Documentação do Oracle Cloud Infrastructure

Adicionando um Provedor de Identidades Autenticado X.509

Use um provedor autenticado X.509 (IdP) com autenticação baseada em certificado com um domínio de identidades no IAM para cumprir os requisitos do FedRAMP e os cartões de Verificação de Identidade Pessoal (PIV).

A adição de um IdP autenticado do X.509 fornece aos usuários um método para acessar usando SSL bidirecional. O SSL bidirecional garante que o cliente e o servidor se autentiquem compartilhando seus certificados públicos e, em seguida, a verificação é executada com base nesses certificados.

Para adicionar um provedor de identidades autenticado X.509:

  1. Na página de lista Domínios, selecione o domínio no qual deseja fazer alterações. Se precisar de ajuda para localizar a página de lista do domínio, consulte Listando Domínios de Identidade.
  2. Na página de detalhes, dependendo das opções que você vê, execute um dos seguintes procedimentos:
    • selecione Federação ou
    • selecione Segurança e, em seguida, selecione Provedores de identidade. Uma lista de provedores de identidades no domínio é exibida.
  3. Dependendo das opções exibidas, execute uma das seguintes ações:
    • usando o menu Ações do provedor de identidades, selecione Adicionar X.509 IdP ou
    • selecione Adicionar IdP e, em seguida, Adicionar X.509 IdP.
  4. Informe um nome e descrição para o provedor da identidade X.509.
  5. (Opcional) Selecione Ativar Validação de EKU se precisar ativar a validação de EKU como parte de um provedor de identidades X.509.

    O IAM suporta os seguintes valores de EKU:

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. Configure a cadeia de certificados Confiáveis.
    1. Selecione Importar Certificado e anexe um certificado confiável.
    2. Para preservar o nome de arquivo de certificado, selecione Manter o nome de arquivo igual ao original.
    3. Selecione Importar certificado.
    4. Repita para adicionar todos os certificados que formam a cadeia de certificados confiáveis.
    A cadeia de certificados Confiáveis é usada para autenticar a solicitação de acesso X509. Durante a autenticação, o certificado do usuário é validado para verificar se sua cadeia de certificados leva a qualquer um dos certificados confiáveis configurados.
  7. (Opcional) Para preservar o nome do arquivo de certificado, marque a caixa de seleção Manter o nome do arquivo igual ao arquivo original.
  8. (Opcional) Para identificar a área de armazenamento de chaves do certificado com um alias, informe um nome para o certificado na caixa Alias. Evite digitar informações confidenciais
  9. Selecione Importar certificado.
  10. Em Atributo de certificado, selecione um método para corresponder atributos de usuário de domínio de identidades a atributos de certificado.
    • Padrão: Use essa opção para associar os atributos do usuário do domínio de identidades aos atributos do certificado.
    • Filtro Simples: Use esta opção para selecionar um atributo do usuário de domínio da identidade para associá-lo a um atributo do certificado.
    • Filtro Avançado: Use esta opção para criar um filtro personalizado para associar os atributos do usuário do domínio da identidade aos atributos do certificado. Por exemplo:
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (Opcional) Ativar e configurar a validação de OCSP.
    1. Marque Ativar validação de OCSP para ativar a validação do certificado do Protocolo de Status do Certificado On-line durante a autenticação.
    2. Configurar o certificado de assinatura de OCSP. Importe o certificado do servidor OCSP. Este certificado é usado para verificar a assinatura na resposta OCSP. Se a verificação de assinatura que usa este certificado falhar, a cadeia de certificados do servidor OCSP levará a um dos certificados confiáveis configurados (Modelo de Confiança Delegado). Caso contrário, a resposta OCSP será considerada como DESCONHECIDA.
    3. Informe o URL do servidor OCSP. Durante a autenticação, o pedido de validação de OCSP será enviado para este URL somente se o certificado dos Usuários não tiver o URL de OCSP configurado. Se o certificado do Usuário tiver o URL do OCSP configurado que será usado.
    4. Para ativar o acesso para certificados Desconhecidos, selecione Permitir acesso se a resposta do OSCP for desconhecida. Quando definida como true, a autenticação é bem-sucedida quando a resposta OCSP é Unknown. A seguir estão possíveis respostas OCSP.
      • GOOD: O respondedor OCSP verificou se o certificado do usuário está presente e não foi revogado.
      • REVOKED: O servidor OCSP verificou se o certificado do usuário está presente e foi REVOKED.
      • DESCONHECIDO: A resposta OCSP pode ser DESCONHECIDA devido a uma das seguintes razões:
        • O servidor OSCP não reconhece o certificado.
        • O servidor OCSP não sabe se o certificado foi revogado
  12. Selecione Adicionar IdP.
  13. (Opcional) Ative a IdP antes de adicioná-la a qualquer política. Para obter mais informações, consulte Ativando ou Desativando um Provedor de Identidades.