Adición de un proveedor de identidad autenticada X.509
Utilice un proveedor de identidad autenticada X.509 (IdP) con autenticación basada en certificados con un dominio de identidad en IAM para cumplir los requisitos de FedRAMP y tarjetas de verificación de identidad personal (PIV).
La adición de un IdP autenticado X.509 proporciona a los usuarios un método para conectarse mediante SSL bidireccional. La SSL bidireccional garantiza que tanto el cliente como el servidor se autentican mutuamente compartiendo sus certificados públicos y, a continuación, la verificación se realiza en función de esos certificados.
Para agregar un proveedor de identidad autenticada X.509:
- En la página de lista Dominios, seleccione el dominio en el que desea realizar cambios. Si necesita ayuda para buscar la página de lista del dominio, consulte Lista de dominios de identidad.
-
En la página de detalles, según las opciones que vea, realice una de las siguientes acciones:
- seleccione Federación, o
- seleccione Seguridad y, a continuación, seleccione Proveedores de identidad. Se muestra una lista de proveedores de identidad en el dominio.
-
Según las opciones que vea, realice una de las siguientes acciones:
- mediante el menú Acciones del proveedor de identidad, seleccione Agregar X.509 IdP o
- seleccione Agregar IdP y, a continuación, seleccione Agregar X.509 IdP.
- Introduzca un nombre y una descripción para el proveedor de identidad X.509.
- (Opcional) Seleccione Activar validación de EKU si necesita activar la validación de EKU como parte de un proveedor de identidad X.509.
IAM soporta los siguientes valores de EKU:
- SERVER_AUTH
- CLIENT_AUTH
- CODE_SIGNING
- EMAIL_PROTECTION
- TIME_STAMPING
- OCSP_SIGNING
-
Configure la cadena de certificados de confianza.
- Seleccione Importar Certificado y, a continuación, asocie un certificado protegido.
- Para conservar el nombre del archivo de certificado, seleccione Keep the file name same as the original file.
- Seleccione Importar certificado.
- Repita esta acción para agregar todos los certificados que forman la cadena de certificados de confianza.
La cadena de certificados de confianza se utiliza para autenticar la solicitud de conexión X509. Durante la autenticación, el certificado de usuario se valida para comprobar si su cadena de certificados conduce a cualquiera de los certificados de confianza configurados. - (Opcional) Para conservar el nombre del archivo de certificado, seleccione la casilla de control Mantener el nombre del archivo igual que el del archivo original.
- (Opcional) Para identificar el almacén de claves de certificado con un alias, introduzca un nombre para el certificado en el cuadro Alias. Evite introducir información confidencial
- Seleccione Importar certificado.
-
En Atributo de certificado, seleccione un método para hacer coincidir atributos de usuario de dominio de identidad con atributos de certificado.
- Por defecto: utilice esta opción para asociar los atributos de usuario del dominio de identidad a los atributos de certificado.
- Filtro simple: utilice esta opción para seleccionar un atributo de usuario de dominio de identidad para asociarlo a un atributo de certificado.
- Filtro avanzado: utilice esta opción para crear un filtro personalizado para asociar los atributos de usuario del dominio de identidad a los atributos de certificado. Por ejemplo:
userName eq "$(assertion.fed.subject.cn)" emails[primary eq true].value co "$(serialNumber)" name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)" username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
-
(Opcional) Active y configure la validación de OCSP.
- Compruebe Activar validación de OCSP para activar la validación del certificado del protocolo de estado de certificado en línea durante la autenticación.
- Configure el certificado de firma OCSP. Importe el certificado de responsable de respuesta de OCSP. Este certificado se utiliza para verificar la firma en la respuesta de OCSP. Si falla la verificación de firma con este certificado, la cadena de certificados del responsable de respuesta de OCSP conduce a uno de los certificados de confianza configurados (modelo de confianza delegado). Si no es así, la respuesta de OCSP se considerará DESCONOCIDA.
- Introduzca la URL de responsable de respuesta de OCSP. Durante la autenticación, la solicitud de validación de OCSP se envía a esta URL solo si el certificado de usuarios no tiene configurada la URL de OCSP. Si el certificado del usuario tiene configurada la URL de OCSP que se utiliza.
-
Para activar el acceso a certificados desconocidos, seleccione Permitir acceso si no se conoce la respuesta de OSCP. Cuando se define en
true
, la autenticación se realiza correctamente cuando la respuesta de OCSP esUnknown
. A continuación se muestran las posibles respuestas de OCSP.- Bueno: el responsable de respuesta de OCSP ha verificado que el certificado de usuario está presente y no se ha revocado.
- REVOCADO: el responsable de respuesta de OCSP ha verificado que el certificado de usuario está presente y que está REVOCADO.
- UNKNOWN (Desconocido): la respuesta de OCSP puede ser UNKNOWN (Desconocido) debido a cualquiera de los siguientes motivos:
- El servidor OSCP no reconoce el certificado.
- El servidor OCSP no sabe si se ha revocado el certificado
- Seleccione Agregar IdP.
- (Opcional) Active IdP antes de agregarlo a cualquier política. Para obtener más información, consulte Activación o desactivación de un proveedor de identidad.