スマート・カードIDプロバイダーを追加

スマート・カードIDプロバイダーを追加するには、名前と証明書チェーンを入力し、ダウンロードが成功してからOktaが証明書失効リスト(CRL)を有効と見なすまでの時間を指定する必要があります。

開始する前に

組織のスマート・カードを発行した認証局の証明書チェーンをダウンロードします。

重要な注意事項

証明書は、Privacy Enhanced Mail(PEM)またはDistinguished Encoding Rules(DER)形式にする必要があります。
チェーンに複数の証明書がある場合は、PKI 証明書チェーンのフォーマットの説明に従って、単一の.DERまたは.PEMファイルに格納し、最後にルート証明書を追加する必要があります。

手順

  1. 管理コンソールで、[セキュリティー] > に移動します [IDプロバイダー]
  2. [IDプロバイダーを追加]をクリックし、[スマート・カードを追加]を選択します。
  3. [IDプロバイダーを追加]画面で、組織の情報を入力します。
    • [名前]:このIDプロバイダーのわかりやすい名前を入力します。
    • [証明書チェーン]:[ファイルを参照...]をクリックして、ファイル選択を起動します。発行機関の証明書チェーンを選択します。
    • [IdPユーザー名]:Oktaユーザーを特定するために使用する必要のある証明書の属性を指定します。
      次のいずれかになります。
      idpuser.subjectAltNameUpn
      idpuser.subjectAltNameEmail
      idpuser.subjectAltNameUuid
      idpuser.subjectKeyIdentifier
      idpuser.subjectCn
      idpuser.subjectO
      idpuser.subjectOu
      idpuser.sha1PublicKeyHash

      [idpユーザー名]ではOkta式言語の式も受け付けます。詳細は、「スマート・カードのidpuser式」および「式と例」 を参照してください。

    • [照合対象]:OktaがメールOktaユーザー名、またはメールかOktaユーザー名のいずれかと照合するかどうかを指定します。ユーザーがOktaにサインインするには、そのユーザー・アカウントがすでに存在していて、メール・アドレスまたはOktaユーザー名のいずれかが上記で定義された属性または式と一致している必要があります。

      • IDP拡張照合機能が有効になっている場合は、カスタム属性のリストから選択して照合に使用できます。この機能では、「Oktaユーザー名またはメール」の組み合わせは使用できません。

  4. [IDプロバイダーを追加]または[保存]をクリックして続行します。これで、代替認証形式としてPIVカードを受け入れるように組織が構成されました。

次のタスク

スマート・カード/PIVをエンド・ユーザーに使用してサインインする

関連項目

スマート・カードのidpuser式

式と例