Résolution des problèmes d'authentification par carte à puce et carte PIV

Si l'authentification avec une carte intelligente ou une carte PIV échoue, vérifiez les éléments suivants :

  • Autre nom de l'objet: vérifiez que l'Autre nom de l'objet ou le résultat de l'expression correspond à l'attribut Okta que vous avez spécifié. Il peut s'agir de l'adresse e-mail ou du nom d'utilisateur Okta.
  • Chaîne de certificats : vérifiez que la chaîne de certificats complète des émetteurs est chargée dans le bon format, particulièrement si vous utilisez plusieurs certificats. Consultez Formater une chaîne de certificats PKI.
  • État du compte utilisateur : vérifiez si le compte de l'utilisateur est dans un état actif. La réinitialisation du mot de passe est considérée comme un état actif. Consultez État du compte utilisateur.
  • Session de navigateur : utilisez toujours une nouvelle session de navigateur pour éviter tout problème lié à la mise en cache. Fermez toutes les fenêtres de navigateur avant de tester la fonctionnalité.

Résoudre les problèmes liés aux points de terminaison CRL

Okta télécharge et met en cache automatiquement les listes de révocation des certificats (CRL). Okta a donc besoin accès aux points de terminaison CRL pour que authentification par carte à puce et PIV puisse fonctionner. Cet accès est nécessaire pour qu'Okta puisse vérifier que le certificat présenté par l'utilisateur final n'est pas révoqué, expiré, ou non approuvé. La vérification du statut de la révocation est essentielle pour la sécurité de l'authentification par carte à puce et PIV. En général, les CRL sont publiées dans un emplacement accessible au public sur Internet. Cependant, dans certains environnements hautement sécurisés, les points de terminaison CRL ne sont pas publics.

Vérifiez que l'emplacement de la CRL est accessible à Okta.

Okta vérifie chaque certificat d'une chaîne PKI par rapport à la CRL. Vous pourriez avoir à répéter ce processus pour chaque certificat intermédiaire dans la chaîne PKI.

  1. Copiez l'URL du point de terminaison CRL qui se trouve sur le certificat X.509 public du client. Ce fichier se termine par .crl.
  2. Collez l'URL du point de terminaison de la CRL dans un navigateur sur un appareil hors réseau. Si la CRL est accessible, le fichier .crl se télécharge automatiquement.
  3. Si l'URL renvoie une erreur 401, cela signifie qu'elle n'est pas publique. Le service Okta ne peut pas accéder au point de terminaison. Consultez Accorder l'accès aux adresses IP Okta.

Rubriques liées

Formater une chaîne de certificats PKI

Ajouter un fournisseur d'identité par carte intelligente

Tester la configuration de la carte à puce ou de la carte PIV