Documentation sur Oracle Cloud Infrastructure

Ajout d'un fournisseur d'identités authentifié X.509

Utilisez un fournisseur d'identités authentifié X.509 (IdP) avec une authentification basée sur des certificats avec un domaine d'identité dans IAM pour répondre aux exigences FedRAMP et aux cartes PIV (Personal Identity Verification).

L'ajout d'une adresse IdP authentifiée X.509 fournit aux utilisateurs une méthode pour se connecter à l'aide du protocole SSL bidirectionnel. Le SSL bidirectionnel garantit que le client et le serveur s'authentifient mutuellement en partageant leurs certificats publics, puis la vérification est effectuée sur la base de ces certificats.

Pour ajouter un fournisseur d'identités authentifié X.509 :

  1. Dans la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, voir Liste des domaines d'identité.
  2. Dans la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Fournisseurs d'identités. Une liste de fournisseurs d'identités dans le domaine s'affiche.
  3. Selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • à l'aide du menu Actions du fournisseur d'identités, sélectionnez Ajouter X.509 IdP, ou
    • Sélectionnez Ajouter IdP, puis Ajouter X.509 IdP.
  4. Entrez un nom et une description pour le fournisseur d'identités X.509.
  5. (Facultatif) Sélectionnez Activer la validation d'UEC si vous devez activer la validation d'UEC dans le cadre d'un fournisseur d'identités X.509.

    Le service IAM prend en charge les valeurs EKU suivantes :

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. Configurez la chaîne de certificats approuvés.
    1. Sélectionnez Importer un certificat, puis attachez un certificat approuvé.
    2. Pour conserver le nom du fichier de certificat, sélectionnez Conserver le même nom de fichier que le fichier initial.
    3. Sélectionnez Importer le certificat.
    4. Répétez cette opération pour ajouter tous les certificats qui forment la chaîne de certificats approuvés.
    La chaîne de certificats approuvés est utilisée pour authentifier la demande de connexion X509. Lors de l'authentification, le certificat d'utilisateur est validé pour vérifier si sa chaîne de certificats mène à l'un des certificats approuvés configurés.
  7. (Facultatif) Pour conserver le nom du fichier de certificat, cochez la case Conserver le nom du fichier comme le fichier initial.
  8. (Facultatif) Pour identifier le magasin de clés de certificat avec un alias, entrez le nom du certificat dans la zone Alias. Évitez d'entrer des informations confidentielles
  9. Sélectionnez Importer le certificat.
  10. Sous Attribut de certificat, sélectionnez une méthode pour mettre en correspondance les attributs d'utilisateur du domaine d'identité avec les attributs de certificat.
    • Valeur par défaut : utilisez cette option pour associer les attributs d'utilisateur du domaine d'identité aux attributs de certificat.
    • Filtrer simple : Sélectionnez un attribut d'utilisateur de domaine d'identité à associer à un attribut de certificat.
    • Filtre avancé : Utilisez cette option pour créer un filtre personnalisé afin d'associer des attributs d'utilisateur de domaine d'identité à des attributs de certificat. Par exemple :
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (Facultatif) Activez et configurez la validation OCSP.
    1. Cochez Activer la validation OCSP pour activer la validation du certificat du protocole de statut de certificat en ligne lors de l'authentification.
    2. Configurez le certificat de signature OCSP. Importez le certificat du répondant OCSP. Ce certificat est utilisé pour vérifier la signature sur la réponse OCSP. Si la vérification de la signature à l'aide de ce certificat échoue, la chaîne de certificats du répondant OCSP mène à l'un des certificats approuvés configurés (modèle de confiance délégué). Sinon, la réponse OCSP sera considérée comme INCONNU.
    3. Entrez l'URL de répondant OCSP. Lors de l'authentification, la demande de validation OCSP n'est envoyée à cette URL que si l'URL OCSP n'est pas configurée pour le certificat des utilisateurs. Si l'URL OCSP configurée pour le certificat de l'utilisateur est utilisée.
    4. Pour activer l'accès aux certificats inconnus, sélectionnez Autoriser l'accès si la réponse OSCP est inconnue. Lorsque cette option est réglée à true, l'authentification réussit lorsque la réponse OCSP est Unknown. Voici des réponses OCSP potentielles.
      • GOOD : Le répondant OCSP a vérifié que le certificat d'utilisateur est présent et qu'il n'est pas révoqué.
      • REVOKED : Le répondant OCSP a vérifié que le certificat d'utilisateur est présent et qu'il est REVOKED.
      • INCONNU : La réponse OCSP peut être INCONNU pour l'une des raisons suivantes :
        • Le serveur OSCP ne reconnaît pas le certificat.
        • Le serveur OCSP ne sait pas si le certificat est révoqué
  12. Sélectionnez Ajouter IdP.
  13. (Facultatif) Activez IdP avant de l'ajouter à des politiques. Pour plus d'informations, voir Activation ou désactivation d'un fournisseur d'identités.