スマートカードIDプロバイダーを追加する

スマートカードをIDプロバイダー(IdP)として追加し、その設定を構成します。これにより、エンドユーザーは自分の個人ID検証(PIV)または共通アクセスカード(CAC)の資格情報を使用してサインインできるようになります。

スマートカードIdPを追加する

  1. Admin Consoleで、セキュリティ(Security) > IDプロバイダー(Identity Providers)に移動します。

  2. IDプロバイダーを追加(Add Identity Provider)(Add identity provider)をクリックします。
  3. スマートカード を選択して次へ(Next)をクリックします。スマートカードIdPを構成(Configure Smart Card IdP)ページが開きます。

スマートカードIdPを構成する

スマートカードIdPを構成(Configure Smart Card IdP)ページで、以下の設定を構成します。

フィールド

名前(Name)

IdPの名前を入力します。エンドユーザーがサインインすると、この名前が表示されます。

証明書チェーンファイルをアップロード(Upload certificate chain files)

証明書ファイルをアップロードして証明書チェーンを構築します。証明書ファイルは.pemまたは.der形式でなければなりません。

すべてのファイルをアップロードして証明書チェーンを構築(Build certificate chain)をクリックします。チェーンとその証明書が表示されます。

現在のチェーンを新しいものと入れ替えるには、証明書チェーンをリセット(Reset certificate chain)をクリックします。

このスマートカード IdP(This Smart Card IdP is)

このスマートカードIdP(PIN protected)に関連付けられているセキュリティ特性を選択します。オプションはPIN保護(PIN protected)(Hardware protected)と[Hardware protected(ハードウェア保護)]です。

Oktaはこれらの特性を使用し、ポリシーでこのIdPがユーザーにどのようにプロンプト表示されるかを決定します。

IdPユーザー名(IdP Username)

IdPユーザー名として使用するスマートカード属性をドロップダウンメニューから選択します。Okta式言語を使用してカスタムユーザー名を定義することもできます。スマートカードのidpUser式を参照してください。

照合対象(Match against)

ドロップダウンメニューからOkta属性を選択します。Okta内の既存のユーザーを見つけるためにIdPユーザー名(IdP username)とこの値が照合されます。

条件との複数IDの一致を許可する(Allow multiple identities matching the criteria)

任意。IdPユーザー名(IdP username)照合対象条件(Match against criteria)を満たす複数のIDの照合を許可する場合は、このチェックボックスを選択します。これにより、エンドユーザーは1つのスマートカードを複数の異なるIDに使用し、対応するアカウントに対して認証することができます。

登録時に一致が見つからない場合

スマートカード Authenticatorが構成されているときに、登録中に一致するユーザーアカウントがOktaで見つからなかった場合に何を行うかを選択します。

  • 登録を拒否(Deny enrollment):エンドユーザーは登録できません。これは、最も安全なオプションです。
  • ユーザーにスマートカードを割り当てる(Assign Smart Card to the user):現在のユーザーにスマートカードを割り当てます。

ユーザーにスマートカードを割り当てるオプションを選択した場合には、次の制限が適用されます。

  • PIN保護されたスマートカードを使用します。
  • 次のプロファイル属性は登録中に更新できません:
    • ユーザー名(Username)
    • プライマリメールアドレス(Primary email)
    • セカンダリメールアドレス(Secondary email)
    • 複数のIDとして使用される任意のカスタム属性
  • 一致またはマッピング属性が制限されている場合、登録要求は拒否されます。
  • ユーザーが別のユーザーに属するスマートカードとPINを使って登録を試みるという、未承認のプロファイル更新のリスクに注意してください。

スマートカードが現在のユーザー向けに登録され、すべての属性値がスマートカード値から更新されます。

サインイン時に一致が見つからない場合

サインインの試行時に、一致するユーザーアカウントがOktaに見つからない場合に何をするかを選択します。

  • Oktaサインインページにリダイレクト(Redirect to Okta sign-in page):エンドユーザーはOktaサインインページにリダイレクトされます。
  • Create new user (JIT)(新規ユーザーを作成(JIT)Oktaは新しいアクティブ(Active)ユーザーをOkta Universal Directoryに作成します。JIT設定(JIT settings)でジャストインタイム(JIT)アカウントの作成方法を指定します。

プロファイルソース

既存のユーザーの属性を更新する(Update attributes for existing users)スマートカードから取得した対応するマッピング属性で既存のユーザープロファイルを更新します。

次の制限事項が適用されます:

  • プロファイル属性の更新には 、サインイン時に一致が見つからない場合(If no match is found during sign-in)新しいユーザーを作成(JIT)(Create new user (JIT))にする必要があります。
  • 次のプロファイル属性は更新できません。
    • ユーザー名(Username)
    • プライマリメールアドレス(Primary email)
    • セカンダリメールアドレス(Secondary email)
    • 複数のIDとして使用される任意のカスタム属性。
  • いずれかのマッピング属性が制限されている場合、プロファイルは更新されません。
  • 複数のユーザーが条件に一致する場合、プロファイルは更新されません。

必要なプロファイル属性をマッピング(Map required profile attributes)

スマートカード属性を、Oktaで必要なユーザープロファイル属性にマッピングします。デフォルトで必要なOktaユーザープロファイル属性は、ログイン(login)名(first name)姓(last name)メール(email)です。ただし、構成によってはさらにプロファイル属性が必要になる場合があります。

IdPユーザー名(IdP username)に選択したスマートカード属性は、JITユーザーの作成時にOkta Universal Directoryログイン(login)属性にマッピングされます。プロファイルエディターのマッピングで、ログイン(login)属性にマッピングされている値がユーザー名要件を満たしていることを確認します。

プロファイルエディターで値をマッピングするには、プロファイルとマッピングを編集(Edit profile and mappings)をクリックします。「プロファイル属性をマップする」を参照してください。

その他の必要な証明書値を指定(Specify additional required certificate values)

任意。Oktaに必要な値に加えて、JITアカウントの作成に必要な証明書値をさらに指定できます。これらの値がない証明書はアクセスを拒否されます。

ドロップダウンメニューからスマートカード属性を選択し、対応する必要な証明書値を指定します。Okta Expression Languageを使用してカスタム値を定義することもできます。

複数の属性が必要な場合(For multiple attributes require)

属性がさらに必要な場合は、JITアカウントを作成するためにそれらの属性がすべて必要か、その一部が必要かを選択します。

グループの割り当て(Group assignments)

任意。JITで作成されたユーザーを割り当てるグループを選択します。ユーザーは複数のグループに割り当てることができます。

これらの設定を構成したら、完了(Finish)をクリックします。IDプロバイダー(Identity Providers)ページのリストにスマートカード IdPが表示されます。

次の手順

スマートカードまたはPIVカード構成をテストする