Configurez la méthode d'authentification par certificat (déploiement de Cloud) depuis la page Méthodes d'authentification de la console Workspace ONE Access, puis sélectionnez la méthode d'authentification à utiliser dans le fournisseur d'identité intégré.

Conditions préalables

  • Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs.
  • (Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat.
  • Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP.
  • (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.
  • Le contenu du formulaire de consentement, si un tel formulaire s'affiche avant l'authentification.

Procédure

  1. Dans l'onglet Identité et gestion de l'accès, accédez à Gérer > Méthodes d'authentification.
  2. Dans la colonne Configurer de l'option Certificat (déploiement de Cloud), cliquez sur l'icône en forme de crayon.
  3. Activez l'authentification par conformité de périphérique et définissez le nombre maximal de tentatives de connexion infructueuses. Les autres zones de texte sont pré-remplies à l'aide des valeurs Workspace ONE UEM configurées.
  4. Configurez la page Adaptateur d'authentification du service de certificat.
    Option Description
    Activer l'adaptateur de certificat Cochez la case pour permettre l'authentification par certificat.
    *Certificats d'autorité de certification racine et intermédiaire Sélectionnez les fichiers de certificat à télécharger. Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui utilisent l'encodage DER ou PEM.
    Certificats d'autorité de certification chargés Les fichiers de certificat téléchargés sont répertoriés dans la section Certificats d'autorité de certification téléchargés du formulaire.
    Ordre de recherche de l'identifiant utilisateur

    Sélectionnez l'ordre de recherche pour localiser l'identifiant de l'utilisateur à l'intérieur du certificat.

    • upn. Valeur UserPrincipalName de l'autre nom du sujet
    • email. Adresse e-mail de l'autre nom du sujet.
    • subject. Valeur UID provenant du sujet. Si l'UID est introuvable dans le DN du sujet, la valeur UID dans la zone de texte CN est utilisée, si la zone de texte CN est configurée.

    Valider le format UPN Cochez cette case pour valider le format de la zone de texte UserPrincipalName.
    Délai d'expiration de la demande Entrez le délai en secondes pour attendre une réponse. Une valeur de zéro (0) signifie que la durée d'attente de la réponse est indéterminée.
    Stratégies de certificat acceptées Créez une liste d'identificateurs d'objet qui sont acceptés dans les extensions de stratégie de certificat.

    Entrez les numéros d'ID d'objet (OID) pour la stratégie d'émission de certificat. Cliquez sur Ajouter une autre valeur pour ajouter des OID supplémentaires.

    Activer la révocation de certificat Cochez cette case pour permettre le contrôle de la révocation des certificats. Le contrôle de la révocation empêche les utilisateurs avec des certificats d'utilisateur révoqués de s'authentifier.
    Utiliser la liste de révocation des certificats Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider le statut d'un certificat, révoqué ou non révoqué.
    Emplacement de la CRL Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peut être récupérée.
    Autoriser la révocation OCSP Cochez la case pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'un certificat.
    Utiliser la CRL en cas de défaillance du protocole Si vous configurez une CRL et OCSP, vous pouvez cocher cette case pour basculer vers l'utilisation de la CRL, si le contrôle d'OCSP n'est pas disponible.
    Envoi de nonce OCSP Cochez cette case si vous souhaitez que l'identificateur unique de la requête OCSP soit envoyé dans la réponse.
    URL d'OCSP Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation.
    Source de l'URL OCSP Sélectionnez la source à utiliser pour le contrôle de la révocation.
    • Configuration uniquement. Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP fournie dans la zone de texte pour valider la chaîne de certificats complète.
    • Certificat uniquement (requis). Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA de chaque certificat de la chaîne. Une URL d'OCSP doit être définie dans chaque certificat de la chaîne. Sinon, le contrôle de la révocation du certificat échoue.
    • Certificat uniquement (facultatif). Effectuez uniquement le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA du certificat. Ne contrôlez pas la révocation si l'URL d'OCSP n'existe pas dans l'extension AIA du certificat.
    • Certificat avec recours à la configuration. Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP extraite de l'extension AIA de chaque certificat de la chaîne, lorsque l'URL d'OCSP est disponible. Si l'URL d'OCSP ne se trouve pas dans l'extension AIA, contrôlez la révocation à l'aide de l'URL d'OCSP dans la zone de texte URL d'OCSP. La zone de texte URL d'OCSP doit être configurée avec l'adresse du serveur OCSP.
    Certificat de signature du répondeur OCSP Entrez le chemin d'accès au certificat OCSP du répondeur, /path/to/file.cer.
    Téléchargement des certificats de signature OCSP Les fichiers de certificat téléchargés sont répertoriés dans cette section.
    Activer le formulaire de consentement avant l'authentification Cochez cette case pour inclure une page du formulaire de consentement qui s'affiche avant que les utilisateurs se connectent à leur portail Workspace ONE à l'aide de l'authentification par certificat.
    Contenu du formulaire de consentement Saisissez le texte qui s'affiche sur le formulaire de consentement dans cette zone de texte.
  5. Cliquez sur Enregistrer.

Que faire ensuite

  • Associez la méthode d'authentification par certificat (déploiement de Cloud) dans le fournisseur d'identité intégré. Voir Configurer un fournisseur d'identité intégré dans Workspace ONE Access.
  • Ajoutez la méthode d'authentification de certificat à la stratégie d'accès par défaut. Voir Gestion des stratégies d'accès.
  • (Déploiements sur site) Lorsque l'authentification par certificat est configurée et que le dispositif de service est paramétré derrière un équilibrage de charge, assurez-vous que l'instance de Workspace ONE Access connecteur est configurée avec un relais SSL au niveau de l'équilibrage de charge et qu'elle n'est pas configurée pour mettre fin à SSL au niveau de l'équilibrage de charge. Cette configuration permet de s'assurer que la négociation SSL a lieu entre le connecteur et le client afin de transmettre le certificat au connecteur.