Полено,

Почему собственно iframe,
Как вариант сделать кнопку <input type="submit", указать <form action на public function в апексе,
внутри попробовать вызвать apex_authentication.login

Полено,

Раз нужно конкретно в новой вкладке, тогда через js, там аякс запрос (элементарно, $.load),

в обрабатывающей функции/процессе проверяем логин/пароль, если true,
то устанавливаем какой нибудь признак и window.open +в апексе сделать аутентифицирующий процесс.

признак - это либо, устанавливаем куку и, например, в page sentry её проверяем, если true => apex_authentication.login
либо просто генерируем ссылку с информацией, что нужно аутентифицироваться, а дальше любой процесс на стадии before header проверяет условие и тот же apex_authentication.login.

Тут главное - кукисы установить по нужному пути

Еще можно по принципу аутентификации в popup, открыть, проверить, если что закрыть