スマートカードIDプロバイダーを追加する

1件以上の証明書をアップロードして、Organizationのスマートカードへの署名で使用する証明書チェーンを構築します。証明書は、Privacy Enhanced Mail(PEM)またはDistinguished Encoding Rules(DER)形式にする必要があります。

はじめに

PKI証明書チェーンのフォーマット

スマートカードIdPの追加

  1. Admin Console[Security(セキュリティ)][Identity Providers(IDプロバイダー)]に移動します。
  2. [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
  3. [Smart Card IdP(スマートカードIdP)]をクリックします。
  4. [Next(次へ)]をクリックします。
  5. IDプロバイダーの[Name(名前)]を、ユーザーに分かりやすく入力します。
  6. 次のように証明書チェーンを構築します。
    1. [Browse(ブラウズ)] をクリックしてファイルエクスプローラーを開きます。追加する証明書ファイルを選択して[Open(開く)]をクリックします。
    2. 別の証明書を追加するには、[Add Another(別に追加)]をクリックしてステップ1を繰り返します。
    3. [Build certificate chain(証明書チェーンを構築)]をクリックします。成功すると、チェーンとその証明書が表示されます。構築に失敗した場合、問題を解消してから再試行します。

      現在のチェーンを新しいものと入れ替えたい場合は、[Reset certificate chain(証明書チェーンをリセット)]をクリックします。

  7. 期間について[Cache CRL for(次の間CRLをキャッシュ:)]を選択します。Oktaがダウンロードの成功後にCRLを有効と見なす期間を選択します。

    [Cache CRL for(次の間CRLをキャッシュ:)]オプションは廃止される予定です。Oktaは、CRLで公開された次の更新の有効期限に準拠します。

  8. Oktaユーザーを特定するための属性を[IdP Username(IdPユーザー名)]ドロップダウンリストから選択するか、[Okta Expression Language]を入力します(「スマートカードのidpUser式」と「」を参照)。利用できる属性は次の通りです。
    • idpuser.subjectAltNameUpn
    • idpuser.subjectAltNameEmail
    • idpuser.subjectAltNameUuid
    • idpuser.subjectKeyIdentifier
    • idpuser.subjectCn
    • idpuser.subjectO
    • idpuser.subjectOu
    • idpuser.subjectUid
    • idpuser.sha1PublicKeyHash
  9. Okta照合を行う値を[Okta Username(Oktaユーザー名)][Email(メール)][Okta Username or Email(Oktaユーザー名またはメール)]から選択します。

    Oktaにサインインするユーザーには、既存のOktaアカウントが必要です。アカウントのOktaユーザー名またはメールアドレスは、[IdP username(IdPユーザー名)]に定義されている属性または式に一致する必要があります。

    10. [IDP Extensible Matching(IDP拡張照合)]機能が有効な場合、[Okta Username or Email(Oktaユーザー名またはメール)]一致オプションは利用できません。代わりとして、Oktaはドロップダウンリストから選択されたカスタム属性と照合を行います。

  10. [Finish(終了)]をクリックします。代替の認証手法としてPIVカードを受け入れるようにOrgOrganizationが構成されました。

次のタスク

エンドユーザーとしてスマートカード/PIVでサインインする