2fx9              1/1     Running   0          1h
   edg-oaa-admin-ui-79866b8fdc-8lh4z   1/1     Running   0          1h
   edg-oaa-drss-6b47b788b6-8xtlk       1/1     Running   0          1h
   edg-oaa-kba-686c76679c-29nfl        1/1     Running   0          1h
   edg-oaa-policy-6448db6fd8-bzjjb     1/1     Running   0          1h
   edg-push-77dc7db499-rcgp4           1/1     Running   0          1h
   edg-risk-59b856c99c-9qvhn           1/1     Running   0          1h
   edg-risk-cc-6fb6d7b94c-7z8vq        1/1     Running   0          1h
   edg-sms-688679d548-jlxpc            1/1     Running   0          1h
   edg-spui-86dd46d59f-rtgpn           1/1     Running   0          1h
   edg-totp-7f9db7894-mjx82            1/1     Running   0          1h
   edg-yotp-7c88b7fff5-wjjm4           1/1     Running   0          1h
   oaamgmt                             1/1     Running   0          1h
   

2. 開啟您電腦上的 Web 瀏覽器，並存取下列主控台。使用您在部署期間輸入的 <COMMON_PASSWORD>，以相關使用者名稱登入。在存取下一個主控台之前，請確定您已登出主控台：

   主控台	URL	使用者名稱
   OAM 管理主控台	https://login.example.com/oamconsole	weblogic_iam
   OAA 管理主控台	https://login.example.com/oaa-admin/index.html	oaaadmin
   OAA 自助服務入口網站	https://login.example.com/oaa/rui	oaauser1 - oaauser5

   注意：如果您已正確將 CA 憑證匯入瀏覽器，就不會發生憑證錯誤。

毀棄或刪除 OAA 堆疊

如果您需要毀棄 OAA 堆疊以清除失敗的部署，或完全刪除堆疊，請執行下列步驟：

注意：如果建置在建立堡壘主機之前失敗，或未執行 invoke_oaa，則可能無法執行下方的步驟 1 和步驟 2。如果是任一情況，請直接前往步驟 3。

1. 透過 SSH 連線至堡壘主機時，請根據透過 SSH 連線至堡壘主機區段進行連線。

2. 在堡壘主機上執行下列命令：

   /home/opc/oaascripts/utils/delete_all.sh
   

3. 在 OCI 主控台中，瀏覽至開發人員服務 > 資源管理程式 > 堆疊。

4. 尋找並按一下 OAA 堆疊。

5. 在堆疊詳細資訊頁面上，按一下毀棄。這將會啟動毀棄工作以毀棄堆疊。

6. 毀棄工作成功之後，如果您需要完全刪除堆疊，請按一下來源路徑中的堆疊詳細資訊，然後選取其他動作 > 刪除堆疊。

7. 導覽至開發人員服務 > Kubernetes 叢集 (OKE) 以確定已刪除叢集。如果沒有，請手動刪除叢集。

8. 當叢集終止時，也應自動終止執行處理。導覽至運算 > 執行處理，然後檢查執行處理是否已刪除。若未刪除，請手動終止這些項目。

9. 瀏覽至網路 > 負載平衡器，以檢查負載平衡器和檔案儲存。如果資源仍然存在，請手動將它們終止。

10. 瀏覽至網路 > 虛擬雲端網路，檢查 VCN 是否已毀棄。如果未銷毀，則手動終止 VCN。如果終止 VCN 時發生問題，請依照子網路或 VCN 刪除中的「疑難排解」一節進行。

11. 導覽至識別與安全性 > 識別 > 原則，以檢查是否移除識別原則。若未銷毀，則手動刪除。

12. 請瀏覽至識別與安全性 > 識別 > 網域。選取根區間並選取您的網域。按一下動態群組，然後檢查「動態群組」是否已移除。若未銷毀，則手動刪除。

13. 上述步驟完成後，請稍候幾分鐘以確保清除所有資源。然後瀏覽至治理與管理 > 限制、配額及使用狀況，檢查限制以確保這些資源現在免費。

下一個教學

若要測試 MFA 流程，請參閱 Configuring Oracle Advanced Authentication and Validating End User Flow on Oracle Cloud Marketplace 。

意見

若要提供有關本教學課程的意見，請聯絡 idm_user_assistance_ww_grp@oracle.com。

如需技術支援，請聯絡 Oracle Support 。

致謝

• 作者 - Russ Hodgson

標題與著作權資訊

Deploying Oracle Advanced Authentication on Oracle Cloud Marketplace

G36603-01

Copyright ©2025, Oracle and/or its affiliates.