Vous activez et configurez l'authentification par certificat dans la console d'administration d'Unified Access Gateway.
Conditions préalables
- Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs. Reportez-vous à la section Obtenir des certificats d'autorités de certification.
- Vérifiez que les métadonnées SAML d'Unified Access Gateway sont ajoutées au fournisseur de services et que les métadonnées SAML du fournisseur de services sont copiées dans le dispositif Unified Access Gateway.
- (Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat.
- Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP.
- (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.
- Le contenu du formulaire de consentement, si un tel formulaire s'affiche avant l'authentification.
Procédure
- Dans la section Configuration manuelle de l'interface utilisateur d'administration, cliquez sur Sélectionner.
- Dans Paramètres généraux, section Paramètres d'authentification, cliquez sur Afficher.
- Cliquez sur l'engrenage dans la ligne du certificat X.509.
- Configurez le formulaire du certificat X.509.
Les zones de texte obligatoires sont indiquées par un astérisque. Toutes les autres zones de texte sont facultatives.
Option |
Description |
Activer le certificat X.509 |
Remplacez NO par YES pour activer l'authentification par certificat. |
* Certificats d'autorité de certification racine et intermédiaire |
Cliquez sur Sélectionner pour sélectionner les fichiers de certificat à télécharger. Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui utilisent l'encodage DER ou PEM. |
Activer la révocation de certificat |
Remplacez NO par YES pour activer le contrôle de révocation de certificat. Le contrôle de la révocation empêche les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier. |
Utiliser la CRL des certificats |
Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider le statut d'un certificat, révoqué ou non révoqué. |
Emplacement de la CRL |
Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peut être récupérée. |
Autoriser la révocation OCSP |
Cochez la case pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'un certificat. |
Utiliser la CRL en cas de défaillance d'OCSP |
Si vous configurez une CRL et OCSP, vous pouvez sélectionner cette zone pour basculer vers l'utilisation de la CRL si le contrôle OCSP n'est pas disponible. |
Envoyer une valeur à usage unique OCSP |
Cochez cette case si vous souhaitez que l'identificateur unique de la demande OCSP soit envoyée dans la réponse. |
URL d'OCSP |
Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation. |
Utiliser l'URL OCSP du certificat |
Cochez cette case pour utiliser l'URL OCSP. |
Activer le formulaire de consentement avant l'authentification |
Cochez cette case pour inclure une page du formulaire de consentement qui s'affiche avant que les utilisateurs se connectent à leur portail Workspace ONE à l'aide de l'authentification par certificat. |
- Cliquez sur Enregistrer.
Que faire ensuite
Lorsque l'authentification par certificat X.509 est configurée et que le dispositif Unified Access Gateway est configuré derrière un équilibrage de charge, assurez-vous qu'e l'équilibrage de charge est configuré avec une émulation SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettre fin à SSL. Cette configuration permet de s'assurer que la négociation SSL a lieu entre Unified Access Gateway et le client afin de transmettre le certificat à Unified Access Gateway.