La autenticación mediante certificado se habilita y configura en la función de administración de directorios de la consola de administración de vRealize Automation.

Requisitos

  • Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios.

  • (Opcional) Lista de identificadores de objeto (OID) de políticas de certificados válidas para la autenticación de certificado.

  • Para comprobar la revocación, la ubicación del archivo de la CRL, la dirección URL del servidor OCSP.

  • (Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.

  • Contenido del formulario de consentimiento, si se va a habilitar un formulario de consentimiento para mostrarlo antes de la autenticación.

Procedimiento

  1. Como administrador de tenants, navegue a Administración > Administración de directorios > Conectores
  2. En la página Conectores, seleccione el vínculo Trabajo para el conector que se vaya a configurar.
  3. Haga clic en Adaptadores de autenticación y después en CertificateAuthAdapter.

    Se le redirige a la página de inicio de sesión del administrador de identidades.

  4. En la fila de CertificateAuthAdapter, haga clic en Editar.
  5. Configure la página Adaptador de autenticación de certificado.
    Nota:

    El asterisco indica que el campo es obligatorio. El resto de los campos son opcionales.

    Opción

    Descripción

    *Nombre

    Es necesario un nombre. El nombre predeterminado es CertificateAuthAdapter. Puede cambiarlo.

    Habilitar adaptador de certificado

    Active esta casilla para habilitar la autenticación de certificado.

    *Certificados de CA raíz e intermedios

    Seleccione los certificados que desee cargar. Puede seleccionar varios certificados de CA raíz e intermedios que estén codificados como DER o PEM.

    Certificados de CA cargados

    Los archivos de certificado cargados aparecen en la sección Certificados de CA cargados del formulario.

    Debe reiniciar el servicio para que los nuevos certificados estén disponibles.

    Haga clic en Reiniciar servicio web para reiniciar el servicio y añadir los certificados al servicio de confianza.

    Nota:

    Cuando se reinicia el servicio, no se habilita la autenticación de certificado. Una vez reiniciado el servicio, proceda a configurar esta página. Si hace clic en Guardar al final de la página, se habilita la autenticación de certificado en el servicio.

    Usar correo electrónico si no hay UPN en el certificado

    Si el nombre principal de usuario (UPN) no existe en el certificado, active esta casilla para usar el atributo emailAddress como extensión de nombre alternativo del firmante para validar las cuentas de usuario.

    Políticas de certificados aceptadas

    Cree una lista de los identificadores de objeto que se aceptan en las extensiones de las políticas de certificados.

    Escriba los números de ID de objeto (OID) para la política de emisión de certificados. Haga clic en Añadir otro valor para añadir más OID.

    Habilitar revocación de certificados

    Active esta casilla para habilitar la comprobación de revocación de certificados. Esto impide la autenticación de los usuarios con certificados de usuario revocados.

    Usar CRL de certificados

    Active esta casilla para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no.

    Ubicación de la CRL

    Escriba la ruta de archivo del servidor o local desde la que recuperar la CRL.

    Habilitar revocación con OCSP

    Active la casilla para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para obtener el estado de revocación de un certificado.

    Usar CRL en caso de error de OCSP

    Si configura tanto CRL como OCSP, puede activar esta casilla para recurrir de nuevo a la CRL si la comprobación con OCSP no está disponible.

    Enviar nonce de OCSP

    Active esta casilla si desea que se envíe en la respuesta el identificador único de la solicitud de OCSP.

    URL de OCSP

    Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación.

    Certificado de firma del respondedor OCSP

    Escriba la ruta del certificado OCSP para el respondedor, /path/to/file.cer.

    Habilitar formulario de consentimiento antes de autenticación

    Active esta casilla para incluir una página de formulario de consentimiento que aparezca antes de que los usuarios inicien sesión en su portal de Mis aplicaciones mediante la autenticación de certificado.

    Contenido del formulario de consentimiento

    Escriba el texto que aparece en el formulario de consentimiento en este cuadro de texto.

  6. Haga clic en Guardar.

Qué hacer a continuación

  • Añada el método de autenticación mediante certificado a la política de acceso predeterminada. Navegue a Administración > Administración de directorios > Políticas y haga clic en Editar política predeterminada para editar las reglas de la política predeterminada y añadir la opción de Certificado para convertirla en el primer método de autenticación de la política predeterminada. Los certificados deben ser el primer método de autenticación indicado en la regla de la política para que no se produzca ningún error en la autenticación de certificado.

  • Cuando se configura la autenticación de certificado y el dispositivo del servicio esté configurado tras un equilibrador de carga, asegúrese de que el conector de Directories Management esté configurado con paso a través SSL en el equilibrador de carga y no para finalizar SSL en el equilibrador de carga. Esta configuración garantiza que el protocolo de enlace SSL se encuentre entre el conector y el cliente para pasar el certificado al conector.