Configurar la autenticación basada en certificados

Configure el método de autenticación Certificado (implementación en la nube) desde la página Métodos de autenticación en la consola de administración y, a continuación, seleccione el método de autenticación que se utilizará en el proveedor de identidades integrado.

Por qué y cuándo se efectúa esta tarea

Puede configurar la autenticación de certificado x509 para permitir que los clientes se autentiquen con certificados en sus dispositivos móviles y de sobremesa. Consulte Configurar un certificado o adaptador de tarjeta inteligente para utilizarlo con VMware Identity Manager.

Requisitos

Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios.
(Opcional) Lista de identificadores de objeto (OID) de políticas de certificados válidas para la autenticación de certificado.
Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.
(Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.
Contenido del formulario de consentimiento, si se muestra antes de la autenticación.

Procedimiento

En la pestaña Administración de acceso e identidad de la consola de administración, seleccione Administrar > Métodos de autenticación.
En la sección Métodos de autenticación, haga clic en el icono Certificado (implementación en la nube).

Configure la página del adaptador de autenticación del servicio de certificado.

Nota:

Un asterisco indica que el campo es obligatorio. Los otros campos son opcionales.

Opción	Descripción
Habilitar adaptador de certificado	Seleccione esta casilla para habilitar la autenticación de certificados.
*Certificados de CA intermedio y raíz	Seleccione los certificados que desee cargar. Puede seleccionar varios certificados de CA raíz e intermedios que estén codificados como DER o PEM.
Certificados de CA descargados	Los archivos de certificado cargados aparecen en la sección Certificados de CA cargados del formulario.
Usar correo electrónico si no hay UPN en el certificado	Si el nombre principal de usuario (UPN) no existe en el certificado, active esta casilla para usar el atributo emailAddress como extensión de nombre alternativo del firmante para validar las cuentas de usuarios.
Políticas de certificados aceptadas	Cree una lista de los identificadores de objeto que se aceptan en las extensiones de las políticas de certificados. Escriba los números de ID de objeto (OID) para la política de emisión de certificados. Haga clic en Añadir otro valor para añadir más OID.
Habilitar revocación de certificados	Active esta casilla para habilitar la comprobación de revocación de certificados. La comprobación de la revocación impide la autenticación de los usuarios con certificados de usuario revocados.
Usar CRL de certificados	Active esta casilla para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no.
Ubicación de la CRL	Escriba la ruta de archivo del servidor o local desde la que recuperar la CRL.
Habilitar revocación con OCSP	Active la casilla para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para obtener el estado de revocación de un certificado.
Usar CRL en caso de error de OCSP	Si configura tanto CRL como OCSP, puede activar esta casilla para recurrir de nuevo a la CRL si la comprobación con OCSP no está disponible.
Enviar nonce de OCSP	Seleccione esta casilla si desea que se envíe en la respuesta el identificador único de la solicitud de OCSP.
URL de OCSP	Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación.
Certificado de firma de quien responde de OCSP	Introduzca la ruta del certificado OCSP para quien responde, `/ruta/al/archivo.cer`.
Habilitar el formulario de consentimiento antes de la autenticación	Seleccione esta casilla para que aparezca una página de formulario de consentimiento antes de que los usuarios inicien sesión en su portal de Workspace ONE mediante la autenticación de certificado.
Contenido del formulario de consentimiento	Escriba el texto que aparece en el formulario de consentimiento en este cuadro de texto.

Haga clic en Guardar.

Qué hacer a continuación

Asocie el método de autenticación Certificado (implementación en la nube) en el proveedor de identidades integrado. Consulte Configurar el proveedor de identidades integrado.
Agregue el método de autenticación de certificado a la directiva de acceso predeterminada. Consulte Administrar métodos de autenticación que se apliquen a los usuarios.