Vous activez et configurez l'authentification par certificat dans la console d'administration d'Access Point.
Conditions préalables
- Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs. Reportez-vous à la section Obtenir des certificats d'autorités de certification.
- Vérifiez que les métadonnées SAML d'Access Point sont ajoutées au fournisseur de services et que les métadonnées SAML du fournisseur de services sont copiées dans le dispositif Access Point.
- (Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat.
- Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP.
- (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.
- Le contenu du formulaire de consentement, si un tel formulaire s'affiche avant l'authentification.
Procédure
- Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
- Dans Paramètres généraux, section Paramètres d'authentification, cliquez sur Afficher.
- Cliquez sur l'engrenage dans la ligne du certificat X.509.
- Configurez le formulaire du certificat X.509.
Les zones de texte obligatoires sont indiquées par un astérisque. Toutes les autres zones de texte sont facultatives.
| Option |
Description |
| Activer le certificat X.509 |
Remplacez NO par YES pour activer l'authentification par certificat. |
| *Nom |
Attribuez un nom à cette méthode d'authentification. |
| *Certificats d'autorité de certification racine et intermédiaire |
Cliquez sur Sélectionner pour sélectionner les fichiers de certificat à télécharger. Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui utilisent l'encodage DER ou PEM. |
| Taille du cache CRL |
Entrez la taille du cache de la liste de révocation de certificats. La valeur par défaut est 100. |
| Activer la révocation de certificat |
Remplacez NO par YES pour activer le contrôle de révocation de certificat. Le contrôle de la révocation empêche les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier. |
| Utiliser la CRL des certificats |
Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider le statut d'un certificat, révoqué ou non révoqué. |
| Emplacement de la CRL |
Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peut être récupérée. |
| Autoriser la révocation OCSP |
Cochez la case pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'un certificat. |
| Utiliser la CRL en cas de défaillance d'OCSP |
Si vous configurez une CRL et OCSP, vous pouvez sélectionner cette zone pour basculer vers l'utilisation de la CRL si le contrôle OCSP n'est pas disponible. |
| Envoyer une valeur à usage unique OCSP |
Cochez cette case si vous souhaitez que l'identificateur unique de la demande OCSP soit envoyée dans la réponse. |
| URL d'OCSP |
Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation. |
| Certificat de signature du répondeur OCSP |
Entrez le chemin du certificat OCSP pour le répondeur, /path/to/file.cer. |
| Activer le formulaire de consentement avant l'authentification |
Cochez cette case pour inclure une page du formulaire de consentement qui s'affiche avant que les utilisateurs se connectent à leur portail Workspace ONE à l'aide de l'authentification par certificat. |
| Contenu du formulaire de consentement |
Tapez ici le texte à afficher dans le formulaire de consentement. |
- Cliquez sur Enregistrer.
Que faire ensuite
Lorsque l'authentification par certificat X.509 est configurée et que le dispositif Access Point est configuré derrière un équilibrage de charge, assurez-vous qu'Access Point est configuré avec une émulation SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettre fin à SSL au niveau de l'équilibrage de charge. Cette configuration permet de s'assurer que la négociation SSL a lieu entre Access Point et le client afin de transmettre le certificat à Access Point.
