Oracle Cloud Infrastructure - Dokumentation

Authentifizierten X.509-Identitätsprovider hinzufügen

Verwenden Sie einen X.509-authentifizierten Identitätsprovider (IdP) mit zertifikatbasierter Authentifizierung mit einer Identitätsdomain in IAM, um die FedRAMP- und PIV-Kartenanforderungen (Personal Identity Verification) zu erfüllen.

Wenn Sie eine X.509-authentifizierte IdP hinzufügen, erhalten Benutzer eine Methode zur Anmeldung mit wechselseitigem SSL. Durch wechselseitige SSL-Authentifizierung wird sichergestellt, dass sowohl der Client als auch der Server sich gegenseitig authentifizieren, indem sie ihre öffentlichen Zertifikate austauschen. Anschließend wird die Verifizierung basierend auf diesen Zertifikaten durchgeführt.

So fügen Sie einen authentifizierten X.509-Identitätsprovider hinzu:

  1. Wählen Sie auf der Listenseite Domains die Domain aus, in der Sie Änderungen vornehmen möchten. Wenn Sie Hilfe beim Suchen der Listenseite für die Domain benötigen, finden Sie weitere Informationen unter Identitätsdomains auflisten.
  2. Führen Sie je nach den angezeigten Optionen auf der Detailseite eine der folgenden Aktionen aus:
    • Föderation auswählen oder
    • Wählen Sie Sicherheit und dann Identitätsprovider aus. Eine Liste der Identitätsprovider in der Domain wird angezeigt.
  3. Führen Sie je nach den angezeigten Optionen eine der folgenden Aktionen aus:
    • Wählen Sie im Menü Aktionen des Identitätsproviders die Option X.509 hinzufügen IdP aus, oder
    • Wählen Sie IdP hinzufügen und dann X.509 hinzufügen IdP aus.
  4. Geben Sie einen Namen und eine Beschreibung für den X.509-Identitätsprovider ein.
  5. (Optional) Wählen Sie EKU-Validierung aktivieren aus, wenn Sie die EKU-Validierung als Teil eines X.509-Identitätsproviders aktivieren müssen.

    IAM unterstützt die folgenden EKU-Werte:

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. Konfigurieren Sie die Trusted Certificate Chain.
    1. Wählen Sie Zertifikat importieren, und hängen Sie dann ein vertrauenswürdiges Zertifikat an.
    2. Um den Namen der Zertifikatsdatei beizubehalten, wählen Sie Dateinamen der ursprünglichen Datei beibehalten.
    3. Wählen Sie Zertifikat importieren.
    4. Wiederholen Sie den Vorgang, um alle Zertifikate hinzuzufügen, die eine vertrauenswürdige Zertifikatskette bilden.
    Die vertrauenswürdige Zertifikatskette wird zur Authentifizierung der X509-Anmeldeanforderung verwendet. Während der Authentifizierung wird das Benutzerzertifikat validiert, um zu prüfen, ob seine Zertifikatskette zu einem der konfigurierten vertrauenswürdigen Zertifikate führt.
  7. (Optional) Um den Namen der Zertifikatsdatei beizubehalten, aktivieren Sie das Kontrollkästchen Dateinamen der ursprünglichen Datei beibehalten.
  8. (Optional) Um den Zertifikats-Keystore mit einem Alias zu identifizieren, geben Sie einen Namen für das Zertifikat in das Feld Alias ein. Geben Sie keine vertraulichen Informationen ein
  9. Wählen Sie Zertifikat importieren.
  10. Wählen Sie unter Zertifikatsattribut eine Methode für den Abgleich von Identitätsdomainbenutzerattributen mit Zertifikatsattributen aus.
    • Standard: Verwenden Sie diese Option, um die Benutzerattribute der Identitätsdomain mit Zertifikatsattribute zu verknüpfen.
    • Einfacher Filter: Mit dieser Option können Sie ein Benutzerattribut der Identitätsdomain auswählen, das mit einem Zertifikatsattribut verknüpft werden soll.
    • Erweiterter Filter: Verwenden Sie diese Option, um die Benutzerattribute der Identitätsdomain mit Zertifikatsattributen zu verknüpfen. Beispiel:
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (Optional) Aktivieren und konfigurieren Sie die OCSP-Validierung.
    1. Aktivieren Sie OCSP-Validierung aktivieren, um die Validierung des Online Certificate Status Protocol-Zertifikats während der Authentifizierung zu aktivieren.
    2. Konfigurieren Sie das OCSP-Signaturzertifikat. Importieren Sie das OCSP-Beantworter-Zertifikat. Mit diesem Zertifikat wird die Signatur der OCSP-Antwort verifiziert. Wenn die Signaturverifizierung mit diesem Zertifikat nicht erfolgreich verläuft, führt die Zertifikatskette des OCSP-Beantworters zu einem der konfigurierten vertrauenswürdigen Zertifikate (Delegated Trust Model). Andernfalls wird die OCSP-Antwort als UNKNOWN (unbekannt) betrachtet.
    3. Geben Sie die OCSP-Beantworter-URL ein. Während der Authentifizierung wird die OCSP-Validierungsanforderung nur dann an diese URL gesendet, wenn für das Benutzerzertifikat nicht die OCSP-URL konfiguriert ist. Wenn für das Zertifikat des Benutzers die verwendete OCSP-URL konfiguriert ist.
    4. Um Zugriff für unbekannte Zertifikate zu aktivieren, wählen Sie Zugriff zulassen, wenn die OSCP-Antwort unbekannt ist aus. Wenn dieser Wert auf true gesetzt ist, ist die Authentifizierung erfolgreich, wenn die OCSP-Antwort Unknown lautet. Im Folgenden finden Sie potenzielle OCSP-Antworten.
      • GUT: Der OCSP-Beantworter hat geprüft, ob das Benutzerzertifikat vorhanden und nicht widerrufen ist.
      • REVOKED: Der OCSP-Beantworter hat geprüft, ob das Benutzerzertifikat vorhanden ist und REVOKED ist.
      • UNKNOWN: Die OCSP-Antwort kann aus einem der folgenden Gründe UNKNOWN sein:
        • Das Zertifikat wird vom OSCP-Server nicht erkannt.
        • Der OCSP-Server weiß nicht, ob das Zertifikat widerrufen wurde.
  12. Wählen Sie IdP hinzufügen aus.
  13. (Optional) Aktivieren Sie die IdP, bevor Sie sie zu Policys hinzufügen. Weitere Informationen finden Sie unter Identitätsprovider aktivieren oder deaktivieren.