Você habilita e configura a autenticação do certificado a partir do recurso de Gerenciamento de Diretórios do console de administração do vRealize Automation.

Pré-requisitos

  • Obtenha o certificado raiz e certificados intermediários da autoridade de certificação que assinou os certificados apresentados por seus usuários.

  • (Opcional) Lista de identificadores de objetos (OID) das políticas de certificado válidas para a autenticação de certificado.

  • Para a verificação de revogação, a localização de arquivo da CRL, a URL do servidor do OCSP.

  • (Opcional) Local do arquivo de certificado de autenticação de resposta do OCSP.

  • Conteúdo de formulário de consentimento, se se ativar a exibição de um formulário de consentimento antes da autenticação.

Procedimento

  1. Como um administrador de tenant, navegue por Administração > Gerenciamento de Diretórios > Conectores
  2. Na página Conectores, selecione o link do trabalhador para o conector que está sendo configurado.
  3. Clique em Adaptadores e depois em CertificateAuthAdapter.

    Você é redirecionado para a página de login do Identity Manager.

  4. Na linha CertificateAuthAdapter, clique em Editar.
  5. Configurar a página do adaptador de autenticação de certificado.
    Observação:

    Um asterisco indica um campo obrigatório. Todos os outros campos são opcionais.

    Opção

    Descrição

    *Nome

    O nome é obrigatório O nome padrão é CertificateAuthAdapter. Você pode alterar esse nome.

    Ative o adaptador de certificado

    Selecione a caixa de seleção para ativar a autenticação de certificado.

    *Certificados de autoridade de certificação intermediária e raiz

    Selecione os arquivos de certificado a serem carregados. Você pode selecionar vários certificados de autoridade de certificação intermediária e de autoridade de certificação raiz codificados como DER ou PEM.

    Certificados da autoridade de certificação carregados

    Os arquivos de certificado carregados são listados na seção Certificados da autoridade de certificação carregados do formulário.

    Você deve reiniciar o serviço antes de os novos certificados serem disponibilizados.

    Clique em Reiniciar serviço da Web para reiniciar o serviço e adicionar os certificados ao serviço confiável.

    Observação:

    Reiniciar o serviço não ativa a autenticação de certificado. Depois que o serviço for reiniciado, continue configurando esta página. Clicar em Salvar no final da página ativa a autenticação de certificado no serviço.

    Use um e-mail se não houver um UPN no certificado

    Se o nome principal de usuário (UPN) não existir no certificado, selecione esta caixa de seleção para usar o atributo emailAddress como a extensão Nome alternativo para o Assunto para validar contas de usuário.

    Políticas de certificado aceitas

    Crie uma lista de identificadores de objeto que são aceitos nas extensões de políticas de certificado.

    Digite os números de identificação de objeto (OID) para a política de emissão de certificado. Clique em Adicionar outro valor para adicionar OIDs adicionais.

    Ativar revogação de cert

    Selecione a caixa de seleção para ativar a verificação de revogação de certificado. Isso impede a autenticação de usuários com certificados de usuário revogados.

    Usar a CRL a partir dos certificados

    Marque a caixa de seleção para usar a lista de revogação de certificado (CRL) publicada pela autoridade de certificação que emitiu os certificados para validar o status de um certificado, revogado ou não revogado.

    Local da CRL

    Digite o caminho do arquivo do servidor ou o caminho do arquivo local a partir do qual recuperar a CRL.

    Ativar a revogação do OCSP

    Marque a caixa de seleção para usar o protocolo de validação de certificado do Protocolo de status de certificado online (OCSP) para obter o status de revogação de um certificado.

    Usar CRL em caso de falha do OCSP

    Se você configurar tanto a CRL quanto o OCSP, pode marcar esta caixa para fazer fallback ao uso da CRL se a verificação do OCSP não estiver disponível.

    Enviar nonce do OCSP

    Marque essa caixa de seleção se você desejar que o identificador único da solicitação de OCSP seja enviado na resposta.

    URL do OCSP

    Se você ativou a revogação do OCSP, digite o endereço do servidor do OCSP para a verificação de revogação.

    Certificado de autenticação do respondente do OCSP

    Digite o caminho para o certificado do OCSP para o respondente, /path/to/file.cer.

    Ativar formulário de consentimento antes da autenticação

    Marque essa caixa de seleção para incluir uma página de formulário de consentimento a qual aparecerá antes de os usuários fazerem login no portal My Apps usando a autenticação de certificado.

    Conteúdo de formulário de consentimento

    Digite o texto que aparece no formulário de consentimento nessa caixa de texto.

  6. Clique em Salvar.

O que Fazer Depois

  • Adicione o método de autenticação de certificado para a política de acesso padrão. Navegue por Administração > Gerenciamento de Diretórios > Políticas e clique em Editar Política Padrão para editar as regras de política padrão e adicionar Certificado e torná-lo o primeiro método de autenticação para a política padrão. O certificado deve ser o primeiro método de autenticação listado na regra de política, caso contrário, a autenticação de certificado falha.

  • Quando a Autenticação do Certificado é configurada e o dispositivo de serviço é configurado atrás de um balanceador de carga, certifique-se de que o Directories Management conector esteja configurado com passagem de SSL no balanceador de carga e não configurado para encerrar o SSL no balanceador de carga. Essa configuração garante que o handshake de SSL aconteça entre o conector e o cliente, a fim de passar o certificado para o conector.