Oracle Cloud Infrastructureドキュメント

X.509認証済アイデンティティ・プロバイダの追加

X.509認証済アイデンティティ・プロバイダ(IdP)を、IAMのアイデンティティ・ドメインとの証明書ベースの認証とともに使用して、FedRAMP要件および個人アイデンティティ検証(PIV)カードに準拠します。

X.509認証IdPを追加すると、双方向SSLを使用してサインインする方法がユーザーに提供されます。双方向SSLにより、クライアントとサーバーの両方がパブリック証明書を共有することで相互に認証され、それらの証明書に基づいて検証が実行されます。

X.509認証済アイデンティティ・プロバイダを追加するには:

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 詳細ページで、表示されるオプションに応じて、次のいずれかを実行します。
    • 「フェデレーション」を選択します。
    • 「セキュリティ」を選択し、「アイデンティティ・プロバイダ」を選択します。ドメイン内のアイデンティティ・プロバイダのリストが表示されます。
  3. 表示されるオプションに応じて、次のいずれかを実行します。
    • アイデンティティ・プロバイダの「アクション」メニューを使用して、「X.509 IdPの追加」を選択するか、
    • 「IdPの追加」を選択し、「X.509 IdPの追加」を選択します。
  4. X.509アイデンティティ・プロバイダの名前と説明を入力します。
  5. (オプション)X.509アイデンティティ・プロバイダの一部としてEKU検証を有効にする必要がある場合は、「EKU検証の有効化」を選択します。

    IAMでは、次のEKU値がサポートされています:

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. 信頼できる証明書チェーンを構成します。
    1. 「証明書のインポート」を選択し、信頼できる証明書を添付します。
    2. 証明書ファイル名を保持するには、「元のファイルと同じファイル名にする」を選択します。
    3. 「証明書のインポート」を選択します。
    4. この手順を繰り返して、信頼できる証明書チェーンを構成するすべての証明書を追加します。
    信頼できる証明書チェーンは、X509サインイン・リクエストの認証に使用されます。認証中に、ユーザー証明書が検証され、その証明書チェーンが構成済の信頼できる証明書につながるかどうかが確認されます。
  7. (オプション)証明書ファイル名を保持するには、「元のファイルと同じファイル名にする」チェック・ボックスを選択します。
  8. (オプション)別名で証明書キーストアを識別するには、「別名」ボックスに証明書の名前を入力します。機密情報の入力は避けてください
  9. 「証明書のインポート」を選択します。
  10. 「証明書属性」で、アイデンティティ・ドメインのユーザー属性を証明書属性と照合する方法を選択します。
    • デフォルト:アイデンティティ・ドメイン・ユーザー属性を証明書属性に関連付けるには、このオプションを使用します。
    • 単純フィルタ:このオプションを使用して、証明書属性に関連付けるアイデンティティ・ドメイン・ユーザー属性を選択します。
    • 高度なフィルタ:このオプションを使用して、カスタム・フィルタを作成し、アイデンティティ・ドメイン・ユーザー属性を証明書属性に関連付けます。例:
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (オプション) OCSP検証を有効にして構成します。
    1. 認証中にオンライン証明書ステータス・プロトコルの証明書検証を有効にするには、「OCSP検証の有効化」を選択します。
    2. OCSP署名証明書を構成します。OCSPレスポンダ証明書をインポートします。この証明書は、OCSPレスポンスの署名を検証するために使用されます。この証明書を使用した署名検証が失敗した場合、OCSPレスポンダの証明書チェーンは、構成された信頼できる証明書(委任信頼モデル)のいずれかにつながります。そうでない場合、OCSPレスポンスはUNKNOWNとみなされます。
    3. OCSP応答者URLを入力します。認証時に、OCSP検証リクエストがこのURLに送信されるのは、ユーザー証明書にOCSP URLが構成されていない場合のみです。ユーザーの証明書に使用されているOCSP URLが構成されている場合。
    4. 不明な証明書へのアクセスを有効にするには、「OSCPレスポンスが不明の場合にアクセスを許可します」を選択します。trueに設定すると、OCSPレスポンスがUnknownの場合、認証は成功します。次に、潜在的なOCSPレスポンスを示します。
      • GOOD: OCSPレスポンダは、ユーザー証明書が存在し、失効していないことを確認しました。
      • REVOKED: OCSPレスポンダは、ユーザー証明書が存在し、REVOKEDであることを確認しました。
      • UNKNOWN: OCSPレスポンスは、次のいずれかの理由でUNKNOWNにできます。
        • OSCPサーバーが証明書を認識しません。
        • OCSPサーバーは、証明書が失効しているかどうかを認識しません。
  12. 「IdPの追加」を選択します。
  13. (オプション)IdPをアクティブ化してから、ポリシーに追加します。詳細は、アイデンティティ・プロバイダのアクティブ化または非アクティブ化を参照してください。