Documentación de Oracle Cloud Infrastructure

Adición de un proveedor de identidad autenticada X.509

Utilice un proveedor IdP con autenticación basada en certificados X.509 con autenticación basada en certificados para cumplir los requisitos de IAM, así como tarjetas FedRAMP de verificación de identidad personal (PIV).

La adición de un IdP autenticado X.509 proporciona a los usuarios un método para conectarse mediante SSL bidireccional. La SSL bidireccional garantiza que tanto el cliente y el servidor Se autentiquen mutuamente compartiendo sus certificados públicos y, a continuación, la verificación se realiza en función de esos certificados.

Para agregar un proveedor de identidad autenticada X.509:

  1. En la página de lista Dominios, seleccione el dominio en el que desea realizar cambios. Si necesita ayuda para buscar la página de lista del dominio, consulte Lista de dominios de identidad.
  2. En la página de detalles, según las opciones que vea, realice una de las siguientes acciones:
    • seleccione Federación, o
    • seleccione Seguridad y, a continuación, seleccione Proveedores de identidad. Se muestra una lista de proveedores de identidad en el dominio.
  3. Según las opciones que vea, realice una de las siguientes acciones:
    • mediante el menú Acciones del proveedor de identidad, seleccione Agregar X.509 IdP o
    • seleccione Agregar IdP y, a continuación, seleccione Agregar X.509 IdP.
  4. Introduzca un nombre y la descripción para el proveedor del identidad X.509.
  5. (Opcional) Seleccione Activar validación de EKU si necesita activar la validación de EKU como parte de un proveedor de identidad X.509.

    IAM soporta los siguientes valores de EKU:

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. Configure la cadena de certificados de confianza.
    1. Seleccione Importar certificado y, a continuación, asocie un certificado protegido.
    2. Para conservar el nombre de archivo de certificado, seleccione Mantener el nombre de archivo igual que el original.
    3. Seleccione Importar certificado.
    4. Repita este procedimiento para agregar todos los certificados que forman la cadena de certificados protegidos.
    La cadena de certificados de confianza se utiliza para autenticar la solicitud de inicio de sesión X509. Durante la autenticación, el certificado de usuario se valida para comprobar si su cadena de certificados conduce a cualquiera de los certificados de confianza configurados.
  7. (Opcional) Para conservar el nombre del archivo de certificado, seleccione la casilla de control Mantener el nombre del archivo igual que el archivo original.
  8. (Opcional) Para identificar el almacén con un alias, introduzca un nombre para el certificado en el cuadro Alias. Evite introducir información confidencial
  9. Seleccione Importar certificado.
  10. En Atributo de certificado, seleccione un método para hacer coincidir los atributos de usuario del dominio de identidad con los atributos de certificado.
    • Por defecto: utilice esta opción para asociar los atributos del usuario del dominio de identidad a los atributos del certificado.
    • Filtro sencillo: utilice esta opción para seleccionar un atributo para asociarlo a un atributo del certificado.
    • Filtro Avanzado: utilice esta opción para crear un filtro personalizado para asociar los atributos del usuario del dominio de identidad con los atributos del certificado. Por ejemplo:
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (Opcional) Active y configure la validación de OCSP.
    1. Active Activar validación de OCSP para activar la validación del certificado del protocolo de estado de certificado en línea durante la autenticación.
    2. Configure el certificado de firma de OCSP. Importe el certificado de responsable de respuesta de OCSP. Este certificado se utiliza para verificar la firma en la respuesta de OCSP. Si falla la verificación de firmas con este certificado, la cadena de certificados del responsable de respuesta de OCSP conduce a uno de los certificados de confianza configurados (modelo de confianza delegado). Si no es así, la respuesta de OCSP se considerará DESCONOCIDA.
    3. Introduzca la URL de responsable de respuesta de OCSP. Durante la autenticación, la solicitud de validación de OCSP se envía a esta URL solo si el certificado de usuarios no tiene configurada la URL de OCSP. Si el certificado del usuario tiene configurada la URL de OCSP que se utiliza.
    4. Para activar el acceso para certificados desconocidos, seleccione Permitir acceso si no se conoce la respuesta de OSCP. Cuando se define en true, la autenticación se realiza correctamente cuando la respuesta de OCSP es Unknown. Las siguientes son posibles respuestas de OCSP.
      • GOOD: El responsable de respuesta de OCSP ha verificado que el certificado de usuario está presente y no se ha revocado.
      • REVOCADO: el responsable de respuesta de OCSP ha verificado que el certificado de usuario está presente y está REVOCADO.
      • UNKNOWN: la respuesta de OCSP puede ser UNKNOWN debido a cualquiera de los siguientes motivos:
        • El servidor OSCP no reconoce el certificado.
        • El servidor OCSP no sabe si se ha revocado el certificado
  12. Seleccione Agregar IdP.
  13. (Opcional) Active IdP antes de agregarlo a cualquier política. Para obtener más información, consulte Activación o desactivación de un proveedor de identidades.