スマートカード/PIV による認証に関するトラブルシューティング

スマート・カードやPIV（personal identity verification）カードでの認証が失敗する場合は、以下の項目を確認してください。

サブジェクトの別名

サブジェクトの別名または式の結果が、指定したOkta属性と一致することを確認します。これは、メールアドレスかOktaのユーザー名である必要があります。

証明書チェーン

発行者の証明書チェーン全体が正しい形式でアップロードされていることを確認します。PKI 証明書チェーンをフォーマットするをご覧ください。

ユーザーアカウントの状態

ユーザーのアカウントがアクティブな状態であることを確認します。パスワードリセットはアクティブとみなされます。ユーザーアカウントのステータスについてをご覧ください。

ブラウザセッション

キャッシュの問題を避けるために、常に新しいブラウザセッションで開始します。機能をテストする前に、すべてのブラウザウィンドウを閉じます。

CRL エンドポイント

CRLエンドポイントの接続性をテストします。PIVカードでの認証を機能させるには、Oktaが証明書失効リストの配布ポイントに永続的にアクセスできるようにする必要があります。このOktaのアクセスは、エンドユーザーが提示する証明書に取り消しや失効がないことや、その他何らかの形で信頼が損なわれていないことを確認するために必要です。失効チェックは、PIV認証の安全性を確保するための重要なプロセスです。通常、証明書失効リストは誰でも到達可能なインターネット上のHTTPロケーションにポストされますが、安全性が非常に高められた環境において、この失効エンドポイントが公開されない場所にポストされることがあります。

Oktaが到達できる場所にCRLがポストされていることを確認するには：

クライアントの公開X.509証明書（末尾が.crl）から証明書失効リストのエンドポイントURLをコピーします。
CRL エンドポイントURL をネットワークに接続していないデバイスでブラウザに貼り付けます。
CRLがアクセス可能な場合、.crlファイルが自動的にダウンロードされます。
URLが401エラーを返す場合、そのURLは公開されていません。Oktaサービスはエンドポイントにアクセスできません。

詳細については、 Okta IPアドレス許可リストをご覧ください。Okta IPがHTTP経由でCRL配布ポイントにアクセスできることを確認します。

失効チェックは、チェーン内のすべての証明書に対して行われます。場合によっては、PKIチェーンの中間証明書ごとにこの手順を繰り返す必要があります。

複数の証明書

複数の証明書を使用している場合は、証明書を単一のファイルにまとめます。

次のopensslコマンドで、DERエンコードされたルート証明書と中間証明書（拡張子が.cer、.crt）をPEM形式に変換します：openssl x509 -inform der -in $input-cert-file-name -out $out-cert-file-name-with-pem-extension
次のコマンドですべてのPEM証明書を連結して、ルート証明書が最後になるようにして単一のファイルにします：cat $intermediate-cert-file-1 ... $intermediate-cert-file-N $root-cert-file-with-pem-extension> trust-chain.pem
スマート・カードのIDプロバイダーの作成時にtrust-chain.pemをアップロードして、他のスマート・カードIDPが存在しないようにします。

単一ファイル内のルート証明書がPEM証明書の最後になるようにしてください。