Ajouter un fournisseur d’identité carte à puce

Nom

Saisissez un nom pour l'IdP. Les utilisateurs finaux voient ce nom lorsqu'ils se connectent.

Charger des fichiers de chaîne de certificats

Téléchargez les fichiers de certificat pour constituer votre chaîne de certificats. Les fichiers doivent être au format .pem ou .der.

Téléchargez tous les fichiers et cliquez sur Construire la chaîne de certificats. La chaîne et ses certificats s'affichent.

Cliquez sur Réinitialiser une chaîne de certificats si vous souhaitez remplacer la chaîne actuelle par une nouvelle.

La Carte intelligente de cet IdP est

Sélectionnez les caractéristiques de sécurité associées à cet IdP Carte intelligente : Protégé par PIN, Protégé par matériel.

Okta utilise ces caractéristiques pour déterminer comment cet IdP est sollicité pour les utilisateurs dans les politiques.

Nom d'utilisateur de l'IdP

Sélectionnez un attribut Carte intelligente dans le menu déroulant à utiliser comme nom d’utilisateur IdP. Vous pouvez également définir un nom d’utilisateur personnalisé à l’aide du langage d’expression Okta. Consultez Expressions idpUser de carte à puce et Expressions.

Comparer à

Sélectionnez un attribut Okta dans le menu déroulant. La valeur Nom d'utilisateur IdP est comparée à cette valeur pour trouver un compte utilisateur existant dans Okta.

Autoriser plusieurs identités correspondant aux critères

Facultatif. Cochez la case si vous souhaitez autoriser la correspondance du Nom d'utilisateur IdP avec plusieurs identités qui satisfont les Critères de correspondance. Cela permet à vos utilisateurs finaux d'utiliser une Carte intelligente pour s'identifier sous différentes identités et s'authentifier dans les comptes correspondants.

Si aucune correspondance n’est trouvée pendant l'enrôlement

Sélectionnez ce qu'il convient de faire si aucun compte utilisateur correspondant n'est trouvé dans Okta pendant enrôlement, lorsque l'authentificateur Carte intelligente est configuré.

• Refuser l'enrôlement : l'utilisateur final n'est pas autorisé à s'enrôler. Il s'agit de l'option la plus sécurisée.
• Affecter la carte à puce à l'utilisateur : Affecter la Carte intelligente à l'utilisateur actuel.

Les restrictions suivantes s'appliquent lorsque vous sélectionnez l'option permettant d'affecter la Carte intelligente à l'utilisateur :

• Utilisez une Carte intelligente protégée par code PIN.
• Les attributs de profil suivants ne peuvent pas être mis à jour lors de l'enrôlement :
  • Nom d'utilisateur
  • Adresse e-mail principale
  • Adresse e-mail secondaire
  • Tous les attributs personnalisés utilisés comme identificateurs multiples
• Si un attribut de correspondance ou de mappage est restreint, la demande d'enrôlement est refusée.
• Soyez conscient des risques liés aux mises à jour de profil non autorisées, lorsqu'un utilisateur tente de s'enrôler avec une Carte intelligente et un code PIN appartenant à un autre utilisateur.

La Carte intelligente est enrôlée pour l'utilisateur actuel et toutes les valeurs d'attributs sont mises à jour à partir des valeurs Carte intelligente.

Si aucune correspondance n’est trouvée lors de la connexion

Sélectionnez l’action à effectuer si aucun compte utilisateur correspondant n’est trouvé dans Okta lors de la tentative de connexion.

• Rediriger vers la page de connexion Okta : l’utilisateur final est redirigé vers la page de connexion Okta.
• Créer un nouvel utilisateur (JIT) : Okta crée un utilisateur Active dans Universal Directory. Indiquez comment créer le compte Just in Time (JIT) dans Paramètres JIT.

Source de profil

Mettre à jour les attributs des utilisateurs existants : mettez à jour le profil utilisateur existant avec les attributs de mappage correspondants récupérés depuis la Carte intelligente.

Les restrictions suivantes s'appliquent :

• Pour les mises à jour d'attributs de profil, le paramètre Si aucune correspondance n'est trouvée lors de la connexion doit être Créer un nouvel utilisateur (JIT).
• Les attributs de profil suivants ne peuvent pas être mis à jour :
  • Nom d'utilisateur
  • Adresse e-mail principale
  • Adresse e-mail secondaire
  • Tous les attributs personnalisés utilisés comme identificateurs multiples
• Si un attribut de mappage est restreint, le profil n'est pas mis à jour.
• Si plusieurs utilisateurs correspondent aux critères, le profil n'est pas mis à jour.

Mapper les attributs de profil obligatoires

Mappez les attributs Carte intelligente aux attributs de profil utilisateur requis dans Okta. Les attributs de profil utilisateur Okta requis par défaut sont login, first name, last name et email. Cependant, selon votre configuration, d’autres attributs peuvent être obligatoires.

L’attribut Carte intelligente que vous avez sélectionné pour Nom d'utilisateur IdP est mappé à l’attribut login dans Universal Directory lors de la création d’un utilisateur JIT. Dans les mappages Éditeur de profil, vérifiez que la valeur mappée à l’attribut login respecte vos exigences de nom d’utilisateur.

Cliquez sur Modifier le profil et les mappages pour mapper les valeurs dans Éditeur de profil. Consultez Mapper les attributs de profil.

Spécifier les valeurs supplémentaires requises pour les certificats

Facultatif. En plus des valeurs requises par Okta, vous pouvez spécifier des valeurs de certificat supplémentaires requises pour créer le compte JIT. Les certificats sans ces valeurs se voient refuser l’accès.

Sélectionnez un attribut de Carte intelligente dans le menu déroulant et indiquez la valeur de certificat requise correspondante. Vous pouvez également challengenir une valeur personnalisée avec Okta Expression Language.

Pour plusieurs attributs, exigez

Si vous exigez plus d'attributs, sélectionnez si tous ou certains d'entre eux sont requis pour créer le compte JIT.

Affectation de groupe

Facultatif. Sélectionnez des groupes auxquels l'utilisateur créé par JIT est affecté. Vous pouvez affecter l'utilisateur à plusieurs groupes.