Configurez la méthode d'authentification par certificat (déploiement de Cloud) depuis la page Méthodes d'authentification de la console Workspace ONE Access, puis sélectionnez la méthode d'authentification à utiliser dans le fournisseur d'identité intégré.

Conditions préalables

  • Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs.
  • (Facultatif) Une liste des identifiants d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat.
  • (Facultatif) Configurez la CRL pour la vérification de la révocation.
  • (Facultatif) Configurez le serveur OCSP pour la vérification de la révocation et sachez l'URL du répondeur OCSP. Si un serveur OCSP est activé pour la vérification de la révocation, vérifiez que le serveur OCSP fonctionne correctement avant de l'activer.
  • (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.
  • Le contenu du formulaire de consentement, si un tel formulaire s'affiche aux utilisateurs avant l'authentification.

Procédure

  1. Dans la console Workspace ONE Access, sur la page Intégrations > Méthodes d'authentification, sélectionnez Certificat (déploiement de Cloud)
  2. Cliquez sur CONFIGURER et configurez les paramètres d'authentification par certificat.
    1. Chargez le certificat.
      Paramètre Description
      Activer l'adaptateur de certificat Pour activer l'authentification par certificat, activez l'option Activer l'adaptateur de certificat.
      Certificats d'autorité de certification racine et intermédiaire Sélectionnez les fichiers de certificat à télécharger. Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui utilisent l'encodage DER ou PEM.
      Certificats d'autorité de certification chargés Les fichiers de certificat téléchargés sont répertoriés dans la section Certificats d'autorité de certification téléchargés du formulaire.
    2. Sélectionnez l'ordre de recherche de l'identifiant utilisateur pour rechercher l'identifiant de l'utilisateur dans le certificat.
      Reportez-vous à la section Utilisation du nom principal de l'utilisateur pour l'authentification par certificat dans Workspace ONE Access.
      Paramètre Description
      Ordre de recherche de l'identifiant utilisateur

      Sélectionnez l'ordre de recherche pour localiser l'identifiant de l'utilisateur à l'intérieur du certificat.

      • upn. Valeur UserPrincipalName de l'autre nom du sujet
      • email. Adresse e-mail de l'autre nom du sujet.
      • subject. Valeur UID provenant du sujet. Si l'UID est introuvable dans le DN du sujet, la valeur UID dans la zone de texte CN est utilisée, si la zone de texte CN est configurée.
      Valider le format UPN Basculez ce paramètre sur Oui pour valider le format d'UserPrincipalName.
    3. Délai d'expiration de la demande. Entrez le délai en secondes pour attendre une réponse. Une valeur de zéro (0) signifie que la durée d'attente de la réponse est indéterminée.
    4. Stratégies de certificat acceptées. Créez une liste d'identifiants d'objets (OID) qui sont acceptés dans les extensions de stratégies de certificat. Entrez le numéro de l'identifiant d'objet pour la stratégie de délivrance des certificats. Cliquez sur Ajouter pour ajouter des OID supplémentaires.
    5. Pour configurer la vérification de la révocation des certificats, activez l'option Activer la révocation de certificat. La vérification de la révocation empêche l'authentification d'utilisateurs avec des certificats d'utilisateur révoqués.

      La vérification de la révocation des listes de révocation des certificats (CRL) et du protocole OCSP (Online Certificate Status Protocol) est prise en charge.

      Reportez-vous à la section Utilisation de la vérification de la révocation des certificats pour l'authentification par certificat dans Workspace ONE Access.

      Configurer uniquement la CRL pour la vérification de la révocation

      Une CRL est une liste de certificats révoqués publiée par l'autorité de certification ayant émis les certificats. Lorsque vous activez Utiliser la liste de révocation des certificats pour la révocation, le serveur Workspace ONE Access lit une CRL pour déterminer l'état de révocation d'un certificat d'utilisateur. Si un certificat est révoqué, l'authentification par certificat échoue.

      Configurez l'URL de la CRL à utiliser pour la vérification de la révocation. Vous pouvez activer l'URL à partir du certificat ou entrer l'URL de la CRL dans la zone de texte Emplacement de la liste de révocation de certificats. L'URL est obtenue à partir du champ CRL dans le certificat proprement dit.

      Option Description
      Activez l'option Utiliser la liste de révocation des certificats et ne définissez pas de valeur dans le paramètre Emplacement de la liste de révocation de certificats.

      Lorsque vous activez l'option Utiliser la liste de révocation des certificats, la liste de révocation des certificats (CRL) est obtenue à partir du champ CRL dans le certificat.

