Configure o método de autenticação de Certificado (Implantação em Nuvem) na página Métodos de Autenticação no console do Workspace ONE Access e, em seguida, selecione o método de autenticação a ser usado no provedor de identidade integrado.
Pré-requisitos
- Obtenha o certificado raiz e os certificados intermediários da CA que assinou os certificados apresentados por seus usuários.
- (Opcional) Lista de Identificadores de Objeto (OID) das políticas de certificado válidas para a autenticação de certificado.
- Para a verificação de revogação, a localização do arquivo da CRL e a URL do servidor OCSP.
- (Opcional) Local do arquivo de certificado de autenticação de resposta do OCSP.
- Conteúdo do formulário de consentimento se aparecer um formulário de consentimento antes da autenticação.
Procedimento
- Na guia Gerenciamento de Identidade e Acesso, acesse .
- Na coluna Configurar do Certificado (Implantação em nuvem), clique no ícone de lápis.
- Habilite a autenticação de conformidade de dispositivo e defina o número máximo de tentativas de login falhas. As outras caixas de texto são pré-preenchidas com os valores configurados do Workspace ONE UEM.
- Configure a página Adaptador de Autenticação do Serviço de Certificado.
Opção Descrição Ative o adaptador de certificado Marque a caixa de seleção para habilitar a autenticação de certificado. *Certificados da CA raiz e intermediária Selecione os arquivos de certificado a serem carregados. É possível selecionar vários certificados de CA intermediária e de CA raiz codificados como DER ou PEM. Certificados de CA Enviados Os arquivos de certificado carregados são listados na seção Certificados CA Enviados do formulário. Ordem de Pesquisa do Identificador do Usuário Selecione a ordem de pesquisa para localizar o identificador do usuário no certificado.
- upn. O valor UserPrincipalName do Nome Alternativo da Entidade
- email. O endereço de e-mail do Nome Alternativo da Entidade.
- subject. O valor UID da Entidade. Se o UID não for encontrado no DN da entidade, será usado o valor de UID na caixa de texto CN, se a caixa de texto CN estiver configurada.
Validar Formato do UPN Ative essa caixa de seleção para validar o formato da caixa de texto UserPrincipalName. Tempo Limite da Solicitação Insira, em segundos, quanto tempo aguardar por uma resposta. Definir o valor como zero (0) significa que a espera pela resposta é indefinida. Diretrizes de Certificado Aceitas Crie uma lista de identificadores de objeto que são aceitos nas extensões de políticas de certificado. Insira os números de identificação de objeto (OID) para a política de emissão de certificado. Clique em Adicionar outro valor para adicionar OIDs adicionais.
Ativar revogação de cert Selecione a caixa de seleção para ativar a verificação de revogação de certificado. A verificação de revogação impede a autenticação dos usuários que têm certificados de usuário revogados. Usar CRL dos Certificados Marque a caixa de seleção para usar a lista de revogação de certificados (CRL) publicada pela CA que emitiu os certificados para validar o status de um certificado revogado ou não revogado. Local da CRL Digite o caminho do arquivo do servidor ou o caminho do arquivo local a partir do qual recuperar a CRL. Ativar a revogação do OCSP Marque a caixa de seleção para usar o protocolo de validação de certificado do Protocolo de status de certificado online (OCSP) para obter o status de revogação de um certificado. Usar CRL em caso de falha do OCSP Se você configurar a CRL e o OCSP, poderá marcar esta caixa para fazer fallback por meio do uso da CRL se a verificação do OCSP não estiver disponível. Enviar nonce do OCSP Marque essa caixa de seleção se você desejar que o identificador único da solicitação de OCSP seja enviado na resposta. URL do OCSP Se você ativou a revogação do OCSP, digite o endereço do servidor do OCSP para a verificação de revogação. Fonte da URL OCSP Selecione a origem a ser usada para a verificação de revogação. - Somente Configuração. Realize a verificação de revogação de certificado usando a URL do OCSP fornecida na caixa de texto para validar toda a cadeia de certificados.
- Somente Certificado (obrigatório). Realize a verificação de revogação de certificado usando a URL do OCSP que existe na extensão AIA de cada certificado na cadeia. Todos os certificados na cadeia devem ter uma URL do OCSP definida; caso contrário, a verificação de revogação de certificado apresentará falha.
- Somente Certificado (opcional). Execute somente a verificação de revogação de certificado usando a URL do OCSP que existe na extensão AIA do certificado. Não verifique a revogação se a URL do OCSP não existir na extensão AIA do certificado.
- Certificado com fallback para a configuração. Realize a verificação de revogação de certificado usando a URL do OCSP extraída da extensão AIA de cada certificado da cadeia, quando a URL do OCSP está disponível. Se a URL do OCSP não estiver na extensão AIA, verifique a revogação usando a URL do OCSP configurada na caixa de texto URL do OCSP. A caixa de texto URL do OCSP deve ser configurada com o endereço do servidor do OCSP.
Certificado de autenticação do respondente do OCSP Insira o caminho ao certificado OCSP para o respondente, /path/to/file.cer. Carregar Certificados de Autenticação OCSP Os arquivos de certificado carregados são listados nesta seção. Ativar Formulário de Consentimento antes da Autenticação Marque essa caixa de seleção para incluir uma página de formulário de consentimento a qual aparecerá antes de os usuários fazerem login no portal Workspace ONE usando a autenticação de certificado. Conteúdo do Formulário de Consentimento Digite o texto que aparece no formulário de consentimento nessa caixa de texto. - Clique em Salvar.
O que Fazer Depois
- Associe o método de autenticação de Certificado (Implementação em Nuvem) no provedor de identidade integrado. Consulte o Configurar um provedor de identidade integrado no Workspace ONE Access.
- Adicione o método de autenticação de certificado à política de acesso padrão. Consulte o Gerenciando políticas de acesso.
- (Implantações locais) Quando a Autenticação de Certificado é configurada e o dispositivo de serviço é configurado atrás de um balanceador de carga, certifique-se de que o Workspace ONE Access conector esteja configurado com passagem de SSL no balanceador de carga e não configurado para encerrar o SSL no balanceador de carga. Essa configuração garante que o handshake de SSL aconteça entre o conector e o cliente a fim de transmitir o certificado para o conector.