スマートカードIDプロバイダーを追加する

スマートカードをIDプロバイダー(IdP)として追加し、その設定を構成します。これにより、エンドユーザーは自分の個人ID検証(PIV)または共通アクセスカード(CAC)の資格情報を使用してサインインできるようになります。

スマートカードIdPを追加する

  1. Admin Console[Security(セキュリティ)][Identity Providers(IDプロバイダー)]に移動します。

  2. [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
  3. [Smart Card(スマートカード)]を選択して[Next(次へ)]をクリックします。[スマートカードIdPを構成]ページが開きます。

スマートカードIdPを構成する

[スマートカードIdPを構成]ページで、以下の設定を構成します。

フィールド

Name(名前)

IdPの名前を入力します。エンドユーザーがサインインすると、この名前が表示されます。

Upload certificate chain files(証明書チェーンファイルをアップロード)

証明書ファイルをアップロードして証明書チェーンを構築します。証明書ファイルは.pemまたは.der形式でなければなりません。

すべてのファイルをアップロードして[Build certificate chain(証明書チェーンを構築)]をクリックします。チェーンとその証明書が表示されます。

現在のチェーンを新しいものと入れ替えるには、[Reset certificate chain(証明書チェーンをリセット)]をクリックします。

This Smart Card IdP is(このスマートカードIdPのセキュリティ特性)

このスマートカードIdPに関連付けられているセキュリティ特性を選択します。オプションは[PIN protected(PIN保護)]と[Hardware protected(ハードウェア保護)]です。

Oktaはこれらの特性を使用し、ポリシーでこのIdPがユーザーにどのようにプロンプト表示されるかを決定します。

IdP Username(IdPユーザー名)

IdPユーザー名として使用するスマートカード属性をドロップダウンメニューから選択します。Okta式言語を使用してカスタムユーザー名を定義することもできます。「スマートカードのidpUser式」と「」を参照してください。

Match against(照合対象)

ドロップダウンメニューからOkta属性を選択します。Okta内の既存のユーザーを見つけるために[IdP username(IdPユーザー名)]とこの値が照合されます。

Allow multiple identities matching the criteria(条件との複数IDの一致を許可する)

任意。[IdP username(IdPユーザー名)][Match against criteria(照合対象条件)]を満たす複数のIDの照合を許可する場合は、このチェックボックスを選択します。これにより、エンドユーザーは1つのスマートカードを複数の異なるIDに使用し、対応するアカウントに対して認証することができます。

If no match is found during enrollment(登録時に一致が見つからない場合)

スマートカードAuthenticatorが構成されているときに、登録中に一致するユーザーアカウントがOktaで見つからなかった場合に何を行うかを選択します。

  • [Deny enrollment(登録を拒否)]:エンドユーザーは登録できません。これは最も安全なオプションです。
  • [Assign Smart Card to the user(ユーザーにスマートカードを割り当てる)]:現在のユーザーにスマートカードを割り当てます。

ユーザーにスマートカードを割り当てるオプションを選択した場合、次の制限が適用されます。

  • PIN保護されたスマートカードを使用します。
  • 次のプロファイル属性は登録中に更新できません。
    • Username(ユーザー名)
    • Primary Email (プライマリメールアドレス)
    • Secondary email(セカンダリメールアドレス)
    • 複数の識別子として使用される任意のカスタム属性
  • 一致またはマッピング属性が制限されている場合、登録要求は拒否されます。
  • ユーザーが別のユーザーに属するスマートカードとPINを使って登録を試みるという、未認可のプロファイル更新のリスクに注意してください。

スマートカードが現在のユーザー向けに登録され、すべての属性値がスマートカード値から更新されます。

If no match is found during sign in(サインイン時に一致が見つからない場合)

サインインの試行時に、一致するユーザーアカウントがOktaに見つからない場合に何をするかを選択します。

  • [Redirect to Okta sign-in page(Oktaサインインページにリダイレクト)]:エンドユーザーはOktaサインインページにリダイレクトされます。
  • [Create new user (JIT)(新規ユーザーを作成(JIT)]Oktaは新しい[Active(アクティブ)]ユーザーをUniversal Directoryに作成します。[JIT settings(JIT設定)]でジャストインタイム(JIT)アカウントの作成方法を指定します。

プロファイルソース

[Update attributes for existing users(既存のユーザーの属性を更新する)]スマートカードから取得した対応するマッピング属性で既存のユーザープロファイルを更新します。

次の制限事項が適用されます。

  • プロファイル属性の更新には、[If no match is found during sign-in(サインイン時に一致が見つからない場合)]設定を[Create new user (JIT)(新しいユーザーを作成(JIT))]にする必要があります。
  • 次のプロファイル属性は更新できません。
    • Username(ユーザー名)
    • Primary Email (プライマリメールアドレス)
    • Secondary email(セカンダリメールアドレス)
    • 複数の識別子として使用される任意のカスタム属性。
  • いずれかのマッピング属性が制限されている場合、プロファイルは更新されません。
  • 複数のユーザーが条件に一致する場合、プロファイルは更新されません。

Map required profile attributes(必要なプロファイル属性をマッピング)

スマートカード属性を、Oktaで必要なユーザープロファイル属性にマッピングします。デフォルトで必要なOktaユーザープロファイル属性は、[login(ログイン)][first name(名)][last name(姓)][email(メール)]です。ただし、構成によってはさらにプロファイル属性が必要になる場合があります。

[IdP username(IdPユーザー名)]に選択したスマートカードは、JITユーザーの作成時にUniversal Directory[login(ログイン)]属性にマッピングされます。プロファイルエディターのマッピングで、[login(ログイン)]属性にマッピングされている値がユーザー名要件を満たしていることを確認します。

プロファイルエディターで値をマッピングするには、[Edit profile and mappings(プロファイルとマッピングを編集)]をクリックします。「プロファイル属性をマップする」を参照してください。

Specify additional required certificate values(その他の必要な証明書値を指定)

任意。Oktaに必要な値に加えて、JITアカウントの作成に必要な証明書値をさらに指定できます。これらの値がない証明書はアクセスを拒否されます。

ドロップダウンメニューからスマートカード属性を選択し、対応する必要な証明書値を指定します。Okta Expression Languageを使用してカスタム値を定義することもできます。

For multiple attributes require(複数の属性が必要な場合)

属性がさらに必要な場合は、JITアカウントを作成するためにそれらの属性がすべて必要か、その一部が必要かを選択します。

Group assignments(グループの割り当て)

任意。JITで作成されたユーザーを割り当てるグループを選択します。ユーザーは複数のグループに割り当てることができます。

これらの設定を構成したら、[Finish(完了)]をクリックします。[IDプロバイダー]ページのリストにスマートカードIdPが表示されます。

次の手順

スマートカードまたはPIVカード構成をテストする