Documentazione di Oracle Cloud Infrastructure

Aggiunta di un provider di identità autenticato X.509

Utilizzare un provider di identità autenticato X.509 (IdP) con autenticazione basata su certificato e un dominio di Identity in IAM per garantire la conformità ai requisiti FedRAMP e alle schede PIV (Personal Identity Verification).

L'aggiunta di un file IdP autenticato con X.509 fornisce agli utenti un metodo per accedere utilizzando il protocollo SSL bidirezionale. L'SSL bidirezionale garantisce che sia il client che il server si autenticano a vicenda condividendo i propri certificati pubblici e quindi la verifica viene eseguita in base a tali certificati.

Per aggiungere un provider di identità autenticato X.509, effettuare le operazioni riportate di seguito.

  1. Nella pagina elenco Domini, selezionare il dominio in cui si desidera apportare le modifiche. Se è necessaria assistenza per trovare la pagina della lista per il dominio, vedere Elenco dei domini di Identity.
  2. Nella pagina dei dettagli, a seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • selezionare Federazione oppure
    • selezionare Sicurezza, quindi selezionare Provider di identità. Viene visualizzata una lista di provider di identità nel dominio.
  3. A seconda delle opzioni visualizzate, effettuare una delle operazioni riportate di seguito.
    • utilizzando il menu Azioni del provider di identità, selezionare Aggiungi X.509 IdP oppure
    • selezionare Aggiungi IdP, quindi selezionare Aggiungi X.509 IdP.
  4. Immettere un nome e una descrizione per il provider di identità X.509.
  5. (Facoltativo) Selezionare Abilita convalida EKU se è necessario abilitare la convalida EKU come parte di un provider di identità X.509.

    IAM supporta i seguenti valori EKU:

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. Configurare la catena di certificati protetti.
    1. Selezionare Importa certificato, quindi allegare un certificato protetto.
    2. Per preservare il nome file del certificato, selezionare Mantieni lo stesso nome file del file originale.
    3. Selezionare Importa certificato.
    4. Ripetere l'operazione per aggiungere tutti i certificati che costituiscono la catena di certificati protetti.
    La catena di certificati protetti viene utilizzata per autenticare la richiesta di accesso X509. Durante l'autenticazione il certificato utente viene convalidato per verificare se la relativa catena di certificati conduce a uno qualsiasi dei certificati sicuri configurati.
  7. (Facoltativo) Per conservare il nome file del certificato, selezionare la casella di controllo Mantenere lo stesso nome file del file originale.
  8. (Facoltativo) Per identificare il keystore dei certificati con un alias, immettere un nome per il certificato nella casella Alias. Evitare di fornire informazioni riservate
  9. Selezionare Importa certificato.
  10. In Attributo certificato selezionare un metodo per abbinare gli attributi utente del dominio di Identity agli attributi del certificato.
    • Predefinito: utilizzare questa opzione per associare gli attributi utente del dominio di Identity agli attributi del certificato.
    • Filtro semplice: utilizzare questa opzione per selezionare un attributo utente del dominio di Identity da associare a un attributo del certificato.
    • Filtro avanzato: utilizzare questa opzione per creare un filtro personalizzato per associare gli attributi utente del dominio di Identity agli attributi del certificato. Ad esempio:
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (Facoltativo) Abilitare e configurare la convalida OCSP.
    1. Selezionare Abilita convalida OCSP per abilitare la convalida del certificato del protocollo di stato del certificato in linea durante l'autenticazione.
    2. Configurare il certificato di firma OCSP. Importare il certificato del risponditore OCSP. Questo certificato viene utilizzato per verificare la firma nella risposta OCSP. Se la verifica della firma che utilizza questo certificato non riesce, la catena di certificati del rispondente OCSP porta a uno dei certificati protetti configurati (modello sicuro delegato). In caso contrario, la risposta OCSP verrà considerata UNKNOWN.
    3. Immettere l'URL del rispondente OCSP. Durante l'autenticazione la richiesta di convalida OCSP viene inviata a questo URL solo se il certificato Users non dispone dell'URL OCSP configurato. Se nel certificato dell'utente è configurato l'URL OCSP che viene utilizzato.
    4. Per abilitare l'accesso per i certificati sconosciuti, selezionare Consenti accesso se la risposta OSCP è sconosciuta. Quando l'opzione è impostata su true, l'autenticazione riesce quando la risposta OCSP è Unknown. Di seguito sono riportate le potenziali risposte OCSP.
      • GOOD: il risponditore OCSP ha verificato la presenza del certificato utente e non è stato revocato.
      • REVOKED: il risponditore OCSP ha verificato la presenza del certificato utente ed è REVOKED.
      • Sconosciuto: la risposta OCSP può essere UNKNOWN per uno dei seguenti motivi:
        • Il server OSCP non riconosce il certificato.
        • Il server OCSP non sa se il certificato è revocato
  12. Selezionare Aggiungi IdP.
  13. (Facoltativo) Attivare IdP prima di aggiungerlo a qualsiasi criterio. Per ulteriori informazioni, vedere Attivazione o disattivazione di un provider di identità.