6.5.3. X.509 クライアント証明書認証のブラウザーフローへの追加
- レルムを選択し、認証リンクをクリックし、「Browser」フローを選択します。
- 組み込み「参照」フローのコピーを作成します。新しいフローに区別のある名前を付けます。"X.509 Browser"
- ドロップダウンを使用して、コピーしたフローを選択し、「実行の追加」をクリックします。
- ドロップダウンリストから「X509/Validate Username Form」を選択し、「Save」をクリックします。
- up/down arrows を使用して、「Browser Forms」実行の上に移動し、「X509/Validate Username Form」の順序を変更し、要件を「ALTERNATIVE」に設定します。
- "Bindings" タブを選択し、「Browser Flow」のドロップダウンを見つけます。ドロップダウンメニューから新規作成された X509 ブラウザーフローを選択し、「Save」をクリックします。
- X.509 クライアント証明書認証の設定
User Identity Source
- クライアント証明書からユーザー ID を抽出する方法を定義します。
Canonical DN representation enabled
(オプション)- 正規の形式を使用して識別名を判断するかどうかを定義します。この形式は、公式の Java API ドキュメントで詳細に説明されています。このオプションは、2 つの Match SubjectDN using regular expression および Match IssuerDN using regular expression にのみ影響します。新しい Red Hat Single Sign-On インスタンスを設定する場合は、このオプションを有効にすることが推奨されます。既存の Red Hat Single Sign-On インスタンスとの互換性を保つため、このオプションは無効のままにします。
Enable Serial Number hexadecimal representation
(オプション)- シリアル番号の 16 進数表現を使用するオプション。RFC5280, Section-4.1.2.2 を参照してください。記号ビット 1 に設定されたシリアル番号は、00 octet で囲まれている必要があります。例:10 進数値 161 のシリアル番号、または RFC5280 に準拠した 16 進数表示の a1 では、00a1 としてエンコードする必要があります。詳細は RFC5280, appendix-B を参照してください。
A regular expression
(オプション)- 証明書 ID を抽出するためにフィルターとして使用する正規表現を定義します。正規表現には単一のグループが含まれている必要があります。
User Mapping Method
- 証明書の ID を既存ユーザーに一致させる方法を定義します。ユーザー名またはメールアドレスは、ユーザー名またはメールアドレスで既存のユーザーを検索します。Custom Attribute Mapper は、証明書 ID に一致するカスタム属性を使用して既存のユーザーを検索します。カスタム属性の名前は設定可能です。
A name of user attribute
(オプション)- 証明書 ID に対して値と照合されるカスタム属性。属性マッピングが複数の値に関連している場合は、複数のカスタム属性に関連します。以下に例を示します。'Certificate Serial Number および IssuerDN'.
CRL Checking Enabled
(オプション)- 証明書失効リストを使用して、証明書の失効ステータスを確認するかどうかを定義します。
Enable CRL Distribution Point to check certificate revocation status
(オプション)- CDP を使用して証明書失効リストのステータスを確認するかどうかを定義します。ほとんどの PKI 認証局には、証明書に CDP が含まれます。
CRL file path
(オプション)-
CRL リストを含むファイルへのパスを定義します。
CRL Checking Enabled
オプションをオンにする場合は、値を有効なファイルへのパスにする必要があります。 OCSP Checking Enabled
(オプション)- Online Certificate Status Protocol を使用して証明書失効リストのステータスを確認するかどうかを定義します。
OCSP Responder URI
(オプション)- 証明書の OCSP レスポンダー URI の値を上書きできるようにします。
Validate Key Usage
(オプション)- 証明書の KeyUsage 拡張ビットが設定されているかどうかを確認します。たとえば、「digitalSignature,KeyEncipherment」は、KeyUsage 拡張のビット 0 と 2 がアサートされているかどうかを確認します。キー使用の検証を無効にするには、パラメーターを空欄のままにします。RFC5280, Section-4.2.13 を参照してください。サーバーは、発行元 CA が重要なものとしてフラグを付け、キー使用拡張機能の不一致のある場合にのみエラーを出します。
Validate Extended Key Usage
(オプション)- Extended Key Usage 拡張機能で定義された 1 つ以上の目的を検証します。RFC5280, Section-4.2.1.12 を参照してください。Extended Key Usage の検証を無効にするには、パラメーターを空欄のままにします。サーバーは、発行元 CA が重要なものとしてフラグを付け、キー使用拡張機能の不一致のある場合にのみエラーを出します。
Bypass identity confirmation
- 設定されている場合、X.509 クライアント証明書認証により、証明書 ID の確認が求められず、認証に成功するとユーザーに自動的に署名されます。