エンドユーザーとしてスマートカード/PIVでサインインする

エンドユーザーとしてサインインして、スマートカード/PIV(個人ID検証)の構成をテストできます。

はじめに

次のタスクが完了していることを確認します。

サインイン

  1. スマートカード/PIVのカードリーダーが接続されていて、スマートカード/PIVカードが挿入されていることを確認します。
  2. 新しいブラウザーセッションで、自身のOkta orgのOktaサインインページに移動し、[Sign in with PIV / CAC Card(PIV/CACカードでサインイン)]をクリックします。
    PIV/CACカードを使用してサインインします。

    [Sign in with PIV / CAC Card(PIV/CACカードでサインイン)]が選択され、複数のスマートカード/PIV IDプロバイダーが構成されている場合、サインイン要求は、ルーティングルールに関係なくすべてのアクティブなスマートカードIdPに対して評価されます。複数のIdPが一致する場合は、最初に一致した内容が返されます。

  3. PIV/CACカードのダイアログが表示される場合は、カードリーダーが適切に接続されていて、PIV/CACカードが挿入されていることを確認してください。
    PIV/CACカードを挿入して証明書を選択します。

  4. 証明書ピッカーで、Enhanced Key Usage属性がSmart Card Logonの証明書を選択します。該当する証明書を見つけるために、証明書の詳細をいくつか確認する必要が生じる場合もあります。
  5. エンドユーザーのPINを入力して、[Enter(入力)]または[OK]をクリックします。

Oktaが、エンドユーザーのダッシュボードへのサインインを実行します。

orgでMFAポリシーが構成されている場合、構成済みの認証要素を最初に求められます。

スマートカード/PIV証明書の検証

以下は、クライアント証明書の検証手順です。

  1. [Sign in with a Smart Card/PIV Card as an end user(エンドユーザーとしてスマートカード/PIVでサインインする)]の手順で提供されるクライアント証明書は、既知の発行者により発行されたものとして検証されます。既知の発行者は、[Enable Smart Card/PIV Authentication(スマートカード/PIV認証の有効化)]の手順で提供される証明書チェーンの一環としてOktaに明示的にアップロードされる証明書の発行認証局です。提供されるクライアント証明書が未知の発行者により発行されている場合、検証は失敗します。
  2. その場合、証明書が証明書失効リスト(CRL)に対して検証されます。Oktaは、既知の発行者のCRLを定期的にダウンロードしてキャッシュしています。CRLの有効期限が切れているか、関連するCRLがキャッシュにない場合、OktaはCRLのダウンロードをリアルタイムで試行します。
  3. クライアント証明書が有効で、アクティブであると検証され、CRLに対して取り消されていない場合、そのユーザーはIDP構成で指定されたルールと照合されて、サインインが実行されます。

関連項目

スマートカード/PIV認証のトラブルシューティング