スマート・カード/PIVをエンド・ユーザーに使用してサインインする

エンド・ユーザーとしてサインインすることで、スマート・カード/PIV (個人ID検証) 構成をテストできます。

開始する前に

次のタスクが完了していることを確認します。

サインイン

  1. スマート・カード/PIVカード・リーダーがプラグイン接続され、スマート・カード/PIVカードが挿入されていることを確認します。
  2. 新しいブラウザー・セッションで、Okta組織のOktaサインイン・ページに移動し、[PIV/CACカードを使用してサインイン]をクリックします。
    PIV/CACカードを使用してサインインします。
  3. [PIV/CACカード]ダイアログが表示された場合は、カード・リーダーが正しく接続され、PIV/CACカードが挿入されていることを確認してください。
    PIV/CACカードを挿入し、証明書を選択します。

  4. 証明書ピッカーで、[拡張キー使用法]属性の下の[スマート・カード・ログオン]値を持つ証明書を選択します。適切な証明書を検索するために、証明書の詳細を表示する必要が生じる場合があります。
  5. エンド・ユーザーのPINを入力し、[Enter]または[OK]をクリックします。

Oktaでエンド・ユーザーのダッシュボードにサインインします。

注

組織で多要素認証ポリシーが構成されている場合は、最初に構成済みの認証要素を入力するよう求められます。

スマート・カード/PIV 証明書の検証

次のプロセスでは、クライアント証明書の検証について説明します。

  1. 「スマート・カード/PIVカードをエンド・ユーザーに使用してサインインする」の手順で提供されるクライアント証明書は、既知の発行者によって発行されたものとして検証されます。既知の発行者は、スマート・カード/PIV認証を有効にする手順の中で提供される証明書チェーンの一部としてOktaに明示的にアップロードされた発行認証局です。指定されたクライアント証明書が不明な発行者によって発行された場合、検証は失敗します。
  2. 次に、証明書が証明書失効リスト(CRL)と照合されて検証されます。Oktaは、既知の発行者のCRLを定期的にダウンロードしてキャッシュします。CRLの有効期限が切れているか、関連するCRLがキャッシュにない場合、OktaはCRLのダウンロードをリアルタイムで試行します。
  3. クライアント証明書が有効で、アクティブであることが検証され、CRLに対して取り消されていない場合、ユーザーはIDP構成で指定されたルールと照合され、ユーザーはサインインされます。

関連項目

スマート・カード/PIV 認証のトラブルシューティング