Die Zertifikatsauthentifizierung lässt sich über die Verzeichnisverwaltungs-Funktion der vRealize Automation-Verwaltungskonsole aktivieren und konfigurieren.

Voraussetzungen

  • Abrufen des Root-Zertifikats und der Zwischen-Zertifikate von der Zertifizierungsstelle (CA), die die Zertifikate der Benutzer signiert hat.

  • (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatauthentifizierung.

  • Für Sperrprüfungen: Den CRL-Speicherort und die URL des OCSP-Servers.

  • (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.

  • Inhalt des Zustimmungsformulars, wenn vor der Authentifizierung ein Zustimmungsformulars angezeigt werden soll.

Prozedur

  1. Navigieren Sie als Mandantenadministrator zu Administration > Verzeichnisverwaltung > Konnektoren.
  2. Wählen Sie auf der Seite „Konnektoren“ den Worker-Link für den Connector aus, der konfiguriert wird.
  3. Klicken Sie auf Authentifizierungsadapter und dann auf CertificateAuthAdapter.

    Sie werden auf die Anmeldeseite des Identity Managers umgeleitet.

  4. Klicken Sie in der Zeile „CertificateAuthAdapter“ auf Bearbeiten.
  5. Konfigurieren Sie die Seite „Zertifikat-Authentifizierungsadapter“.
    Anmerkung:

    Ein Asterisk (*) gibt an, welche Felder erforderlich sind. Alle anderen Felder sind optional auszufüllen.

    Option

    Beschreibung

    *Name

    Der Name ist erforderlich. Der Standardname lautet „CertificateAuthAdapter“. Sie können diesen Namen ändern.

    Zertifikatsadapter aktivieren

    Aktivieren Sie das Kontrollkästchen, um die Zertifikatauthentifizierung zu aktivieren.

    *Root- und Zwischen-CA-Zertifikate

    Wählen Sie die hochzuladenden Zertifikatsdateien aus. Sie können mehrere Root- und Zwischen-CA-Zertifikate auswählen, die im DER- oder PEM-Format codiert sind.

    Hochgeladene CA-Zertifikate

    Die hochgeladenen Zertifikatsdateien sind im Abschnitt „Hochgeladene CA-Zertifikate“ des Formulars aufgeführt.

    Sie müssen den Dienst neu starten, damit die neuen Zertifikate verfügbar sind.

    Klicken Sie auf Webservice neu starten, um den Dienst neu zu starten, und die Zertifikate in die Liste der vertrauenswürdigen Dienste aufzunehmen.

    Anmerkung:

    Ein Neustart des Dienstes aktiviert nicht die Zertifikatauthentifizierung. Fahren Sie mit der Konfiguration dieser Seite fort, nachdem der Dienst erneut gestartet wurde. Wenn Sie am Ende der Seite auf Speichern klicken, wird die Zertifikatauthentifizierung des Dienstes aktiviert.

    E-Mail verwenden, wenn kein UPN im Zertifikat vorhanden ist

    Wenn der Benutzer-Prinzipalname (User Principal Name = UPN) nicht im Zertifikat existiert, aktivieren Sie dieses Kontrollkästchen, um das Attribut „emailAddress“ als Erweiterung des Alternativer Antragstellernamens für die Validierung der Benutzerkonten zu verwenden.

    Zertifikatsrichtlinien wurden akzeptiert

    Erstellen Sie eine Liste mit Objektkennungen, die in den Erweiterungen der Zertifikatsrichtlinien akzeptiert werden.

    Geben Sie die Objekt-ID-Nummern (OID) für die Zertifikatausstellungsrichtlinie ein. Klicken Sie auf Weiteren Wert hinzufügen, um weitere OIDs hinzuzufügen.

    Zertifikatsperrung aktivieren

    Aktivieren Sie das Kontrollkästchen, um die Zertifikatsperrüberprüfung zu aktivieren. Dies verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen.

    CRL von Zertifikaten verwenden

    Aktivieren Sie das Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (CRL, Certificate Revocation Lists) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren.

    CRL-Speicherort

    Geben Sie den Serverdateipfad oder den lokalen Dateipfad ein, von dem die CRL geladen werden kann.

    OCSP-Sperrung aktivieren

    Aktivieren Sie das Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren.

    CRL im Falle eines OCSP-Fehlers verwenden

    Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist.

    OCSP-Nonce senden

    Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten.

    OCSP-URL

    Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serverdadresse für die Widerrufsprüfung ein.

    Signaturzertifikat des OCSP-Antwortdienstes

    Geben Sie den Pfad des OCSP-Zertifikats für den Antwortdienst: /path/to/file.cer ein.

    Zustimmungsformular vor der Authentifizierung aktivieren

    Aktivieren Sie dieses Kontrollkästchen, um eine Seite mit einem Zustimmungsformular anzuzeigen, bevor sich die Benutzer mit der Zertifikatauthentifizierung bei ihrem „Meine Apps“-Portal anmelden.

    Inhalt des Zustimmungsformulars

    Geben Sie hier den Text ein, der im Zustimmungsformular angezeigt werden soll.

  6. Klicken Sie auf Speichern.

Nächste Maßnahme

  • Fügen Sie die Zertifikatsauthentifizierungsmethode der Standardzugriffsrichtlinie hinzu. Navigieren Sie zu Administration > Verzeichnisverwaltung > Richtlinien und klicken Sie aufStandardrichtlinie bearbeiten, um die Standardrichtlinienregeln zu bearbeiten, und auf „Zertifikat hinzufügen“, um diese zur ersten Authentifizierungsmethode für die Standardrichtlinie zu machen. Das Zertifikat muss die erste in der Richtlinienregel aufgeführte Authentifizierungsmethode sein, andernfalls schlägt die Zertifikatauthentifizierung fehl.

  • Wenn die Zertifikatauthentifizierung konfiguriert ist und die Service-Appliance hinter dem Lastenausgleichsdienst eingerichtet ist, müssen Sie sicherstellen, dass der Directories Management Connector mit SSL-Durchleitung am Lastenausgleichsdienst konfiguriert ist, d.h. SSL darf nicht im Lastenausgleichsdienst beendet werden. Diese Konfiguration stellt sicher, dass das SSL-Handshake zwischen Connector und Client stattfindet, damit das Zertifikat an den Connector übergeben wird.