Oracle Cloud Infrastructureドキュメント

X.509認証済アイデンティティ・プロバイダの追加

X.509認証済アイデンティティ・プロバイダ(IdP)を証明書ベースの認証とともに使用して、IAMのアイデンティティ・ドメインでFedRAMP要件とPersonal Identity Verification (PIV)カードに準拠します。

X.509認証済IdPを追加すると、ユーザーは双方向SSLを使用してサインインできます。双方向SSLにより、クライアントとサーバーの両方がパブリック証明書を共有することで相互に認証され、それらの証明書に基づいて検証が実行されます。

X.509認証済アイデンティティ・プロバイダを追加するには:

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 詳細ページで、表示されるオプションに応じて、次のいずれかを実行します。
    • 「フェデレーション」を選択するか、
    • 「セキュリティ」を選択し、「アイデンティティ・プロバイダ」を選択します。ドメイン内のアイデンティティ・プロバイダのリストが表示されます。
  3. 表示されるオプションに応じて、次のいずれかを実行します。
    • アイデンティティ・プロバイダの「アクション」メニューを使用して、「X.509の追加」 IdPを選択します。
    • 「Add IdP」を選択し、「Add X.509 IdP」を選択します。
  4. X.509アイデンティティ・プロバイダの名前と説明を入力してください。
  5. (オプション)X.509アイデンティティ・プロバイダの一部としてEKU検証を有効にする必要がある場合は、「EKU検証の有効化」を選択します。

    IAMでは、次のEKU値がサポートされています:

    • SERVER_AUTH
    • CLIENT_AUTH
    • CODE_SIGNING
    • EMAIL_PROTECTION
    • TIME_STAMPING
    • OCSP_SIGNING
  6. 信頼できる証明書チェーンを構成します。
    1. 「証明書のインポート」を選択し、信頼できる証明書を添付します。
    2. 証明書ファイル名を維持するには、「元のファイルとしてファイル名を保持する」を選択します。
    3. 「証明書のインポート」を選択します。
    4. この手順を繰り返して、信頼できる証明書チェーンを構成するすべての証明書を追加します。
    信頼できる証明書チェーンは、X509サインイン・リクエストの認証に使用されます。認証時に、ユーザー証明書が検証され、その証明書チェーンが構成済の信頼できる証明書のいずれかにつながるかどうかが確認されます。
  7. (オプション)証明書ファイル名を保持するには、「元のファイルと同じファイル名を保持」チェック・ボックスを選択します。
  8. (オプション)別名で証明書キーストアを識別するには、「別名」ボックスに証明書の名前を入力します。機密情報の入力は避けてください
  9. 「証明書のインポート」を選択します。
  10. 「証明書属性」で、アイデンティティ・ドメインのユーザー属性を証明書属性と照合する方法を選択します。
    • デフォルト:このオプションを使用して、アイデンティティ・ドメイン・ユーザー属性を証明書の属性に関連付けます。
    • 単純フィルタ:このオプションを使用して、アイデンティティ・ドメイン・ユーザー属性を選択して証明書属性に関連付けます。
    • 拡張フィルタ:このオプションを使用して、カスタム・フィルタを作成し、アイデンティティ・ドメイン・ユーザー属性を証明書の属性に関連付けます。例:
      userName eq "$(assertion.fed.subject.cn)"

emails[primary eq true].value co "$(serialNumber)"

name.givenName eq "$(assertion.fed.subject.cn)@$(assertion.fed.serialNumber)"

username eq "$(assertion.fed.subject.cn)" or emails[primary eq true].value sw "$(assertion.fed.serialNumber)"
  11. (オプション) OCSP検証を有効にして構成します。
    1. 認証時にオンライン証明書ステータス・プロトコルの証明書検証を有効にするには、「OCSP検証の有効化」を選択します。
    2. OCSP署名証明書を構成します。OCSPレスポンダ証明書をインポートします。この証明書は、OCSPレスポンスの署名を検証するために使用されます。この証明書を使用した署名の検証が失敗した場合、OCSPレスポンダの証明書チェーンは、構成された信頼できる証明書(委任信頼モデル)の1つになります。そうでない場合は、OCSPレスポンスはUNKNOWNとみなされます。
    3. OCSPレスポンダURLを入力します。認証中にOCSP検証リクエストがこのURLに送信されるのは、ユーザー証明書にOCSP URLが構成されていない場合のみです。ユーザーの証明書に使用されているOCSP URLが構成されている場合。
    4. 不明な証明書のアクセスを有効にするには、OSCPレスポンスが不明の場合にアクセスを許可を選択します。trueに設定すると、OCSPレスポンスがUnknownの場合に認証が成功します。潜在的なOCSPレスポンスは次のとおりです。
      • GOOD: OCSPレスポンダは、ユーザー証明書が存在し、失効していないことを確認しました。
      • REVOKED: OCSPレスポンダは、ユーザー証明書が存在し、REVOKEDであることを確認しました。
      • UNKNOWN: 次のいずれかの理由により、OCSPレスポンスがUNKNOWNになる可能性があります。
        • OSCPサーバーが証明書を認識しません。
        • OCSPサーバーは証明書が取り消されたかどうかを知りません
  12. 「Add IdP」を選択します。
  13. (オプション)ポリシーに追加する前に、IdPをアクティブ化します。詳細は、アイデンティティ・プロバイダのアクティブ化または非アクティブ化に関する項を参照してください。