Vous activez et configurez l'authentification par certificat dans la console d'administration d'Unified Access Gateway.

Conditions préalables

  • Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs.

    Reportez-vous à la section Obtenir des certificats d'autorités de certification.

  • Vérifiez que les métadonnées SAML d'Unified Access Gateway sont ajoutées au fournisseur de services et que les métadonnées SAML du fournisseur de services sont copiées dans le dispositif Unified Access Gateway.
  • (Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat.
  • Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP.
  • (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.
  • Le contenu du formulaire de consentement, si un tel formulaire s'affiche avant l'authentification.

Procédure

  1. Dans l'interface utilisateur d'administration d'Unified Access Gateway, accédez à la section Configurer manuellement, puis cliquez sur Sélectionner.
  2. Sous Paramètres généraux > Paramètres d'authentification, cliquez sur Afficher.
  3. Cliquez sur l'icône en forme d'engrenage du certificat X 509.
  4. Configurez le formulaire du certificat X.509.
    Les zones de texte obligatoires sont indiquées par un astérisque. Toutes les autres zones de texte sont facultatives.
    Option Description
    Activer le certificat X.509 Remplacez NO par YES pour activer l'authentification par certificat.
    * Certificats d'autorité de certification racine et intermédiaire Pour charger les fichiers du certificat, cliquez sur Sélectionner.

    Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui utilisent l'encodage DER ou PEM.

    Note : Si plusieurs certificats avec le même nom de domaine sont chargés, le dernier certificat chargé remplace le certificat existant. Par conséquent, plusieurs certificats portant le même nom de domaine ne peuvent pas coexister dans Unified Access Gateway.
    Activer la révocation de certificat Remplacez NO par YES pour activer le contrôle de révocation de certificat. Le contrôle de la révocation empêche les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier.
    Utiliser la CRL des certificats Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider le statut d'un certificat, révoqué ou non révoqué.
    Emplacement de la CRL Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peut être récupérée.
    Autoriser la révocation OCSP Cochez la case pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'un certificat.
    Utiliser la CRL en cas de défaillance d'OCSP Si vous configurez une CRL et OCSP, vous pouvez sélectionner cette zone pour basculer vers l'utilisation de la CRL si le contrôle OCSP n'est pas disponible.
    Envoyer une valeur à usage unique OCSP Cochez cette case si vous souhaitez que l'identificateur unique de la demande OCSP soit envoyée dans la réponse.
    URL d'OCSP Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation.
    Utiliser l'URL OCSP du certificat Cochez cette case pour utiliser l'URL OCSP.
    Activer le formulaire de consentement avant l'authentification Cochez cette case pour inclure une page du formulaire de consentement qui s'affiche avant que les utilisateurs se connectent à leur portail Workspace ONE à l'aide de l'authentification par certificat.
  5. Cliquez sur Enregistrer.

Que faire ensuite

Lorsque l'authentification par certificat X.509 est configurée et que le dispositif Unified Access Gateway est configuré derrière un équilibrage de charge, assurez-vous qu'e l'équilibrage de charge est configuré avec une émulation SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettre fin à SSL. Cette configuration permet de s'assurer que la négociation SSL a lieu entre Unified Access Gateway et le client afin de transmettre le certificat à Unified Access Gateway.