Configure o método de autenticação de Certificado (Implantação em Nuvem) na página Métodos de Autenticação no console do Workspace ONE Access e, em seguida, selecione o método de autenticação a ser usado no provedor de identidade integrado.

Pré-requisitos

  • Obtenha o certificado raiz e os certificados intermediários da CA que assinou os certificados apresentados por seus usuários.
  • (Opcional) Lista de Identificadores de Objeto (OID) das políticas de certificado válidas para a autenticação de certificado.
  • (Opcional) Configure a CRL para a verificação de revogação.
  • (Opcional) Configure o servidor OCSP para verificação de revogação e conheça a URL de respondente do OCSP. Se um servidor OCSP estiver habilitado para verificação de revogação, verifique se o servidor OCSP está funcionando corretamente antes de habilitá-lo.
  • (Opcional) Local do arquivo de certificado de autenticação de resposta do OCSP.
  • Conteúdo do formulário de consentimento, se um formulário de consentimento for exibido aos usuários antes da autenticação.

Procedimento

  1. No console do Workspace ONE Access, na página Integrações > Métodos de Autenticação, selecione Certificado (implantação em nuvem)
  2. Clique em CONFIGURAR e defina as configurações de autenticação do certificado.
    1. Carregue o certificado.
      Configuração Descrição
      Ative o adaptador de certificado Para ativar a autenticação de certificado, ative a opção Habilitar Adaptador de Certificado.
      Certificados da CA raiz e intermediária Selecione os arquivos de certificado a serem carregados. É possível selecionar vários certificados de CA intermediária e de CA raiz codificados como DER ou PEM.
      Certificados de CA Enviados Os arquivos de certificado carregados são listados na seção Certificados CA Enviados do formulário.
    2. Selecione a Ordem de Pesquisa do Identificador do Usuário para localizar o identificador de usuário no certificado.
      Consulte Usando o nome principal do usuário para autenticação de certificado no Workspace ONE Access.
      Configuração Descrição
      Ordem de Pesquisa do Identificador do Usuário

      Selecione a ordem de pesquisa para localizar o identificador do usuário no certificado.

      • upn. O valor UserPrincipalName do Nome Alternativo da Entidade
      • email. O endereço de e-mail do Nome Alternativo da Entidade.
      • subject. O valor UID da Entidade. Se o UID não for encontrado no DN da entidade, será usado o valor de UID na caixa de texto CN, se a caixa de texto CN estiver configurada.
      Validar Formato do UPN Alterne essa configuração para Sim para validar o formato do UserPrincipalName.
    3. Tempo Limite da Solicitação. Insira, em segundos, quanto tempo aguardar por uma resposta. Definir o valor como zero (0) significa que a espera pela resposta é indefinida.
    4. Diretrizes de Certificado Aceitas. Crie uma lista de identificadores de objeto (OID) aceitos nas extensões de políticas de certificado. Insira o número do identificador de objeto para a política de emissão de certificado. Clique em Adicionar para adicionar OIDs.
    5. Para configurar a verificação de revogação de certificado, ative a opção Habilitar Revogação de Certificados. A verificação de revogação impede a autenticação de usuários com seus certificados de usuário revogados.

      Há suporte para a verificação de revogação das Listas de Revogação de Certificados (CRL) e do Protocolo de Status de Certificado Online (OCSP).

      Consulte Uso da verificação de revogação de certificado para autenticação de certificado no Workspace ONE Access.

      Configurar somente a CRL para a verificação de revogação

      Uma CRL é uma lista de certificados revogados publicados pela Autoridade de Certificação que emitiu os certificados. Quando você ativa a opção Usar a CRL de Certificados para revogação, o servidor do Workspace ONE Access lê uma CRL para determinar o status de revogação de um certificado de usuário. Se um certificado for revogado, a autenticação através do certificado falhará.

      Você configura qual URL da CRL deve ser usada para a verificação de revogação. Você pode ativar a URL do certificado ou inserir a URL da CRL na caixa de texto Localização da CRL. A URL é obtida do campo CRL no próprio certificado.

      Opção Descrição
      Ativar a opção Usar a CRL de Certificados e não definir um valor na configuração Localização da CRL

      Quando você ativa a opção Usar a CRL de Certificados, a lista de revogação de certificados (CRL) é obtida do campo CRL no certificado.

