Documentation Oracle Cloud Infrastructure

Ajout d'un fournisseur d'identités authentifié X.509

Utilisez un fournisseur d'identités authentifié X.509 (IdP) avec l'authentification basée sur des certificats avec un domaine d'identité dans IAM pour respecter les exigences FedRAMP ainsi que les cartes de vérification de l'identité personnelle.

L'ajout d'un fichier IdP authentifié X.509 fournit aux utilisateurs une méthode pour se connecter à l'aide du protocole SSL bidirectionnel. Le SSL bidirectionnel fait de sorte que le client et le serveur s'authentifient mutuellement, en partageant leurs certificats publics, puis que cette vérification soit effectuée en fonction des certificats.

Pour ajouter un fournisseur d'identités authentifié X.509, procédez comme suit :

  1. Sur la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, reportez-vous à Liste des domaines d'identité.
  2. Sur la page de détails, selon les options que vous voyez, effectuez l'une des opérations suivantes :
    • sélectionnez Fédération, ou
    • Sélectionnez Sécurité, puis Fournisseurs d'identités. La liste des fournisseurs d'identités dans le domaine apparaît.
  3. Selon les options qui s'affichent, effectuez l'une des opérations suivantes :
    • à l'aide du menu Actions du fournisseur d'identités, sélectionnez Ajouter X.509 IdP ou
    • sélectionnez Ajouter IdP, puis Ajouter X.509 IdP.
  4. Entrez un nom et une description pour le fournisseur d'identités X.509.
  5. (Facultatif) Sélectionnez Activer la validation d'ECU si vous devez activer la validation d'ECU dans le cadre d'un fournisseur d'identités X.509.

    L'IAM prend en charge les valeurs EKU suivantes :

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. Configurez la chaîne de certificats sécurisés.
    1. Sélectionnez Importer le certificat, puis attachez un certificat sécurisé.
    2. Pour conserver le nom de fichier du certificat, sélectionnez Conserver le nom de fichier du fichier d'origine.
    3. Sélectionnez Importer le certificat.
    4. Répétez cette opération pour ajouter tous les certificats qui forment la chaîne de certificats sécurisés.
    La chaîne de certificat sécurisée est utilisée pour authentifier la demande de connexion X509. Lors de l'authentification, le certificat utilisateur est validé pour vérifier si sa chaîne de certificats aboutit à l'un des certificats sécurisés configurés.
  7. (Facultatif) Pour conserver le nom du fichier de certificat, cochez la case Conserver le nom du fichier identique au fichier d'origine.
  8. (Facultatif) Pour identifier un fichier de clés du certificat avec un alias, entrez un nom pour le certificat dans la zone Alias. Evitez de saisir des informations confidentielles
  9. Sélectionnez Importer le certificat.
  10. Sous Attribut de certificat, sélectionnez une méthode pour mettre en correspondance les attributs utilisateur de domaine d'identité avec les attributs de certificat.
    • Par défaut : utilisez cette option pour associer les attributs utilisateur du domaine d'identité aux attributs de certificat.
    • Filtre facile : utilisez cette option pour sélectionner un attribut utilisateur de domaine d'identité afin de l'associer à un attribut d'un certificat.
    • Filtre amélioré : utilisez cette option pour créer un filtre personnalisé afin d'associer les attributs utilisateur du domaine d'identité aux attributs du certificat. Par exemple :
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (Facultatif) Activez et configurez la validation OCSP.
    1. Cochez Activer la validation OCSP pour activer la validation du certificat Online Certificate Status Protocol lors de l'authentification.
    2. Configurer le certificat de signature OCSP. Importez le certificat du répondeur OCSP. Ce certificat est utilisé pour vérifier la signature sur la réponse OCSP. Si la vérification de signature à l'aide de ce certificat échoue, la chaîne de certificats du répondeur OCSP conduit à l'un des certificats sécurisés configurés (modèle de confiance délégué). Sinon, la réponse OCSP est considérée comme UNKNOWN.
    3. Entrez l'URL du répondeur OCSP. Au cours de l'authentification, la demande de validation OCSP est envoyée à cette URL uniquement si l'URL OCSP n'est pas configurée pour le certificat Utilisateurs. Si l'URL OCSP du certificat de l'utilisateur est configurée et utilisée.
    4. Pour activer l'accès aux certificats inconnus, sélectionnez l'option Autoriser l'accès si la réponse OSCP est inconnue. Lorsqu'elle est définie sur true, l'authentification réussit lorsque la réponse OCSP est Unknown. Les réponses OCSP potentielles sont les suivantes.
      • OK : le répondeur OCSP a vérifié que le certificat utilisateur est présent et non révoqué.
      • REVOKED : le répondeur OCSP a vérifié que le certificat utilisateur est présent et qu'il est REVOKED.
      • UNKNOWN : la réponse OCSP peut être UNKNOWN pour l'une des raisons suivantes :
        • Le serveur OSCP ne reconnaît pas le certificat.
        • Le serveur OCSP ne sait pas si le certificat est révoqué
  12. Sélectionnez Ajouter IdP.
  13. (Facultatif) Activez IdP avant de l'ajouter à des stratégies. Pour plus d'informations, reportez-vous à Activation ou désactivation d'un fournisseur d'identité.