スマートカードおよびPIVカード認証をトラブルシューティングする
スマートカードや個人ID検証(PIV)カードでの認証が失敗する場合は、以下の項目を確認してください。
- サブジェクトの別名:Subject Alternate Name(サブジェクトの別名)または式の結果が、指定したOkta属性と一致することを確認します。これは、メールアドレスまたはOktaユーザー名である必要があります。
- 証明書チェーン:複数の証明書を使用している場合は特に、発行者の証明書チェーン全体が正しい形式でアップロードされていることを確認します。「PKI証明書チェーンのフォーマット」を参照してください。
- ユーザーアカウントの状態:ユーザーのアカウントがアクティブな状態であることを確認します。パスワードリセットはアクティブとみなされます。「ユーザーアカウントのステータス」を参照してください。
- ブラウザーセッション:キャッシュの問題を避けるために、常に新しいブラウザーセッションで開始します。機能をテストする前に、他のブラウザーウィンドウをすべて閉じます。
CRLエンドポイントをトラブルシューティングする
Oktaは、証明書失効リスト(CRL)を自動的にダウンロードしてキャッシュします。そのため、スマートカードとPIVカードによる認証を機能させるには、OktaがCRLエンドポイントにアクセスする必要があります。これにより、エンドユーザーが提示する証明書に取り消しや失効がないことや、信頼が損なわれていないことをOktaが確認できます。失効ステータスの確認は、スマートカードおよびPIVカードによる認証のセキュリティに重要です。通常、CRLはインターネット上の公開されたアクセス可能な場所にポストされます。ただし、一部の非常に安全な環境では、CRLエンドポイントは公開されません。
CRLの場所がOktaにアクセス可能であることを確認する
Oktaは、PKIチェーン内の各証明書をCRLに照らしてチェックします。PKIチェーンの中間証明書ごとに、このプロセスを繰り返す必要が生じる場合があります。
- クライアントの公開X.509証明書からCRLエンドポイントのURLをコピーします。このファイルは.crlで終わります。
- CRLエンドポイントのURLをネットワークに接続していないデバイスでブラウザーに貼り付けます。CRLにアクセスできる場合は、.crlファイルが自動的にダウンロードされます。
- URLが401エラーを返す場合、そのURLは公開されていません。Oktaサービスはエンドポイントにアクセスできません。「Okta IPアドレスへのアクセスを許可する」を参照してください。