動作確認

OTP発行にはAndroid版のGoogle Authenticatorを利用して確認しました。

1. 事前に作成しておいたアカウント(test1)でログインする
2. OTP入力の画面に遷移しますが、まだデバイス未登録なのでここで REGISTER DEVICE をクリック
3. QRコードが表示されるので、Google Authenticatorでキャプチャして設定を行う
4. 次に進み、登録したGoogle Authenticatorで発行されたOTPを入力してSUBMIT
5. ログインが完了しユーザのプロフィールページに無事に遷移

設定時の注意点

Procedure 2.10. To Create an Authentication Chain for Two Step Verification通りなのだが、認証モジュールは ForgeRock Authenticator (OATH) を選ぶこと(OATHだと駄目)。

その他注意点

• XUIのログイン画面はどうもまだ安定していなくて、特にレルムを使うとブラウザからのREST API呼び出しでエラーが出まくります。試す場合は、デフォルトのトップレベルのレルム(/)を使ったほうが良いです。
• 2段階認証をトップレベルレルムのデフォルトの認証連鎖に設定すると、amadminでログインする際にもOTPが求められ管理コンソールにログインできなくなります。その場合は下記URLのようにDataStoreモジュールを直接指定してログイン画面を開けばOK。
  • http://demo.example.org:8080/openam/UI/Login?module=DataStore

Nightly Build版で動作させるための修正点

Nightly Build版で動作させるための変更内容についても書いておきます。HTMLファイルを置くだけでいいので、OpenAMのビルドは不要です。正式リリースまでにはきっと直るはず。

• (OPENAM_WAR)/XUI/templates/openam/authn/ 以下に AuthenticatorOATH2.html を作成。

<div class="container" id="oath-container">
    {{#if reqs.header}}
    <div class="page-header">
        <h1 class="text-center">{{reqs.header}}</h1>
    </div>
    {{/if}}
    <form action="" method="post" class="form col-sm-6 col-sm-offset-3" autocomplete="off">
        <fieldset>
            {{#each reqs.callbacks}}
            <div class="form-group">
                {{callbackRender}}
            </div>
            {{/each}}
        </fieldset>
    </form>
</div>

• 同じ内容で、AuthenticatorOATH4.html、AuthenticatorOATH5.html、AuthenticatorOATH7.htmlを同フォルダに作成。