      Note : S'il existe une valeur dans le paramètre Emplacement de la liste de révocation de certificats, elle est ignorée dans cette configuration.
      Définissez l'emplacement de la liste de révocation de certificats. Si vous définissez l'emplacement de la liste de révocation de certificats, n'activez pas l'option Utiliser la liste de révocation des certificats. Entrez l'URL de la CRL à partir de laquelle récupérer la CRL utilisée pour valider l'état d'un certificat.
      Note : L'option Utiliser la liste de révocation des certificats n'est pas activée dans cette configuration.

      Configurer uniquement OCSP pour la vérification de la révocation

      Pour utiliser uniquement OCSP pour la vérification de la révocation, configurez les paramètres suivants.

      Note : Si vous utilisez l'autorité de certification AirWatch avec Workspace ONE Access, activez OCSP pour la vérification de la révocation. N'activez pas le paramètre Utiliser la liste de révocation des certificats ou entrez une valeur d'URL dans la zone de texte Emplacement de la liste de révocation de certificats.
      Paramètre Description
      Autoriser la révocation OCSP Pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir l'état de révocation d'un certificat, activez l'option Activer la révocation OCSP.
      Envoyer une valeur à usage unique OCSP

      Un nonce OCSP est un identifiant unique permettant de lier de manière cryptographique un message de réponse OCSP à un message de demande OCSP particulier afin d'empêcher les attaques par relecture.

      Pour valider le certificat avec l'identifiant unique de la demande OCSP, activez l'option Envoyer une valeur à usage unique OCSP.
      URL d'OCSP

      L'URL d'OCSP peut être configurée manuellement dans la zone de texte URL d'OCSP ou extraite de l'extension AIA (Authority Information Access) du certificat en cours de validation.

      Pour définir manuellement l'URL d'OCSAP, entrez l'URL d'OCSP du serveur de vérification de la révocation.
      Source de l'URL OCSP

      L'option OCSP que vous sélectionnez lorsque vous configurez l'authentification par certificat détermine la manière dont Workspace ONE Access obtient l'URL d'OCSP.

      Dans le menu déroulant, sélectionnez la source à utiliser pour la vérification de la révocation.

      • Configuration uniquement. Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP fournie dans la zone de texte pour valider la chaîne de certificats complète. La zone de texte URL d'OCSP doit également être configurée avec l'adresse du serveur OCSP pour le contrôle de la révocation.
      • Certificat uniquement (requis). Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA de chaque certificat de la chaîne. Une URL OCSP doit être définie dans chaque certificat de la chaîne. Sinon, le contrôle de la révocation du certificat échoue.
        Note : Si vous utilisez une autorité de certification AirWatch, sélectionnez Certificat uniquement (requis) comme source.
      • Certificat uniquement (facultatif). Effectuez uniquement le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA du certificat. Ne contrôlez pas la révocation si l'URL d'OCSP n'existe pas dans l'extension AIA du certificat. Le paramètre dans la zone de texte URL d'OCSP est ignoré.
      • Certificat avec recours à la configuration. Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP extraite de l'extension AIA de chaque certificat de la chaîne, lorsque l'URL d'OCSP est disponible. Si l'URL d'OCSP ne se trouve pas dans l'extension AIA, contrôlez la révocation à l'aide de l'URL d'OCSP dans la zone de texte URL d'OCSP. La zone de texte URL d'OCSP doit être configurée avec l'adresse du serveur OCSP.
      Certificat de signature du répondeur OCSP Recherchez et sélectionnez le fichier de certificat OCSP pour le répondeur.
      Téléchargement des certificats de signature OCSP Les fichiers de certificat de signature OCSP chargés sont répertoriés dans cette section.

      Configurer la CRL et OCSP pour la vérification de la révocation

      Pour utiliser la CRL et OCSP pour la vérification de la révocation, configurez les paramètres de la vérification de la révocation de la CRL et d'OCSP, puis activez l'option Utiliser la liste de révocation de certificats en cas d'échec d'OCSP.

      Lorsque ce paramètre est activé, OCSP est vérifié en premier et en cas d'échec d'OCSP, la vérification de la révocation revient à la CRL. Le contrôle de la révocation ne revient pas à OCSP en cas d'échec de la CRL.
    6. Activer le formulaire de consentement avant l'authentification. Cochez cette case pour inclure une page du formulaire de consentement qui s'affiche avant que les utilisateurs se connectent à leur portail Workspace ONE à l'aide de l'authentification par certificat. Dans la zone de texte Contenu du formulaire de consentement, entrez le texte qui s'affiche dans le formulaire de consentement.
  3. Cliquez sur ENREGISTRER.

Que faire ensuite