スマートカード/PIV認証のトラブルシューティング
スマートカードやPIV(個人ID検証)カードでの認証が失敗する場合は、以下の項目を確認してください。
- サブジェクトの別名:Subject Alternate Name(サブジェクトの別名)または式の結果が、指定したOkta属性と一致することを確認します。これは、メールアドレスかOktaのユーザー名である必要があります。
- 証明書チェーン:発行者の証明書チェーン全体が正しい形式でアップロードされていることを確認します。「PKI証明書チェーンのフォーマット」を参照してください。
- ユーザーアカウントの状態:ユーザーのアカウントがアクティブな状態であることを確認します。パスワードリセットはアクティブとみなされます。ユーザーアカウントのステータスについて。
- ブラウザーセッション:キャッシュの問題を避けるために、常に新しいブラウザーセッションで開始します。機能をテストする前に、すべてのブラウザーウィンドウを閉じます。
CRLエンドポイント
CRLエンドポイントの接続性をテストします。PIVカードでの認証を機能させるには、Oktaが証明書失効リストの配布ポイントに永続的にアクセスできるようにする必要があります。このOktaのアクセスは、エンドユーザーが提示する証明書に取り消しや失効がないことや、その他何らかの形で信頼が損なわれていないことを確認するために必要です。失効の確認は、PIV認証の安全性を確保するための重要なプロセスです。通常、証明書失効リストは誰でも到達可能なインターネット上のHTTPロケーションにポストされますが、安全性が非常に高められた環境において、この失効エンドポイントが公開されない場所にポストされることがあります。
Oktaが到達できる場所にCRLがポストされていることを確認するには、次の手順を実行します。
- クライアントの公開X.509証明書(末尾が.crl)から証明書失効リストのエンドポイントURLをコピーします。
- CRLエンドポイントURLをネットワークに接続していないデバイスでブラウザーに貼り付けます。
- CRLにアクセスできる場合は、.crlファイルが自動的にダウンロードされます。
- URLが401エラーを返す場合、そのURLは公開されていません。Oktaサービスはエンドポイントにアクセスできません。
詳細については、「Okta IPアドレス許可リスト」を参照してください。Okta IPがHTTP経由でCRL配布ポイントにアクセスできることを確認します。
失効の確認は、チェーン内のすべての証明書に対して行われます。PKIチェーンの中間証明書ごとに、このプロセスを繰り返す必要が生じる場合があります。
複数の証明書
複数の証明書を使用している場合は、証明書を単一のファイルにまとめます。
- 次のopensslコマンドを使用して、DERでエンコードされたルート証明書と中間証明書(拡張子が.cer、.crt)をPEMフォーマットに変換します:openssl x509 -inform der -in $input-cert-file-name -out $out-cert-file-name-with-pem-extension
- 次のコマンドを使用して、すべてのPEM証明書を単一のファイルに連結します。ルート証明書は最後に来るようにします: cat $intermediate-cert-file-1 ... $intermediate-cert-file-N $root-cert-file-with-pem-extension > trust-chain.pem
- スマートカードIDプロバイダーの作成時にtrust-chain.pemをアップロードし、他のスマートカードIDPが存在しないことを確認します。
単一ファイル内のルート証明書がPEM証明書の最後になるようにしてください。