您可以从 Workspace ONE Access 控制台的“身份验证方法”页面中配置证书(云部署)身份验证方法,然后选择在内置身份提供程序中使用该身份验证方法。

您可以配置 x509 证书身份验证,以便允许客户端在其桌面和移动设备上使用证书进行身份验证。

请参阅配置证书以与 Workspace ONE Access 配合使用

前提条件

  • 从对用户提供的证书进行签名的 CA 那里获取根证书和中间证书。
  • (可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
  • 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。
  • (可选)OCSP 响应签名证书文件位置。
  • 同意表单内容(如果同意表单在身份验证之前显示)。

过程

  1. Workspace ONE Access 控制台的“身份和访问管理”选项卡中,选择设置
  2. 在“连接器”页面上,选择要配置的连接器所对应的“工作线程”链接。
  3. 单击身份验证适配器,然后单击 CertificateAuthAdapter
  4. Workspace ONE Access 控制台的“身份和访问管理”选项卡中,选择管理 > 身份验证方法
  5. 在“身份验证方法”部分中,单击证书 (云部署) 图标。
  6. 配置“证书服务身份验证适配器”页面。
    注: 星号表示必填字段。其他字段是可选的。
    选项 描述
    *名称 名称必填。默认名称为 CertificateAuthAdapter。您可以对此名称进行更改。
    启用证书适配器 选中此复选框可启用证书身份验证。
    *根 CA 证书和中间 CA 证书 选择要上载的证书文件。您可以选择多个编码为 DER 或 PEM 的根 CA 证书和中间 CA 证书。
    上载的 CA 证书 将在表单的“上载的 CA 证书”部分中列出上载的证书文件。
    标识符搜索顺序

    选择要在证书中查找用户标识符的搜索顺序。

    • UPN。主体备用名称的 UserPrincipalName 值
    • 电子邮件。主体备用名称中的电子邮件地址。
    • 主体。主体中的 UID 值。如果在主体 DN 中未找到 UID,则会使用 CN 字段中的 UID 值(如果配置了 CN 字段)。

    验证 UPN 格式 启用此复选框,可验证 UserPrincipalName 字段的格式。
    请求超时 输入等待响应的时间(秒)。值为零 (0) 表示等待响应时间为无限长。
    接受的证书策略 创建在证书策略扩展中接受的对象标识符列表。

    输入证书颁发策略的对象 ID 号 (Object ID, OID)。单击添加其他值以添加其他 OID。

    启用证书吊销 选中此复选框可启用证书吊销检查。吊销检查可防止已吊销用户证书的用户进行身份验证。
    使用证书中的 CRL 选中此复选框可使用由颁发证书的 CA 所发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态(吊销或未吊销)。
    CRL 位置 输入从中检索 CRL 的服务器文件路径或本地文件路径。
    启用 OCSP 吊销 选中此复选框可使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。
    OCSP 失败时使用 CRL 如果配置 CRL 和 OCSP,您可以选中此框以在 OCSP 检查不可用时改用 CRL。
    发送 OCSP 随机值 如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中此复选框。
    OCSP URL 如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。
    OCSP URL 源 选择要用于吊销检查的源。
    • 仅限配置。使用文本框中提供的 OCSP URL 执行证书吊销检查,以验证整个证书链。
    • 仅限证书 (必需)。使用证书链中每个证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。证书链中的每个证书都必须定义 OCSP URL,否则证书吊销检查会失败。
    • 仅限证书 (可选)。仅使用证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。如果证书 AIA 扩展中不存在 OCSP URL,则不检查吊销。
    • 可回退到配置的证书。当 OCSP URL 可用时,使用从证书链中每个证书的 AIA 扩展中提取的 OCSP URL 执行证书吊销检查。如果 AIA 扩展中没有 OCSP URL,则使用“OCSP URL”文本框中配置的 OCSP URL 检查吊销。“OCSP URL”文本框中必须配置 OCSP 服务器地址。
    OCSP 响应者的签名证书 输入响应者的 OCSP 证书路径 (/path/to/file.cer)。
    上载 OCSP 签名证书 此部分列出了上载的证书文件。
    在身份验证前启用同意表单 选中此复选框可包含在用户使用证书身份验证登录到其 Workspace ONE 门户之前显示的同意表单页面。
    同意表单内容 在此文本框中键入同意表单中显示的文本。
  7. 单击保存

下一步做什么

  • 在内置身份提供程序中关联证书(云部署)身份验证方法。请参阅配置内置身份提供程序

  • 将证书身份验证方法添加到默认访问策略中。请参阅管理要应用于用户的身份验证方法
  • 如果配置了证书身份验证并在负载平衡器后面设置服务设备,请确保 Workspace ONE Access 连接器在负载平衡器上配置为使用 SSL 直通且未配置为终止 SSL。这种配置确保在连接器和客户端之间进行 SSL 握手,以将证书传送到连接器。