Oracle Cloud Infrastructure - Dokumentation

Authentifizierten X.509-Identitätsprovider hinzufügen

Verwenden Sie einen authentifizierten X.509-Identitätsprovider (IdP) mit zertifikatsbasierter Authentifizierung mit einer Identitätsdomain in IAM, um FedRAMP- und Personal Identity Verification-(PIV-)Karten zu erfüllen.

Durch das Hinzufügen einer X.509-authentifizierten IdP erhalten Benutzer eine Methode zur Anmeldung mit wechselseitigem SSL. Zwei-Wege-SSL stellt sicher, dass sowohl der Client als so auch der Server sich gegenseitig authentifizieren, indem sie ihre öffentlichen Zertifikate austauschen. Anschließend wird eine Verifizierung basierend auf diesen Zertifikaten durchgeführt.

So fügen Sie einen authentifizierten X.509-Identitätsprovider hinzu:

  1. Wählen Sie auf der Listenseite Domains die Domain aus, in der Sie Änderungen vornehmen möchten. Wenn Sie Hilfe beim Suchen der Listenseite für die Domain benötigen, finden Sie weitere Informationen unter Identitätsdomains auflisten.
  2. Führen Sie je nach den angezeigten Optionen auf der Detailseite eine der folgenden Aktionen aus:
    • Föderation auswählen oder
    • Wählen Sie Sicherheit und dann Identitätsprovider aus. Eine Liste der Identitätsprovider in der Domain wird angezeigt.
  3. Führen Sie je nach den angezeigten Optionen eine der folgenden Aktionen aus:
    • Wählen Sie im Menü Aktionen des Identitätsproviders die Option X.509 hinzufügen IdP aus, oder
    • Wählen Sie IdP hinzufügen und dann X.509 hinzufügen IdP aus.
  4. Geben Sie einen Namen und eine Beschreibung für den X.509-Identitätsprovider an.
  5. (Optional) Wählen Sie EKU-Validierung aktivieren aus, wenn Sie die EKU-Validierung als Teil eines X.509-Identitätsproviders aktivieren müssen.

    Das IAM unterstützt die folgenden EKU-Werte:

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. Konfigurieren Sie die vertrauenswürdige Zertifikatskette.
    1. Wählen Sie Zertifikat importieren aus, und hängen Sie dann ein vertrauenswürdiges Zertifikat an.
    2. Um den Zertifikatsdateinamen beizubehalten, wählen Sie Dateinamen der ursprünglichen Datei beizubehalten.
    3. Wählen Sie Zertifikat importieren aus.
    4. Wiederholen Sie diesen Vorgang, um alle Zertifikate hinzuzufügen, die zur vertrauenswürdigen Zertifikatskette gehören.
    Die vertrauenswürdige Zertifikatskette wird zur Authentifizierung der X509-Anmeldeanforderung verwendet. Bei der Authentifizierung wird das Benutzerzertifikat validiert, um zu prüfen, ob seine Zertifikatskette zu einem der konfigurierten vertrauenswürdigen Zertifikate führt.
  7. (Optional) Um den Zertifikatsdateinamen beizubehalten, aktivieren Sie das Kontrollkästchen Dateinamen mit der Originaldatei identisch halten.
  8. (Optional) Um den Zertifikats-Keystore mit einem Alias zu identifizieren, geben Sie einen Namen für das Zertifikat in das Feld Alias ein. Geben Sie keine vertraulichen Informationen ein
  9. Wählen Sie Zertifikat importieren aus.
  10. Wählen Sie unter Zertifikatsattribut eine Methode für den Abgleich von Identitätsdomainbenutzerattributen mit Zertifikatsattributen aus.
    • Standard: Mit dieser Option können Sie die Benutzerattribute der Identitätsdomains mit Zertifikatsattributen verknüpfen.
    • Einfacher Filter: Verwenden Sie diese Option, um ein Benutzerattribut der Identitätsdomain auszuwählen, das mit einem Zertifikatsattribut verknüpfen soll.
    • Erweiterter Filter: Verwenden Sie diese Option, um einen benutzerdefinierten Filter zu erstellen, mit dem die Benutzerattribute der Identitätsdomain Zertifikatsattributen verknüpft werden. Beispiel:
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (Optional) Aktivieren und konfigurieren Sie die OCSP-Validierung.
    1. Aktivieren Sie OCSP-Validierung aktivieren, um die Validierung des Online Certificate Status Protocol-Zertifikats während der Authentifizierung zu aktivieren.
    2. Konfigurieren Sie das OCSP-Signaturzertifikat. Importieren Sie das OCSP-Beantworterzertifikat. Mit diesem Zertifikat wird die Signatur in der OCSP-Antwort überprüft. Wenn die Signaturverifizierung mit diesem Zertifikat nicht erfolgreich verläuft, führt die Zertifikatskette des OCSP-Beantworters zu einem der konfigurierten vertrauenswürdigen Zertifikate (Delegated Trust Model). Andernfalls wird die OCSP-Antwort als UNKNOWN (unbekannt) betrachtet.
    3. Geben Sie die OCSP-Responder-URL ein. Während der Authentifizierung wird die OCSP-Validierungsanforderung nur an diese URL gesendet, wenn für das Benutzerzertifikat die OCSP-URL nicht konfiguriert ist. Wenn für das Benutzerzertifikat die verwendete OCSP-URL konfiguriert ist.
    4. Um den Zugriff für unbekannte Zertifikate zu aktivieren, wählen Sie Zugriff zulassen, wenn die OSCP-Antwort unbekannt ist aus. Wenn dieser Wert auf true gesetzt ist, ist die Authentifizierung erfolgreich, wenn die OCSP-Antwort Unknown lautet. Im Folgenden werden potenzielle OCSP-Antworten aufgeführt.
      • GOOD: Der OCSP-Beantworter hat geprüft, ob das Benutzerzertifikat vorhanden und nicht widerrufen ist.
      • REVOKED: Der OCSP-Beantworter hat geprüft, ob das Benutzerzertifikat vorhanden ist und REVOKED ist.
      • UNKNOWN: Die OCSP-Antwort kann aus einem der folgenden Gründe UNKNOWN sein:
        • Der OSCP-Server erkennt das Zertifikat nicht.
        • Der OCSP-Server weiß nicht, ob das Zertifikat widerrufen wird.
  12. Wählen Sie IdP hinzufügen aus.
  13. (Optional) Aktivieren Sie die IdP, bevor Sie sie zu Policys hinzufügen. Weitere Informationen finden Sie unter Identitätsprovider aktivieren oder Deaktivieren.