您可以配置 x509 证书身份验证,以便允许客户端在其桌面和移动设备上使用证书进行身份验证。请参阅配置用于 VMware Identity Manager 的证书或智能卡适配器

前提条件

  • 从对用户提供的证书进行签名的 CA 那里获取根证书和中间证书。
  • (可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
  • 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。
  • (可选)OCSP 响应签名证书文件位置。
  • 同意表单内容(如果同意表单在身份验证之前显示)。

过程

  1. 在管理控制台的“身份和访问管理”选项卡中,选择设置
  2. 在“连接器”页面上,选择要配置的连接器所对应的“工作线程”链接。
  3. 单击身份验证适配器,然后单击 CertificateAuthAdapter
  4. 配置“证书服务身份验证适配器”页面。
    注: 星号表示必填字段。其他字段是可选的。
    选项 描述
    *名称 名称必填。默认名称为 CertificateAuthAdapter。您可以对此名称进行更改。
    启用证书适配器 选中此复选框可启用证书身份验证。
    *根 CA 证书和中间 CA 证书 选择要上载的证书文件。您可以选择多个编码为 DER 或 PEM 的根 CA 证书和中间 CA 证书。
    上载的 CA 证书 将在表单的“上载的 CA 证书”部分中列出上载的证书文件。
    证书中没有 UPN 时使用电子邮件

    如果用户主体名称 (User Principal Name, UPN) 在证书中不存在,选中此复选框可将 emailAddress 属性作为主体备用名称扩展以验证用户帐户。

    接受的证书策略 创建在证书策略扩展中接受的对象标识符列表。

    输入证书颁发策略的对象 ID 号 (Object ID, OID)。单击添加其他值以添加其他 OID。

    启用证书吊销 选中此复选框可启用证书吊销检查。吊销检查可防止已吊销用户证书的用户进行身份验证。
    使用证书中的 CRL 选中此复选框可使用由颁发证书的 CA 所发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态(吊销或未吊销)。
    CRL 位置 输入从中检索 CRL 的服务器文件路径或本地文件路径。
    启用 OCSP 吊销 选中此复选框可使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。
    OCSP 失败时使用 CRL 如果配置了 CRL 和 OCSP,您可以选中此复选框以在 OCSP 检查不可用时改用 CRL。
    发送 OCSP 随机值 如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中此复选框。
    OCSP URL 如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。
    OCSP 响应者的签名证书 输入响应者的 OCSP 证书路径 (/path/to/file.cer)。
    在身份验证前启用同意表单 选中此复选框可包含在用户使用证书身份验证登录到其 Workspace ONE 门户之前显示的同意表单页面。
    同意表单内容 在此文本框中键入同意表单中显示的文本。
  5. 单击保存

后续步骤

  • 将证书身份验证方法添加到默认访问策略中。请参阅管理要应用于用户的身份验证方法
  • 如果配置了证书身份验证并在负载平衡器后面设置服务设备,请确保 VMware Identity Manager连接器在负载平衡器上配置为使用 SSL 直通且未配置为终止 SSL。这种配置可确保在连接器和客户端之间进行 SSL 握手以便将证书传递给连接器。