Konfigurieren einer zertifikatsbasierten Authentifizierung

Sie konfigurieren die Authentifizierungsmethode „Zertifikat (Cloud-Bereitstellung)“ in der Verwaltungskonsole auf der Seite „Authentifizierung“ und wählen dann die Authentifizierungsmethode aus, die im integrierten Identitätsanbieter verwendet werden soll.

Warum und wann dieser Vorgang ausgeführt wird

Sie können x509-Zertifikatsauthentifizierung konfigurieren, um Clients die Authentifizierung mit Zertifikaten auf Desktop- und Mobilgeräten zu gestatten. Siehe Konfigurieren eines Zertifikats oder Smartcard-Adapters zur Verwendung mit VMware Identity Manager.

Voraussetzungen

Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat.
(Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.
Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.
(Optional) Speicherort des OCSP-Antwortsignaturzertifikats.
Inhalt des Zustimmungsformulars, wenn vor der Authentifizierung ein Zustimmungsformular angezeigt wird.

Prozedur

Wählen Sie in der Verwaltungskonsole auf der Registerkarte „Identitäts- und Zugriffsmanagement“ Verwalten > Authentifizierung aus.
Klicken Sie im Abschnitt „Authentifizierungsmethoden“ auf das Symbol Zertifikat (Cloud-Bereitstellung).

Konfigurieren Sie die Seite „Authentifizierungsadapter des Zertifikatsdienstes“.

Anmerkung:

Ein Asterisk (*) gibt an, welche Felder erforderlich sind. Die anderen Felder sind optional auszufüllen.

Option	Beschreibung
Zertifikatsadapter aktivieren	Aktivieren Sie das Kontrollkästchen, um die Zertifikatauthentifizierung zu aktivieren.
*Root- und Zwischen-CA-Zertifikate	Wählen Sie die hochzuladenden Zertifikatsdateien aus. Sie können mehrere Root- und Zwischen-CA-Zertifikate auswählen, die im DER- oder PEM-Format codiert sind.
Hochgeladene CA-Zertifikate	Die hochgeladenen Zertifikatsdateien sind im Abschnitt „Hochgeladene CA-Zertifikate“ des Formulars aufgeführt.
E-Mail verwenden, wenn kein UPN im Zertifikat vorhanden ist	Wenn der Benutzer-Prinzipalname (User Principal Name, UPN) nicht im Zertifikat vorhanden ist, aktivieren Sie dieses Kontrollkästchen, um das Attribut „emailAddress“ als Erweiterung des Alternativen Antragstellernamens für die Validierung der Benutzerkonten zu verwenden.
Zertifikatsrichtlinien wurden akzeptiert	Erstellen Sie eine Liste mit Objektkennungen, die in den Erweiterungen der Zertifikatsrichtlinien akzeptiert werden. Geben Sie die Objekt-ID-Nummern (OID) für die Zertifikatausstellungsrichtlinie ein. Klicken Sie auf Weiteren Wert hinzufügen, um weitere OIDs hinzuzufügen.
Zertifikatsperrung aktivieren	Aktivieren Sie das Kontrollkästchen, um die Zertifikatsperrüberprüfung zu aktivieren. Durch die Aktivierung der Sperre wird verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen.
CRL von Zertifikaten verwenden	Aktivieren Sie dieses Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation Lists, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren.
CRL-Speicherort	Geben Sie den Serverdateipfad oder den lokalen Dateipfad ein, von dem die CRL geladen werden kann.
OCSP-Sperrung aktivieren	Aktivieren Sie das Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren.
CRL im Falle eines OCSP-Fehlers verwenden	Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist.
OCSP-Nonce senden	Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten.
OCSP-URL	Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein.
Signaturzertifikat des OCSP-Antwortdienstes	Geben Sie den Pfad des OSCP-Zertifikats für den Antwortdienst: `/path/to/file.cer` ein.
Zustimmungsformular vor der Authentifizierung aktivieren	Aktivieren Sie dieses Kontrollkästchen, um eine Seite mit einem Zustimmungsformular anzuzeigen, bevor sich die Benutzer mit der Zertifikatauthentifizierung bei ihrem Workspace ONE-Portal anmelden.
Inhalt des Zustimmungsformulars	Geben Sie hier den Text ein, der im Zustimmungsformular angezeigt werden soll.

Klicken Sie auf Speichern.

Nächste Maßnahme

Weisen Sie die Authentifizierungsmethode „Zertifikat (Cloud-Bereitstellung)“ im integrierten Identitätsanbieter zu. Siehe Konfigurieren integrierter Identitätsanbieter.
Fügen Sie der Standardzugriffsrichtlinie die Zertifikatauthentifizierungsmethode hinzu. Siehe Verwalten der auf Benutzer anzuwendenden Authentifizierungsmethoden.