Documentação do Oracle Cloud Infrastructure

Adicionando um Provedor de Identidades Autenticado X.509

Use um provedor de identidades autenticado X.509 (IdP) com autenticação baseada em certificado com um domínio de identidades no IAM para atender aos requisitos FedRAMP e aos cartões de PIV (Personal Identity Verification).

A adição de um IdP autenticado X.509 fornece aos usuários um método para acessar usando SSL bidirecional. O SSL bidirecional garante que o cliente e o servidor se autenticem compartilhando seus certificados públicos e, em seguida, a verificação seja executada com base nesses certificados.

Para adicionar um provedor de identidades autenticado X.509:

  1. Na página de lista Domínios, selecione o domínio no qual deseja fazer alterações. Se precisar de ajuda para localizar a página de lista do domínio, consulte Listando Domínios de Identidade.
  2. Na página de detalhes, dependendo das opções que você vê, execute um dos seguintes procedimentos:
    • selecione Federação ou
    • selecione Segurança e, em seguida, selecione Provedores de identidade. Uma lista de provedores de identidades no domínio é exibida.
  3. Dependendo das opções exibidas, execute uma das seguintes ações:
    • usando o menu Ações do provedor de identidades, selecione Adicionar X.509 IdP ou
    • selecione Adicionar IdP e, em seguida, Adicionar X.509 IdP.
  4. Informe um nome e uma descrição para o provedor de identidades X.509.
  5. (Opcional) Selecione Ativar Validação de EKU se precisar ativar a validação de EKU como parte de um provedor de identidades X.509.

    O IAM suporta os seguintes valores de EKU:

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. Configure a cadeia de certificados de confiança.
    1. Selecione Importar Certificado e anexe um certificado confiável.
    2. Para preservar o nome do arquivo de certificado, selecione Manter o nome do arquivo igual ao arquivo original.
    3. Selecione Importar certificado.
    4. Repita para adicionar todos os certificados que formam a cadeia de certificados confiáveis.
    A cadeia de certificados Confiável é usada para autenticar a solicitação de acesso X509. Durante a autenticação, o certificado do usuário é validado para verificar se sua cadeia de certificados leva a qualquer um dos certificados confiáveis configurados.
  7. (Opcional) Para preservar o nome do arquivo de certificado, marque a caixa de seleção Manter o nome do arquivo igual ao arquivo original.
  8. (Opcional) Para identificar o armazenamento de chaves de certificado com um alias, digite um nome para o certificado na caixa Alias. Evite digitar informações confidenciais
  9. Selecione Importar certificado.
  10. Em Atributo de certificado, selecione um método para corresponder atributos de usuário do domínio de identidades a atributos de certificado.
    • Padrão: Use esta opção para associar os atributos de usuário do domínio de identidades aos atributos de certificado.
    • Filtro simples: Use essa opção para selecionar um atributo de usuário do domínio de identidades para associá-lo a um atributo de certificado.
    • Filtro avançado: Use esta opção para criar um filtro personalizado para associar os atributos de usuário do domínio de identidades aos atributos de certificado. Por exemplo:
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (Opcional) Ative e configure a validação do OCSP.
    1. Marque Ativar validação do OCSP para ativar a validação do certificado do Protocolo de Status do Certificado On-line durante a autenticação.
    2. Configure o certificado de assinatura OCSP. Importar o certificado do servidor OCSP. Este certificado é usado para verificar a assinatura na resposta OCSP. Se a verificação de assinatura que usa este certificado falhar, a cadeia de certificados do respondedor OCSP levará a um dos certificados confiáveis configurados (Modelo de Confiança Delegado). Caso contrário, a resposta OCSP será considerada DESCONHECIDA.
    3. Informe o URL do respondedor do OCSP. Durante a autenticação, a solicitação de validação do OCSP será enviada para este URL somente se o certificado Usuários não tiver o URL do OCSP configurado. Se o certificado do Usuário tiver o URL do OCSP configurado que é usado.
    4. Para ativar o acesso a certificados Desconhecidos, selecione Permitir acesso se a resposta do OSCP for desconhecida. Quando definido como true, a autenticação é bem-sucedida quando a resposta OCSP é Unknown. Veja a seguir possíveis respostas de OCSP.
      • GOOD: O respondedor OCSP verificou se o certificado do usuário está presente e não foi revogado.
      • REVOKED: O respondedor OCSP verificou se o certificado do usuário está presente e é REVOKED.
      • DESCONHECIDO: A resposta OCSP pode ser DESCONHECIDA devido a qualquer um dos seguintes motivos:
        • O servidor OSCP não reconhece o certificado.
        • O servidor OCSP não sabe se o certificado foi revogado
  12. Selecione Adicionar IdP.
  13. (Opcional) Ative o IdP antes de adicioná-lo a qualquer política. Para obter mais informações, consulte Ativando ou Desativando um Provedor de Identidades.