您可以从 VMware Identity Manager 控制台上的“身份验证方法”页面中配置证书(云部署)身份验证方法,然后选择该身份验证方法以在内置身份提供程序中使用。
您可以配置 x509 证书身份验证,以便允许客户端在其桌面和移动设备上使用证书进行身份验证。请参阅配置用于 VMware Identity Manager 的证书或智能卡适配器。
前提条件
- 从对用户提供的证书进行签名的 CA 那里获取根证书和中间证书。
- (可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
- 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。
- (可选)OCSP 响应签名证书文件位置。
- 同意表单内容(如果同意表单在身份验证之前显示)。
过程
- 在 VMware Identity Manager 控制台的“身份和访问管理”选项卡中,选择。
- 在“身份验证方法”部分中,单击证书 (云部署) 图标。
- 配置“证书服务身份验证适配器”页面。
| 选项 |
描述 |
| *名称 |
名称必填。默认名称为 CertificateAuthAdapter。您可以对此名称进行更改。 |
| 启用证书适配器 |
选中此复选框可启用证书身份验证。 |
| *根 CA 证书和中间 CA 证书 |
选择要上载的证书文件。您可以选择多个编码为 DER 或 PEM 的根 CA 证书和中间 CA 证书。 |
| 上载的 CA 证书 |
将在表单的“上载的 CA 证书”部分中列出上载的证书文件。 |
| 标识符搜索顺序 |
选择要在证书中查找用户标识符的搜索顺序。
- UPN。主体备用名称的 UserPrincipalName 值
- 电子邮件。主体备用名称中的电子邮件地址。
- 主体。主体中的 UID 值。
|
| 验证 UPN 格式 |
启用该复选框以验证 UserPrincipalName 文本框的格式。 |
| 请求超时 |
输入等待响应的时间(秒)。值为零 (0) 表示等待响应时间为无限长。 |
| 接受的证书策略 |
创建在证书策略扩展中接受的对象标识符列表。 输入证书颁发策略的对象 ID 号 (Object ID, OID)。单击添加其他值以添加其他 OID。 |
| 启用证书吊销 |
选中此复选框可启用证书吊销检查。吊销检查可防止已吊销用户证书的用户进行身份验证。 |
| 使用证书中的 CRL |
选中此复选框可使用由颁发证书的 CA 所发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态(吊销或未吊销)。 |
| CRL 位置 |
输入从中检索 CRL 的服务器文件路径或本地文件路径。 |
| 启用 OCSP 吊销 |
选中此复选框可使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。 |
| OCSP 失败时使用 CRL |
如果配置 CRL 和 OCSP,您可以选中此框以在 OCSP 检查不可用时改用 CRL。 |
| 发送 OCSP 随机值 |
如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中此复选框。 |
| OCSP URL |
如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。 |
| OCSP URL 源 |
选择要用于吊销检查的源。
- 仅限配置。使用文本框中提供的 OCSP URL 执行证书吊销检查,以验证整个证书链。
- 仅限证书 (必需)。使用证书链中每个证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。证书链中的每个证书都必须定义 OCSP URL,否则证书吊销检查会失败。
- 仅限证书 (可选)。仅使用证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。如果证书 AIA 扩展中不存在 OCSP URL,则不检查吊销。
- 可回退到配置的证书。当 OCSP URL 可用时,使用从证书链中每个证书的 AIA 扩展中提取的 OCSP URL 执行证书吊销检查。如果 AIA 扩展中没有 OCSP URL,则使用“OCSP URL”文本框中配置的 OCSP URL 检查吊销。“OCSP URL”文本框中必须配置 OCSP 服务器地址。
|
| OCSP 响应者的签名证书 |
输入响应者的 OCSP 证书路径 (/path/to/file.cer)。 |
| 上载 OCSP 签名证书 |
此部分列出了上载的证书文件。 |
| 在身份验证前启用同意表单 |
选中此复选框可包含在用户使用证书身份验证登录到其 Workspace ONE 门户之前显示的同意表单页面。 |
| 同意表单内容 |
在此文本框中键入同意表单中显示的文本。 |
- 单击保存。
