6.5.3. X.509 クライアント証明書認証のブラウザーフローへの追加

  • レルムを選択し、認証リンクをクリックし、「Browser」フローを選択します。
  • 組み込み「参照」フローのコピーを作成します。新しいフローに区別のある名前を付けます。"X.509 Browser"
  • ドロップダウンを使用して、コピーしたフローを選択し、「実行の追加」をクリックします。
  • ドロップダウンリストから「X509/Validate Username Form」を選択し、「Save」をクリックします。

x509 execution

  • up/down arrows を使用して、「Browser Forms」実行の上に移動し、「X509/Validate Username Form」の順序を変更し、要件を「ALTERNATIVE」に設定します。

x509 browser flow

  • "Bindings" タブを選択し、「Browser Flow」のドロップダウンを見つけます。ドロップダウンメニューから新規作成された X509 ブラウザーフローを選択し、「Save」をクリックします。

x509 browser flow bindings

X.509 クライアント証明書認証の設定
x509 configuration
User Identity Source
クライアント証明書からユーザー ID を抽出する方法を定義します。
Canonical DN representation enabled (オプション)
正規の形式を使用して識別名を判断するかどうかを定義します。この形式は、公式の Java API ドキュメントで詳細に説明されています。このオプションは、2 つの Match SubjectDN using regular expression および Match IssuerDN using regular expression にのみ影響します。新しい Red Hat Single Sign-On インスタンスを設定する場合は、このオプションを有効にすることが推奨されます。既存の Red Hat Single Sign-On インスタンスとの互換性を保つため、このオプションは無効のままにします。
Enable Serial Number hexadecimal representation (オプション)
シリアル番号の 16 進数表現を使用するオプション。RFC5280, Section-4.1.2.2 を参照してください。記号ビット 1 に設定されたシリアル番号は、00 octet で囲まれている必要があります。例:10 進数値 161 のシリアル番号、または RFC5280 に準拠した 16 進数表示の a1 では、00a1 としてエンコードする必要があります。詳細は RFC5280, appendix-B を参照してください。
A regular expression (オプション)
証明書 ID を抽出するためにフィルターとして使用する正規表現を定義します。正規表現には単一のグループが含まれている必要があります。
User Mapping Method
証明書の ID を既存ユーザーに一致させる方法を定義します。ユーザー名またはメールアドレスは、ユーザー名またはメールアドレスで既存のユーザーを検索します。Custom Attribute Mapper は、証明書 ID に一致するカスタム属性を使用して既存のユーザーを検索します。カスタム属性の名前は設定可能です。
A name of user attribute (オプション)
証明書 ID に対して値と照合されるカスタム属性。属性マッピングが複数の値に関連している場合は、複数のカスタム属性に関連します。以下に例を示します。'Certificate Serial Number および IssuerDN'.
CRL Checking Enabled (オプション)
証明書失効リストを使用して、証明書の失効ステータスを確認するかどうかを定義します。
Enable CRL Distribution Point to check certificate revocation status (オプション)
CDP を使用して証明書失効リストのステータスを確認するかどうかを定義します。ほとんどの PKI 認証局には、証明書に CDP が含まれます。
CRL file path (オプション)
CRL リストを含むファイルへのパスを定義します。CRL Checking Enabled オプションをオンにする場合は、値を有効なファイルへのパスにする必要があります。
OCSP Checking Enabled(オプション)
Online Certificate Status Protocol を使用して証明書失効リストのステータスを確認するかどうかを定義します。
OCSP Responder URI (オプション)
証明書の OCSP レスポンダー URI の値を上書きできるようにします。
Validate Key Usage (オプション)
証明書の KeyUsage 拡張ビットが設定されているかどうかを確認します。たとえば、「digitalSignature,KeyEncipherment」は、KeyUsage 拡張のビット 0 と 2 がアサートされているかどうかを確認します。キー使用の検証を無効にするには、パラメーターを空欄のままにします。RFC5280, Section-4.2.13 を参照してください。サーバーは、発行元 CA が重要なものとしてフラグを付け、キー使用拡張機能の不一致のある場合にのみエラーを出します。
Validate Extended Key Usage (オプション)
Extended Key Usage 拡張機能で定義された 1 つ以上の目的を検証します。RFC5280, Section-4.2.1.12 を参照してください。Extended Key Usage の検証を無効にするには、パラメーターを空欄のままにします。サーバーは、発行元 CA が重要なものとしてフラグを付け、キー使用拡張機能の不一致のある場合にのみエラーを出します。
Bypass identity confirmation
設定されている場合、X.509 クライアント証明書認証により、証明書 ID の確認が求められず、認証に成功するとユーザーに自動的に署名されます。