Configure el método de autenticación de certificado (implementación en la nube) desde la página Métodos de autenticación en la consola de VMware Identity Manager y, a continuación, seleccione este método de autenticación para utilizarlo en el proveedor de identidades integrado.

Puede configurar la autenticación de certificado x509 para permitir que los clientes se autentiquen con certificados en sus dispositivos móviles y de sobremesa. Consulte Configurar un certificado o adaptador de tarjeta inteligente para utilizarlo con VMware Identity Manager.

Requisitos previos

  • Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios.

  • (Opcional) Lista de identificadores de objeto (OID) de políticas de certificados válidas para la autenticación de certificado.

  • Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.

  • (Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.

  • Contenido del formulario de consentimiento, si se muestra antes de la autenticación.

Procedimiento

  1. En la pestaña Administración de acceso e identidad de la consola de VMware Identity Manager, seleccione Administrar > Métodos de autenticación.
  2. En la sección Métodos de autenticación, haga clic en el icono Certificado (implementación en la nube).
  3. Configure la página del adaptador de autenticación del servicio de certificado.
    Nota:

    Un asterisco indica que el cuadro de texto es obligatorio. El resto de los cuadros de texto son opcionales.

    Opción

    Descripción

    *Nombre

    Es necesario un nombre. El nombre predeterminado es CertificateAuthAdapter. Puede cambiarlo.

    Habilitar adaptador de certificados

    Seleccione esta casilla para habilitar la autenticación de certificados.

    *Certificados de CA intermedio y raíz

    Seleccione los certificados que desee cargar. Puede seleccionar varios certificados de CA raíz e intermedios que estén codificados como DER o PEM.

    Certificados de CA cargados

    Los archivos de certificado cargados aparecen en la sección Certificados de CA cargados del formulario.

    Orden de búsqueda de identificador

    Seleccione el orden de búsqueda para encontrar el identificador de usuario en el certificado.

    • upn. El valor de UserPrincipalName del nombre alternativo del sujeto

    • correo electrónico. La dirección de correo electrónico del nombre alternativo del sujeto.

    • sujeto. El valor de UID del sujeto.

    Validar el formato UPN

    Active esta casilla para validar el formato del cuadro de texto UserPrincipalName.

    Tiempo de espera de la solicitud

    Introduzca el tiempo en segundos para la espera de una respuesta. Un valor de cero (0) significa que la espera de la respuesta es indefinida.

    Directivas de certificados aceptadas

    Cree una lista de los identificadores de objeto que se aceptan en las extensiones de las políticas de certificados.

    Escriba los números de ID de objeto (OID) para la política de emisión de certificados. Haga clic en Añadir otro valor para añadir más OID.

    Habilitar revocación de certificados

    Active esta casilla para habilitar la comprobación de revocación de certificados. La comprobación de la revocación impide la autenticación de los usuarios con certificados de usuario revocados.

    Usar CRL de los certificados

    Active esta casilla para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no.

    Ubicación de la CRL

    Escriba la ruta de archivo del servidor o local desde la que recuperar la CRL.

    Habilitar revocación con OCSP

    Active la casilla para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para obtener el estado de revocación de un certificado.

    Usar CRL en caso de error de OCSP

    Si configura tanto CRL como OCSP, puede seleccionar esta casilla para recurrir de nuevo a la CRL si la comprobación con OCSP no está disponible.

    Enviar nonce de OCSP

    Seleccione esta casilla si desea que se envíe en la respuesta el identificador único de la solicitud de OCSP.

    URL de OCSP

    Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación.

    Origen de URL de OCSP

    Seleccione el origen que se utilizará para la comprobación de revocación.

    • Solo configuración. Realice la comprobación de revocación de certificados mediante la URL de OCSP proporcionada en el cuadro de texto para validar la cadena de certificados completa.

    • Solo certificado (obligatorio). Realice la comprobación de revocación de certificados mediante la URL de OCSP que existe en la extensión AIA de cada certificado de la cadena. Todos los certificados de la cadena deben tener una URL de OCSP definida, de lo contrario, se produce un error en la comprobación de revocación de certificados.

    • Solo certificado (opcional). Realice la comprobación de revocación de certificados solo mediante la URL de OCSP que existe en la extensión AIA del certificado. No compruebe la revocación si la URL de OCSP no existe en la extensión AIA del certificado.

    • Certificado con reserva de configuración. Realice la comprobación de revocación de certificados mediante la URL de OCSP extraída de la extensión AIA de cada certificado de la cadena, si la URL de OCSP está disponible. Si la URL de OCSP no está en la extensión AIA, compruebe la revocación mediante la URL de OCSP configurada en el cuadro de texto URL de OCSP. El cuadro de texto URL de OCSP debe configurarse con la dirección del servidor OCSP.

    Certificado de firma de quien responde de OCSP

    Introduzca la ruta del certificado OCSP para quien responde, /ruta/al/archivo.cer.

    Certificados firmados OCSP cargados

    Los archivos de certificado cargados aparecen en esta sección.

    Habilitar el formulario de consentimiento antes de la autenticación

    Seleccione esta casilla para que aparezca una página de formulario de consentimiento antes de que los usuarios inicien sesión en su portal de Workspace ONE mediante la autenticación de certificado.

    Contenido del formulario de consentimiento

    Escriba el texto que aparece en el formulario de consentimiento en este cuadro de texto.

  4. Haga clic en Guardar.

Qué hacer a continuación

  • Asocie el método de autenticación Certificado (implementación en la nube) en el proveedor de identidades integrado. Consulte Configurar el proveedor de identidades integrado.

  • Agregue el método de autenticación de certificado (implementación en la nube) a la directiva de acceso predeterminada. Consulte Administrar métodos de autenticación que se apliquen a los usuarios.

  • Cuando se configura la autenticación de certificado (implementación en la nube) y el dispositivo del servicio está configurado detrás de un equilibrador de carga, asegúrese de que VMware Identity Manager esté configurado con acceso directo a SSL en el equilibrador de carga y no para finalizar SSL en el equilibrador de carga. Este es el puerto en el que está instalado el certificado de acceso directo a SSL. Esta configuración garantiza que el protocolo de sincronización SSL se encuentra entre el servicio y el cliente para pasar el certificado al conector. Consulte Instalar un certificado de acceso directo.