Documentation Oracle Cloud Infrastructure

Ajout d'un fournisseur d'identités authentifié X.509

Utilisez un fournisseur d'identités authentifié X.509 (IdP) avec l'authentification basée sur un certificat avec un domaine d'identité dans IAM pour respecter les exigences FedRAMP et les cartes de vérification de l'identité personnelle.

L'ajout d'un fichier IdP authentifié X.509 fournit aux utilisateurs une méthode de connexion à l'aide du protocole SSL bidirectionnel. Le SSL bidirectionnel garantit que le client et le serveur s'authentifient mutuellement en partageant leurs certificats publics, puis que la vérification est effectuée en fonction de ces certificats.

Pour ajouter un fournisseur d'identités authentifié X.509, procédez comme suit :

  1. Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, reportez-vous à Liste des domaines d'identité.
  2. Sur la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Fournisseurs d'identités. La liste des fournisseurs d'identités dans le domaine apparaît.
  3. Selon les options qui s'affichent, effectuez l'une des opérations suivantes :
    • à l'aide du menu Actions du fournisseur d'identités, sélectionnez Ajouter X.509 IdP ou
    • sélectionnez Ajouter IdP, puis Ajouter X.509 IdP.
  4. Entrez le nom et la description du fournisseur d'identités X.509.
  5. (Facultatif) Sélectionnez Activer la validation EKU si vous devez activer la validation EKU dans le cadre d'un fournisseur d'identités X.509.

    IAM prend en charge les valeurs EKU suivantes :

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. Configurez la chaîne de certificat de confiance.
    1. Sélectionnez Importer un certificat, puis attachez un certificat sécurisé.
    2. Pour conserver le nom du fichier de certificat, sélectionnez Conserver le nom du fichier d'origine.
    3. Sélectionnez Importer un certificat.
    4. Répétez cette opération pour ajouter tous les certificats qui forment la chaîne de certificats sécurisés.
    La chaîne de certificats sécurisés est utilisée pour authentifier la demande de connexion X509. Lors de l'authentification, le certificat utilisateur est validé pour vérifier si sa chaîne de certificats mène à l'un des certificats sécurisés configurés.
  7. (Facultatif) Pour conserver le nom du fichier de certificat, cochez la case Conserver le nom du fichier d'origine.
  8. (Facultatif) Pour identifier le fichier de clés du certificat avec un alias, entrez un nom pour le certificat dans la zone Alias. Evitez de saisir des informations confidentielles
  9. Sélectionnez Importer un certificat.
  10. Sous Attribut de certificat, sélectionnez une méthode de mise en correspondance des attributs utilisateur de domaine d'identité avec les attributs de certificat.
    • Par défaut : utilisez cette option pour associer les attributs utilisateur du domaine d'identité à des attributs de certificat.
    • Filtre simple : utilisez cette option pour sélectionner un attribut utilisateur de domaine d'identité afin de l'associer à un attribut de certificat.
    • Filtre avancé : utilisez cette option pour créer un filtre personnalisé afin d'associer les attributs utilisateur de domaine d'identité aux attributs de certificat. Par exemple :
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (Facultatif) Activez et configurez la validation OCSP.
    1. Cochez Activer la validation OCSP pour activer la validation du certificat Online Certificate Status Protocol lors de l'authentification.
    2. Configurez le certificat de signature OCSP. Importez le certificat de répondeur OCSP. Ce certificat est utilisé pour vérifier la signature sur la réponse OCSP. Si la vérification de signature à l'aide de ce certificat échoue, la chaîne de certificats du répondeur OCSP mène à l'un des certificats sécurisés configurés (modèle sécurisé délégué). Dans le cas contraire, la réponse OCSP sera considérée comme UNKNOWN.
    3. Entrez l'URL du répondeur OCSP. Lors de l'authentification, la demande de validation OCSP est envoyée à cette URL uniquement si l'URL OCSP n'est pas configurée pour le certificat Utilisateurs. Si l'URL OCSP configurée pour le certificat de l'utilisateur est utilisée.
    4. Pour activer l'accès pour les certificats inconnus, sélectionnez Autoriser l'accès si la réponse OSCP est inconnue. Lorsque la valeur est true, l'authentification réussit lorsque la réponse OCSP est Unknown. Voici les réponses OCSP potentielles.
      • BON : le répondeur OCSP a vérifié que le certificat utilisateur est présent et qu'il n'est pas révoqué.
      • REVOKED : le répondeur OCSP a vérifié que le certificat utilisateur est présent et qu'il est REVOKED.
      • UNKNOWN : la réponse OCSP peut être UNKNOWN pour l'une des raisons suivantes :
        • Le serveur OSCP ne reconnaît pas le certificat.
        • Le serveur OCSP ne sait pas si le certificat est révoqué
  12. Sélectionnez Ajouter IdP.
  13. (Facultatif) Activez IdP avant de l'ajouter à des stratégies. Pour plus d'informations, reportez-vous à Activation ou désactivation d'un fournisseur d'identités.