Vous activez et configurez l'authentification par certificat dans la console d'administration d'Access Point.

Conditions préalables

  • Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs. Reportez-vous à la section Obtenir des certificats d'autorités de certification.
  • Vérifiez que les métadonnées SAML d'Access Point sont ajoutées au fournisseur de services et que les métadonnées SAML du fournisseur de services sont copiées dans le dispositif Access Point.
  • (Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat.
  • Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP.
  • (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.
  • Le contenu du formulaire de consentement, si un tel formulaire s'affiche avant l'authentification.

Procédure

  1. Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
  2. Dans Paramètres généraux, section Paramètres d'authentification, cliquez sur Afficher.
  3. Cliquez sur l'engrenage dans la ligne du certificat X.509.
  4. Configurez le formulaire du certificat X.509.
    Les zones de texte obligatoires sont indiquées par un astérisque. Toutes les autres zones de texte sont facultatives.
    Option Description
    Activer le certificat X.509 Remplacez NO par YES pour activer l'authentification par certificat.
    *Nom Attribuez un nom à cette méthode d'authentification.
    *Certificats d'autorité de certification racine et intermédiaire Cliquez sur Sélectionner pour sélectionner les fichiers de certificat à télécharger. Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui utilisent l'encodage DER ou PEM.
    Taille du cache CRL Entrez la taille du cache de la liste de révocation de certificats. La valeur par défaut est 100.
    Activer la révocation de certificat Remplacez NO par YES pour activer le contrôle de révocation de certificat. Le contrôle de la révocation empêche les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier.
    Utiliser la CRL des certificats Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider le statut d'un certificat, révoqué ou non révoqué.
    Emplacement de la CRL Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peut être récupérée.
    Autoriser la révocation OCSP Cochez la case pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'un certificat.
    Utiliser la CRL en cas de défaillance d'OCSP Si vous configurez une CRL et OCSP, vous pouvez sélectionner cette zone pour basculer vers l'utilisation de la CRL si le contrôle OCSP n'est pas disponible.
    Envoyer une valeur à usage unique OCSP Cochez cette case si vous souhaitez que l'identificateur unique de la demande OCSP soit envoyée dans la réponse.
    URL d'OCSP Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation.
    Certificat de signature du répondeur OCSP Entrez le chemin du certificat OCSP pour le répondeur, /path/to/file.cer.
    Activer le formulaire de consentement avant l'authentification Cochez cette case pour inclure une page du formulaire de consentement qui s'affiche avant que les utilisateurs se connectent à leur portail Workspace ONE à l'aide de l'authentification par certificat.
    Contenu du formulaire de consentement Tapez ici le texte à afficher dans le formulaire de consentement.
  5. Cliquez sur Enregistrer.

Que faire ensuite

Lorsque l'authentification par certificat X.509 est configurée et que le dispositif Access Point est configuré derrière un équilibrage de charge, assurez-vous qu'Access Point est configuré avec une émulation SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettre fin à SSL au niveau de l'équilibrage de charge. Cette configuration permet de s'assurer que la négociation SSL a lieu entre Access Point et le client afin de transmettre le certificat à Access Point.