スマートカードIDプロバイダーを追加する
1件以上の証明書をアップロードして、組織のスマートカードへの署名で使用する証明書チェーンを構築します。証明書は、Privacy Enhanced Mail(PEM)またはDistinguished Encoding Rules(DER)形式にする必要があります。
- 管理コンソールで、に移動します。
- [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
- [Smart Card IdP(スマートカードIdP)]をクリックします。
- [Next(次へ)]をクリックします。
- IDプロバイダーの名前を、ユーザーに分かりやすく入力します。
- 次のように証明書チェーンを構築します。
- [Browse(ブラウズ)] をクリックしてファイルエクスプローラーを開きます。追加したい証明書ファイルを選択して、[Open(開く)]をクリックします。
- 別の証明書を追加したい場合、[Add Another(別に追加)]をクリックしてステップ1を繰り返します。
- [Build certificate chain(証明書チェーンを構築)]をクリックします。成功すると、チェーンとその証明書が表示されます。構築に失敗した場合、問題を解消してから再試行します。
現在のチェーンを新しいものと入れ替えたい場合は、[Reset certificate chain(証明書チェーンをリセット)]をクリックします。
- 期間について[Cache CRL for(次の間CRLをキャッシュ:)]を選択します。Oktaがダウンロードの成功後にCRLを有効と見なす期間を選択します。
[Cache CRL for(次の間CRLをキャッシュ:)]オプションは廃止予定となっています。Oktaは、CRLで公開された次の更新の有効期限に準拠します。
- Oktaユーザーを見つけ出すために使用する属性を[IdP Username(IdPユーザー名)]ドロップダウンリストから選択するか、[Okta Expression Language(Okta式言語)]式を入力します(「スマート・カードのidpuser式」および「式」を参照してください)。利用可能な属性は次の通りです。
- idpuser.subjectAltNameUpn
- idpuser.subjectAltNameEmail
- idpuser.subjectAltNameUuid
- idpuser.subjectKeyIdentifier
- idpuser.subjectCn
- idpuser.subjectO
- idpuser.subjectOu
- idpuser.subjectUid
- idpuser.sha1PublicKeyHash
- Oktaが照合を行う値を選択します:[Okta Username(Oktaユーザー名)]、[Email(Eメール)]、[Okta Username or Email(Oktaユーザー名またはEメール)]。
Oktaにサインインするには、そのユーザーのOktaアカウントが存在していて、そのアカウントのOktaユーザー名またはメールアドレスが[IdP Username(IdPユーザー名)]で定義された属性または式に一致する必要があります。
- [Finish(終了)]をクリックします。代替の認証手法としてPIVカードを受け入れるように組織が構成されました。
IDP拡張照合機能が有効な場合、[Okta Username or Email(Oktaユーザー名またはEメール)]一致オプションは利用できません。代わりとして、Oktaはドロップダウンリストから選択されたカスタム属性と照合を行います。