エンドユーザーとしてスマート・カード/PIVでサインインする

エンドユーザーとしてサインインして、スマート・カード/PIV (personal identity verification) の構成をテストできます。

開始する前に

PKI 証明書チェーンをフォーマットする

スマート・カードの有効化

このタスクを開始する

  1. スマート・カード/PIVカードのリーダーが接続されていて、スマート・カード/PIVカードが挿入されていることを確認します。
  2. 新しいブラウザセッションで、自身のOkta組織のOktaサインインページに移動し、[Sign in with PIV / CAC Card(PIV/CACカードでサインイン)]をクリックします。
    PIV/CACカードでサインインします。
  3. PIV/CACカードのダイアログが表示される場合は、カードリーダーが適切に接続されていて、PIV/CACカードが挿入されていることを確認してください。
    PIV/CACカードを挿入して証明書を選択します。

  4. 証明書ピッカーで、Enhanced Key Usage属性がSmart Card Logonの証明書を選択します。該当の証明書を見つけるために、証明書の詳細をいくつか確認する必要がある場合もあります。
  5. エンドユーザーのPINを入力して、[Enter(入力)]または[OK]を選択します。

Oktaが、エンドユーザーダッシュボードへのサインインを実行します。

注

組織でMFAポリシーが構成されている場合、構成済みの認証要素を最初に求められます。

スマート・カード/PIV 証明書の検証

以下は、クライアント証明書の検証手順です。

  1. エンドユーザーとしてスマート・カード/PIVでサインインするの手順で提供されるクライアント証明書は、既知の発行者により発行されたものとして検証されます。既知の発行者は、スマート・カード/PIV認証の有効化の手順で提供される証明書チェーンの一環としてOktaに明示的にアップロードされる証明書の発行機関です。提供されるクライアント証明書が未知の発行者により発行されている場合、検証は失敗します。
  2. その場合、証明書が証明書失効リスト(CRL)に対して検証されます。Oktaは、既知の発行者のCRLを定期的にダウンロードしてキャッシュしています。CRLが期限切れの場合や、関連するCRLがキャッシュされていない場合、OktaはCRLをリアルタイムでダウンロードしようとします。
  3. クライアント証明書が有効で、アクティブであると検証され、CRLに対して取り消されていない場合、そのユーザーはIDP構成で指定されたルールと照合されて、サインインが実行されます。

関連項目

スマートカード/PIV による認証に関するトラブルシューティング