スマートカードIDプロバイダーを追加する

スマートカードをIDプロバイダー(IdP)として追加し、その設定を構成します。これにより、エンドユーザーは自分の個人ID検証(PIV)または共通アクセスカード(CAC)の資格情報を使用してサインインできるようになります。

スマートカードIdPを追加する

  1. Admin Console[Security(セキュリティ)][Identity Providers(IDプロバイダー)]に移動します。
  2. [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
  3. [Smart Card(スマートカード)]を選択して[Next(次へ)]をクリックします。[スマートカードIdPを構成]ページが開きます。

スマートカードIdPを構成する

[スマートカードIdPを構成]ページで、以下の設定を構成します。

フィールド

Name(名前) IdPの名前を入力します。エンドユーザーがサインインすると、この名前が表示されます。
Upload certificate chain files(証明書チェーンファイルをアップロード)

証明書ファイルをアップロードして証明書チェーンを構築します。証明書ファイルは.pemまたは.der形式でなければなりません。

すべてのファイルをアップロードして[Build certificate chain(証明書チェーンを構築)]をクリックします。チェーンとその証明書が表示されます。

現在のチェーンを新しいものと入れ替えるには、[Reset certificate chain(証明書チェーンをリセット)]をクリックします。

Cache CRL for(次の間CRLをキャッシュ:)

CRLが正常にダウンロードされた後にOktaがそのCRLを有効と見なす期間を選択します。

このオプションは廃止される予定です。Oktaは、このオプションが廃止された場合には、自動のより弾力的なCRLキャッシングメカニズムを提供する予定です。
IdP Username(IdPユーザー名) IdPユーザー名として使用するスマートカード属性をドロップダウンメニューから選択します。Okta式言語を使用してカスタムユーザー名を定義することもできます。「スマートカードのidpUser式」と「」を参照してください。
Match against(照合対象) ドロップダウンメニューからOkta属性を選択します。Okta内の既存のユーザーを見つけるために[IdP username(IdPユーザー名)]とこの値が照合されます。
Allow multiple identities matching the criteria(条件との複数IDの一致を許可する) 任意。[IdP username(IdPユーザー名)][Match against criteria(照合対象条件)]を満たす複数のIDの照合を許可する場合は、このチェックボックスを選択します。これにより、エンドユーザーは1つのスマートカードを複数の異なるIDに使用し、対応するアカウントに対して認証することができます。
If no match is found(一致が見つからない場合)

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

一致するユーザーアカウントがOktaに見つからない場合に何をするかを選択します。

  • [Redirect to Okta sign-in page(Oktaサインインページにリダイレクト)]:エンドユーザーはOktaサインインページにリダイレクトされます。
  • [Create new user (JIT)(新規ユーザーを作成(JIT)]Oktaは新しい[Active(アクティブ)]ユーザーをUniversal Directoryに作成します。[JIT settings(JIT設定)]でジャストインタイム(JIT)アカウントの作成方法を指定します。
Map required profile attributes(必要なプロファイル属性をマッピング)

スマートカード属性を、Oktaで必要なユーザープロファイル属性にマッピングします。デフォルトで必要なOktaユーザープロファイル属性は、[login(ログイン)][first name(名)][last name(姓)][email(メール)]です。ただし、構成によっては追加のプロファイル属性が必要になる場合があります。

[IdP username(IdPユーザー名)]に選択したスマートカードは、JITユーザーの作成時にUniversal Directory[login(ログイン)]属性にマッピングされます。プロファイルエディターのマッピングで、[login(ログイン)]属性にマッピングされている値がユーザー名要件を満たしていることを確認します。

プロファイルエディターで値をマッピングするには、[Edit profile and mappings(プロファイルとマッピングを編集)]をクリックします。「プロファイル属性をマップする」を参照してください。

Specify additional required certificate values(その他の必要な証明書値を指定)

任意。Oktaに必要な値に加えて、JITアカウントの作成に必要な追加の証明書値を指定できます。これらの値がない証明書はアクセスを拒否されます。

ドロップダウンメニューからスマートカード属性を選択し、対応する必要な証明書値を指定します。Okta Expression Languageを使用してカスタム値を定義することもできます。

For multiple attributes require(複数の属性が必要な場合)

複数の追加属性が必要な場合は、JITアカウントを作成するためにそれらの属性がすべて必要か、その一部が必要かを選択します。

Group assignments(グループの割り当て)

任意。JITで作成されたユーザーを割り当てるグループを選択します。ユーザーは複数のグループに割り当てることができます。

This Smart Card IdP is(このスマートカードIdPのセキュリティ特性)

このスマートカードIdPに関連付けられているセキュリティ特性を選択します。オプションは[PIN protected(PIN保護)]と[Hardware protected(ハードウェア保護)]です。

Oktaはこれらの特性を使用し、ポリシーでこのIdPがユーザーにどのようにプロンプト表示されるかを決定します。

これらの設定を構成したら、[Finish(完了)]をクリックします。[IDプロバイダー]ページのリストにスマートカードIdPが表示されます。

次の手順

エンドユーザーとしてスマートカード/PIVでサインインする