Sie konfigurieren die Authentifizierungsmethode „Zertifikat (Cloud-Bereitstellung)“ auf der Seite „Authentifizierungsmethoden“ der Workspace ONE Access-Konsole und wählen dann die Authentifizierungsmethode aus, die im integrierten Identitätsanbieter verwendet werden soll.
Voraussetzungen
- Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat.
- (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.
- Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.
- (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.
- Inhalt des Zustimmungsformulars, wenn vor der Authentifizierung ein Zustimmungsformular angezeigt wird.
Prozedur
- Wählen Sie auf der Registerkarte „Identitäts- und Zugriffsmanagement“ die Option aus.
- Klicken Sie in der Konfigurationsspalte Zertifikat (Cloud-Bereitstellung) auf das Stiftsymbol.
- Aktivieren Sie die Geräte-Compliance-Authentifizierung und legen Sie die maximale Anzahl an gescheiterten Anmeldeversuchen fest. Die anderen Textfelder sind vorab mit den konfigurierten Workspace ONE UEM-Werten gefüllt.
- Konfigurieren Sie die Seite „Authentifizierungsadapter des Zertifikatsdienstes“.
Option Beschreibung Zertifikatsadapter aktivieren Aktivieren Sie das Kontrollkästchen, um die Zertifikatauthentifizierung zu aktivieren. *Root- und Zwischen-CA-Zertifikate Wählen Sie die hochzuladenden Zertifikatsdateien aus. Sie können mehrere Root- und Zwischen-CA-Zertifikate auswählen, die im DER- oder PEM-Format codiert sind. Hochgeladene CA-Zertifikate Die hochgeladenen Zertifikatsdateien sind im Abschnitt „Hochgeladene CA-Zertifikate“ des Formulars aufgeführt. Suchreihenfolge für Benutzer-Bezeichner Wählen Sie die Suchreihenfolge aus, um die Benutzer-ID innerhalb des Zertifikats zu suchen.
- UPN. Der Wert "UserPrincipalName" des Alternative Name für Betreff (Subject Alternative Name, SAN)
- E-Mail. Die E-Mail-Adresse des Alternative Name für Betreff.
- Betreff. Der UID-Wert aus dem Betreff. Wenn die UID im Betreff-DN nicht gefunden wird, wird der UID-Wert im Textfeld „CN“ verwendet, vorausgesetzt, das Textfeld „CN“ ist konfiguriert.
UPN-Format validieren Aktivieren Sie dieses Kontrollkästchen, um das Format des UserPrincipalName-Textfelds zu validieren. Zeitüberschreitung für Anforderung Geben Sie die Zeit in Sekunden ein, um auf eine Antwort zu warten. Ein Wert von Null (0) bedeutet, dass das Warten auf die Antwort unbestimmt ist. Zertifikatsrichtlinien wurden akzeptiert Erstellen Sie eine Liste mit Objektkennungen, die in den Erweiterungen der Zertifikatsrichtlinien akzeptiert werden. Geben Sie die Objekt-ID-Nummern (OID) für die Zertifikatausstellungsrichtlinie ein. Klicken Sie auf Weiteren Wert hinzufügen, um weitere OIDs hinzuzufügen.
Zertifikatsperrung aktivieren Aktivieren Sie das Kontrollkästchen, um die Zertifikatsperrüberprüfung zu aktivieren. Durch die Aktivierung der Sperre wird verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen. CRL von Zertifikaten verwenden Aktivieren Sie dieses Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation Lists, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren. CRL-Speicherort Geben Sie den Serverdateipfad oder den lokalen Dateipfad ein, von dem die CRL geladen werden kann. OCSP-Sperrung aktivieren Aktivieren Sie das Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren. CRL im Falle eines OCSP-Fehlers verwenden Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist. OCSP-Nonce senden Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten. OCSP-URL Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein. OCSP-URL-Quelle Wählen Sie die Quelle für die Sperrüberprüfung. - Nur Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mit der OCSP-URL aus dem Textfeld aus, um die gesamte Zertifikatskette zu validieren.
- Nur Zertifikat (erforderlich). Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL, die in der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette vorhanden ist. Für alle Zertifikate in der Kette muss eine OCSP-URL definiert sein, sonst schlägt die Zertifikatsperrüberprüfung fehl.
- Nur Zertifikat (optional). Führen Sie die Zertifikatsperrüberprüfung nur mithilfe der OCSP-URL aus, die in der AIA-Erweiterung des Zertifikats vorhanden ist. Überprüfen Sie die Sperrung nicht, wenn die OCSP-URL in der AIA-Erweiterung des Zertifikats nicht vorhanden ist.
- Zertifikat mit Fallback auf Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL aus, die aus der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette extrahiert wurde, wenn die OCSP-URL verfügbar ist. Wenn die OCSP-URL nicht in der AIA-Erweiterung ist, überprüfen Sie die Sperrung mithilfe der OCSP-URL, die in dem OCSP-URL-Textfeld konfiguriert wurde. Das OCSP-URL-Textfeld muss mit der OCSP-Serveradresse konfiguriert werden.
Signaturzertifikat des OCSP-Antwortdienstes Geben Sie den Pfad des OSCP-Zertifikats für den Antwortdienst: /path/to/file.cer ein. OCSP-Signaturzertifikate hochladen In diesem Abschnitt werden die hochgeladenen Zertifikatdateien aufgelistet. Zustimmungsformular vor Authentifizierung aktivieren Aktivieren Sie dieses Kontrollkästchen, um eine Seite mit einem Zustimmungsformular anzuzeigen, bevor sich die Benutzer mit der Zertifikatauthentifizierung bei ihrem Workspace ONE-Portal anmelden. Inhalt des Zustimmungsformulars Geben Sie hier den Text ein, der im Zustimmungsformular angezeigt werden soll. - Klicken Sie auf Speichern.
Nächste Maßnahme
- Weisen Sie die Authentifizierungsmethode „Zertifikat (Cloud-Bereitstellung)“ im integrierten Identitätsanbieter zu. Siehe Konfigurieren eines integrierten Identitätsanbieters in Workspace ONE Access.
- Fügen Sie der Standardzugriffsrichtlinie die Zertifikatauthentifizierungsmethode hinzu. Siehe Verwalten von Zugriffsrichtlinien.
- (Lokale Bereitstellungen) Wenn die Zertifikatauthentifizierung konfiguriert ist und die Dienst-Appliance hinter dem Lastausgleichsdienst eingerichtet ist, müssen Sie sicherstellen, dass der Workspace ONE Access Connector mit SSL-Passthrough am Lastausgleichsdienst konfiguriert ist, d. h. SSL darf nicht im Lastenausgleichsdienst beendet werden. Diese Konfiguration stellt sicher, dass das SSL-Handshake zwischen Konnektor und Client stattfindet, damit das Zertifikat an den Konnektor übergeben wird.