      Observação: Se houver um valor no valor da configuração de Localização da CRL, ele será ignorado nessa configuração.
      Defina a localização da CRL. Se você definir a localização da CRL, não ative a opção Usar a CRL de Certificados. Insira a URL da CRL da qual recuperar a CRL usada para validar o status de um certificado.
      Observação: A opção Usar a CRL de Certificados não está ativada nessa configuração.

      Configurar Somente o OCSP para a Verificação de Revogação

      Para usar apenas o OCSP para a verificação de revogação, defina as seguintes configurações.

      Observação: Se você estiver usando a Autoridade de Certificação do AirWatch com o Workspace ONE Access, ative o OCSP para verificação de revogação. Não habilite a configuração Usar a CRL de Certificados nem digite um valor de URL na caixa de texto Localização da CRL.
      Configuração Descrição
      Ativar a revogação do OCSP Para usar o protocolo de validação de certificado do Protocolo de Status de Certificado Online (OCSP) para obter o status de revogação de um certificado, ative a opção Habilitar Revogação de OCSP.
      Enviar nonce do OCSP

      Um nonce do OCSP é um identificador exclusivo usado para associar criptograficamente uma mensagem de resposta do OCSP a uma determinada mensagem de solicitação OCSP para evitar ataques de repetição.

      Se você quiser validar o certificado com o identificador exclusivo da solicitação do OCSP, ative a opção Enviar Nonce de OCSP.
      URL do OCSP

      A URL do OCSP pode ser configurada manualmente na caixa de texto URL do OCSP ou extraída da extensão de Acesso a Informações da Autoridade (AIA) do certificado que está sendo validado.

      Para definir manualmente a URL do OCSAP, insira a URL do OCSP para o servidor de verificação de revogação.
      Fonte da URL OCSP

      A opção OCSP que você seleciona ao configurar a autenticação de certificado determina como o Workspace ONE Access obtém a URL do OCSP.

      No menu suspenso, selecione a origem a ser usada para a verificação de revogação.

      • Somente Configuração. Realize a verificação de revogação de certificado usando a URL do OCSP fornecida na caixa de texto para validar toda a cadeia de certificados. A caixa de texto URL do OCSP também deve ser configurada com o endereço do servidor do OCSP para a verificação de revogação.
      • Somente Certificado (obrigatório). Realize a verificação de revogação de certificado usando a URL do OCSP que existe na extensão AIA de cada certificado na cadeia. Todos os certificados na cadeia devem ter uma URL do OCSP definida; além disso, a verificação de revogação de certificado apresentará falha.
        Observação: Se você estiver usando uma CA do AirWatch, selecione Somente Certificado (obrigatório) como a origem.
      • Somente Certificado (opcional). Execute somente a verificação de revogação de certificado usando a URL do OCSP que existe na extensão AIA do certificado. Não verifique a revogação se a URL do OCSP não existir na extensão AIA do certificado. A configuração na caixa de texto URL do OCSP é ignorada.
      • Certificado com fallback para a configuração. Realize a verificação de revogação de certificado usando a URL do OCSP extraída da extensão AIA de cada certificado da cadeia, quando a URL do OCSP está disponível. Se a URL do OCSP não estiver na extensão AIA, verifique a revogação usando a URL do OCSP configurada na caixa de texto URL do OCSP. A caixa de texto URL do OCSP deve ser configurada com o endereço do servidor do OCSP.
      Certificado de autenticação do respondente do OCSP Procure e selecione o arquivo de certificado OCSP para o respondente.
      Carregar Certificados de Autenticação OCSP Os arquivos de certificado de assinatura OCSP carregados estão listados nesta seção.

      Configurar a CRL e o OCSP para a Verificação de Revogação

      Para usar a CRL e o OCSP para a verificação de revogação, defina as configurações para a verificação de revogação da CRL e do OCSP e ative a opção Usar CRL em caso de falha de OCSP.

      Quando essa configuração é ativada, o OCSP é verificado primeiro e, se o OCSP falhar, a verificação de revogação faz backup da CRL. A verificação de revogação não fará fallback para o OCSP se a CRL falhar.
    6. Habilitar Formulário de Consentimento antes da Autenticação. Marque essa caixa de seleção para incluir uma página do formulário de consentimento a ser exibida antes que os usuários façam login no portal de Workspace ONE usando a autenticação de certificado. Na caixa de texto Conteúdo do Formulário de Consentimento, digite o texto exibido no formulário de consentimento.
  3. Clique em SALVAR.

O que Fazer Depois