Oracle Cloud Infrastructureドキュメント

X.509認証済アイデンティティ・プロバイダの追加

Use an X.509 authenticated identity provider (IdP) with certificate-based authentication with an identity domain in IAM to comply with FedRAMP requirements and Personal Identity Verification (PIV) cards.

X.509認証済IdPを追加すると、双方向SSLを使用してサインインする方法がユーザーに提供されます。双方向SSLにより、クライアントとサーバーの両方がパブリック証明書を共有することで相互に認証され、それらの証明書に基づいて検証が実行されます。

X.509認証済アイデンティティ・プロバイダを追加するには:

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 詳細ページで、表示されるオプションに応じて、次のいずれかを実行します。
    • 「フェデレーション」を選択します。
    • 「セキュリティ」を選択し、「アイデンティティ・プロバイダ」を選択します。ドメイン内のアイデンティティ・プロバイダのリストが表示されます。
  3. 表示されるオプションに応じて、次のいずれかを実行します。
    • アイデンティティ・プロバイダの「アクション」メニューを使用して、「X.509 IdPの追加」を選択するか、
    • 「IdPの追加」を選択し、「X.509 IdPの追加」を選択します。
  4. X.509アイデンティティ・プロバイダの名前と説明を入力してください。
  5. (オプション)X.509アイデンティティ・プロバイダの一部としてEKU検証を有効にする必要がある場合は、「EKU検証の有効化」を選択します。

    IAMは、次のEKU値をサポートしています。

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. 信頼できる証明書チェーンを構成します。
    1. 「証明書のインポート」を選択し、信頼できる証明書をアタッチします。
    2. 証明書ファイル名を維持するには、「元のファイルと同様にファイル名を保持」を選択します。
    3. 「証明書のインポート」を選択します。
    4. 繰り返して、信頼できる証明書チェーンを構成するすべての証明書を追加します。
    信頼できる証明書チェーンは、X509サインイン・リクエストの認証に使用されます。認証中に、ユーザー証明書が検証され、証明書チェーンが構成済の信頼できる証明書のいずれかに起因するかどうかが確認されます。
  7. (オプション)証明書ファイル名を保持するには、「ファイル名を元のファイルと同じままにする」チェック・ボックスを選択します。
  8. (オプション)別名で証明書キーストアを識別するには、「別名」ボックスに証明書の名前を入力します。機密情報の入力は避けてください
  9. 「証明書のインポート」を選択します。
  10. 「証明書属性」で、アイデンティティ・ドメイン・ユーザー属性を証明書属性と照合する方法を選択します。
    • デフォルト:このオプションを使用して、アイデンティティ・ドメイン・ユーザー属性を証明書の属性に関連付けます。
    • 単純フィルタ:このオプションを使用して、アイデンティティ・ドメイン・ユーザー属性を選択して証明書属性に関連付けます。
    • 高度なフィルタ:このオプションを使用して、カスタム・フィルタを作成し、アイデンティティ・ドメイン・ユーザー属性を証明書の属性に関連付けます。例:
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (オプション) OCSP検証を有効化および構成します。
    1. 認証時にオンライン証明書ステータス・プロトコルの証明書検証を有効にするには、「OCSP検証の有効化」を選択します。
    2. OCSP署名証明書を構成します。OCSPレスポンダ証明書をインポートします。この証明書は、OCSPレスポンスの署名を検証するために使用されます。この証明書を使用した署名の検証が失敗した場合、OCSPレスポンダの証明書チェーンは、構成された信頼できる証明書(委任信頼モデル)のいずれかにつながります。そうでない場合、OCSPレスポンスはUNKNOWNとみなされます。
    3. OCSPレスポンダURLを入力します。認証時に、OCSP検証リクエストがこのURLに送信されるのは、ユーザー証明書にOCSP URLが構成されていない場合のみです。ユーザーの証明書に使用されているOCSP URLが構成されている場合。
    4. 不明な証明書のアクセスを有効にするには、「OSCPレスポンスが不明の場合にアクセスを許可」を選択します。trueに設定すると、OCSPレスポンスがUnknownの場合に認証が成功します。次に、潜在的なOCSPレスポンスを示します。
      • GOOD: OCSPレスポンダは、ユーザー証明書が存在し、取り消されていないことを確認しました。
      • REVOKED: OCSPレスポンダは、ユーザー証明書が存在し、REVOKEDであることを検証しました。
      • UNKNOWN: 次のいずれかの理由により、OCSPレスポンスがUNKNOWNになる場合があります。
        • OSCPサーバーは証明書を認識しません。
        • OCSPサーバーは、証明書が失効しているかどうかを知りません
  12. 「IdPの追加」を選択します。
  13. (オプション)IdPをアクティブ化してから、ポリシーに追加します。詳細は、アイデンティティ・プロバイダのアクティブ化または非アクティブ化に関する項を参照してください。