Documentazione dell'infrastruttura Oracle Cloud

Aggiunta di un provider di Identity autenticato X.509

Utilizzare un provider di identità autenticato X.509 (IdP) con autenticazione basata su certificato con un dominio di Identity in IAM per garantire la conformità ai requisiti FedRAMP e alle schede PIV (Personal Identity Verification).

L'aggiunta di un file IdP autenticato X.509 fornisce agli utenti un metodo per eseguire l'accesso mediante SSL bidirezionale. SSL bidirezionale garantisce che sia il client che il server si autenticano a vicenda condividendo i loro certificati pubblici e quindi la verifica viene eseguita in base a tali certificati.

Per aggiungere un provider di identità autenticato X.509:

  1. Nella pagina elenco Domini, selezionare il dominio in cui si desidera apportare le modifiche. Se è necessaria assistenza per trovare la pagina della lista per il dominio, vedere Elenco dei domini di Identity.
  2. Nella pagina dei dettagli, a seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • selezionare Federazione oppure
    • selezionare Sicurezza, quindi selezionare Provider di identità. Viene visualizzata una lista di provider di identità nel dominio.
  3. A seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • utilizzando il menu Azioni del provider di identità, selezionare Aggiungi X.509 IdP oppure
    • selezionare Aggiungi IdP, quindi selezionare Aggiungi X.509 IdP.
  4. Immettere un nome e una descrizione per il provider di identità X.509.
  5. (Facoltativo) Selezionare Abilita convalida EKU se è necessario abilitare la convalida EKU come parte di un provider di identità X.509.

    IAM supporta i valori EKU riportati di seguito.

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. Configurare la catena di certificati protetti.
    1. Selezionare Importa certificato, quindi allegare un certificato attendibile.
    2. Per preservare il nome del file di certificato, selezionare Mantenere lo stesso nome file di quello originale.
    3. Selezionare Importa certificato.
    4. Ripetere l'operazione per aggiungere tutti i certificati che costituiscono la catena di certificati sicuri.
    La catena di certificati trusted viene utilizzata per autenticare la richiesta di accesso X509. Durante l'autenticazione, il certificato utente viene convalidato per verificare se la relativa catena di certificati porta a uno qualsiasi dei certificati sicuri configurati.
  7. (Opzionale) Per conservare il nome del file del certificato, selezionare la casella di controllo Mantieni il nome del file uguale a quello del file originale.
  8. (Facoltativo) Per identificare il keystore dei certificati con un alias, immettere un nome per il certificato nella casella Alias. Evitare di fornire informazioni riservate
  9. Selezionare Importa certificato.
  10. In Attributo certificato selezionare un metodo per la corrispondenza degli attributi utente del dominio di Identity agli attributi del certificato.
    • Predefinito: utilizzare questa opzione per associare gli attributi utente del dominio di Identity agli attributi del certificato.
    • Filtro semplice: utilizzare questa opzione per selezionare un attributo utente del dominio di Identity da associare a un attributo del certificato.
    • Filtro avanzato: utilizzare questa opzione per creare un filtro personalizzato per associare gli attributi utente del dominio di Identity agli attributi del certificato. Ad esempio:
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (Facoltativo) Abilitare e configurare la convalida OCSP.
    1. Selezionare Abilita convalida OCSP per abilitare la convalida del certificato del protocollo di stato del certificato online durante l'autenticazione.
    2. Configurare il certificato di firma OCSP. Importare il certificato del risponditore OCSP. Questo certificato viene utilizzato per verificare la firma nella risposta OCSP. Se la verifica della firma mediante questo certificato non riesce, la catena di certificati del risponditore OCSP conduce a uno dei certificati sicuri configurati (Delegated Trust Model). In caso contrario, la risposta OCSP verrà considerata UNKNOWN.
    3. Immettere l'URL del rispondente OCSP. Durante l'autenticazione la richiesta di convalida OCSP viene inviata a questo URL solo se per il certificato Utenti non è configurato l'URL OCSP. Se nel certificato dell'utente è configurato l'URL OCSP utilizzato.
    4. Per abilitare l'accesso per i certificati sconosciuti, selezionare Consenti accesso se la risposta OSCP è sconosciuta. Quando è impostato su true, l'autenticazione riesce quando la risposta OCSP è Unknown. Di seguito sono riportate le potenziali risposte OCSP.
      • BELLO: il risponditore OCSP ha verificato la presenza e la mancata revoca del certificato utente.
      • REVOKED: il risponditore OCSP ha verificato la presenza del certificato utente ed è REVOKED.
      • UNKNOWN: la risposta OCSP può essere UNKNOWN a causa dei seguenti motivi:
        • Il server OSCP non riconosce il certificato.
        • Il server OCSP non sa se il certificato è revocato
  12. Selezionare Aggiungi IdP.
  13. (Facoltativo) Attivare IdP prima di aggiungerlo a qualsiasi criterio. Per ulteriori informazioni, vedere Attivazione o disattivazione di un provider di Identity.