Lorsque vous configurez l'autorité de certification et le modèle de certificat pour la distribution de certificats Kerberos dans les services de certificats Active Directory, activez Workspace ONE UEM pour demander le certificat utilisé pour l'authentification et ajouter l'autorité de certification à Workspace ONE UEM Console. Vous ajoutez le modèle de certificat qui associe l'autorité de certification utilisée pour générer le certificat de l'utilisateur.
Conditions préalables
Configurez l'autorité de certification dans Workspace ONE UEM.
Procédure
- Dans la console Workspace ONE UEM, accédez à Système > Intégration d'entreprise > Autorités de certification.
- Sélectionnez l'onglet Modèle de demande et cliquez sur Ajouter.
- Configurez ce qui suit sur la page du modèle de certificat.
| Option |
Description |
| Nom |
Entrez le nom du nouveau modèle de demande dans Workspace ONE UEM. |
| Autorité de certification |
Dans le menu déroulant, sélectionnez l'autorité de certification qui a été créée. |
| Modèle d'émission |
Entrez le nom du modèle de certificat d'autorité de certification Microsoft exactement comme vous l'avez créé dans AD CS. Par exemple, iOSKerberos. |
| Nom du sujet |
Entrez le nom du sujet pour le modèle. Vous pouvez cliquer sur + pour sélectionner une valeur de recherche dans la liste. Vérifiez que la valeur est entrée après CN = dans la zone de texte. Si vous sélectionnez le type de recherche DeviceUid, entrez un signe deux-points (:) après la valeur et sélectionnez la valeur de recherche dans la liste. Par exemple, CN = {DeviceUid}:{lookupvalue}, où la zone de texte {} est la valeur de recherche Workspace ONE UEM. Assurez-vous d'inclure le signe deux-points (:). Le texte saisi dans cette zone de texte est le sujet du certificat, qui peut être utilisé pour déterminer qui ou quel périphérique a reçu le certificat. |
| Longueur de clé privée |
Cette longueur de clé privée correspond au paramètre sur le modèle de certificat utilisé par AD CS. En général, elle est de 2 048. |
| Type de clé privée |
Cochez les cases Signature et Chiffrement. |
| Type de réseau de stockage |
Cliquez sur +Ajouter. Pour l'autre nom du sujet, sélectionnez Nom principal de l'utilisateur. La valeur doit être {EnrollmentUser}. Lorsque la vérification de conformité de périphérique est configurée avec l'authentification Kerberos, si vous n'avez pas configuré le DeviceUid en tant que valeur de recherche du nom du sujet, ajoutez un deuxième type de réseau de stockage pour inclure l'identifiant unique du périphérique (UDID). Sélectionnez le type de réseau de stockage Nom DNS. La valeur doit être UDID={DeviceUid}. |
| Renouvellement automatique des certificats |
Cochez la case Renouvellement automatique des certificats pour renouveler automatiquement les certificats qui utilisent ce modèle avant leur date d'expiration. |
| Période de renouvellement automatique (jours) |
Si vous avez sélectionné Renouvellement automatique des certificats, entrez le nombre de jours avant expiration qui permet de délivrer à nouveau automatiquement un certificat au terminal. |
| Activer la révocation de certificat |
Cochez la case pour que les certificats soient automatiquement révoqués lorsque des périphériques applicables sont désinscrits ou supprimés, ou si le profil applicable est supprimé. |
| Publier la clé privée |
Cochez cette case pour publier la clé privée. |
| Destination de la clé privée |
Service d'annuaire ou Service Web personnalisé. |
- Cliquez sur Enregistrer.
Que faire ensuite
Dans la console Workspace ONE Access, configurez le fournisseur d'identité intégré avec la méthode d'authentification Mobile SSO pour iOS.
