Pour configurer l'authentification Mobile SSO (pour Apple), configurez les paramètres d'authentification par certificat Mobile SSO (pour Apple) dans la console Workspace ONE Access et chargez le certificat de l'émetteur pour l'authentification par certificat.

Configurez les méthodes d'authentification basées sur le cloud dans la console Workspace ONE Access, sur la page Intégrations > Méthodes d'authentification. Une fois la méthode d'authentification configurée, associez-la à un fournisseur d'identité intégré Workspace ONE Access sur la page Intégrations > Fournisseurs d'identité et créez des règles de stratégie d'accès à appliquer à la méthode d'authentification sur la page Ressources > Stratégies.

Utilisation des paramètres d'authentification par certificat d'authentification Single Sign-on Mobile SSO (pour Apple)

Pour activer la connexion à l'aide de l'authentification par certificat Mobile SSO (pour Apple), des certificats racine et intermédiaires doivent être chargés vers le service Workspace ONE Access. Le certificat X.509 utilise la norme d'infrastructure de clé publique (PKI) pour vérifier qu'une clé publique contenue dans le certificat appartient à l'utilisateur.

Lorsque vous configurez les paramètres d'authentification par certificat Mobile SSO (pour Apple), vous définissez l'ordre de recherche de l'identifiant d'utilisateur pour rechercher l'identifiant d'utilisateur dans le certificat. Pour l'authentification Mobile SSO (pour Apple), la valeur de l'attribut identifiant doit être identique sur les services Workspace ONE Access et Workspace ONE UEM. Sinon, Apple SSO échoue.

Vous créez également une liste d'identifiants d'objets (OID) acceptés dans les extensions de stratégies de certificat. L'OID est un identifiant lié à l'énoncé de pratique du certificat. La valeur suivante est un exemple d'espace de noms OID 1.3.6.1.4.1.{PENnumber}.

Vous pouvez configurer le contrôle de la révocation des certificats pour empêcher les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier. Les certificats sont souvent révoqués lorsqu'un utilisateur quitte une organisation ou passe d'un service à un autre.

Pour plus de sécurité, vous pouvez configurer le Type de paramètres du terminal pour exiger que les utilisateurs utilisent une méthode biométrique pour déverrouiller le terminal avant que le certificat ne soit utilisé pour authentifier la connexion. Si ce paramètre est configuré, chaque fois qu'un utilisateur accède à une application qui nécessite une authentification par certificat, il est invité à entrer la méthode biométrique que vous avez configurée.

Configuration des paramètres de vérification de la révocation

Le contrôle de la révocation du certificat avec les listes de révocation des certificats (CRL) et avec le protocole OCSP (Online Certificate Status Protocol) est pris en charge. Une CRL est une liste de certificats révoqués publiée par l'autorité de certification ayant émis les certificats. OCSP est un protocole de validation des certificats utilisé pour obtenir le statut de révocation d'un certificat.

Il est possible de configurer la CRL et OCSP en configurant le même adaptateur d'authentification par certificat. Lorsque vous configurez les deux types de contrôle de la révocation du certificat et que la case Utiliser la CRL en cas de défaillance d'OCSP est cochée, OCSP est contrôlé en premier et, s'il échoue, le contrôle de la révocation est effectué par la CRL. Le contrôle de la révocation ne revient pas à OCSP en cas d'échec de la CRL.

Lorsque vous activez la révocation des certificats, le serveur Workspace ONE Access lit une CRL pour déterminer l'état de révocation d'un certificat utilisateur. Si un certificat est révoqué, l'authentification par certificat échoue.

La connexion avec la vérification des certificats OCSP est une alternative aux listes de révocation des certificats (CRL) utilisées pour effectuer un contrôle de la révocation du certificat.

Lorsque vous configurez l'authentification par certificat, avec les options Activer la révocation de certificat et Activer la révocation OCSP activées, Workspace ONE Access valide la chaîne de certificats complète, y compris les certificats principaux, intermédiaires et racine. Le contrôle de la révocation échoue si la vérification d'un des certificats de la chaîne échoue ou que l'appel à l'URL d'OCSP échoue.

L'URL d'OCSP peut être configurée manuellement dans la zone de texte ou extraite de l'extension AIA (Authority Information Access) du certificat en cours de validation.

L'option OCSP que vous sélectionnez lorsque vous configurez l'authentification par certificat détermine la manière dont Workspace ONE Access utilise l'URL d'OCSP.

  • Configuration uniquement. Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP fournie dans la zone de texte pour valider la chaîne de certificats complète. Ignorez les informations contenues dans l'extension AIA du certificat. La zone de texte URL d'OCSP doit également être configurée avec l'adresse du serveur OCSP pour le contrôle de la révocation.
  • Certificat uniquement (requis). Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA de chaque certificat de la chaîne. Le paramètre dans la zone de texte URL d'OCSP est ignoré. Une URL d'OCSP doit être définie dans chaque certificat de la chaîne, faute de quoi le contrôle de la révocation du certificat échoue.
  • Certificat uniquement (facultatif). Effectuez uniquement le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA du certificat. Ne contrôlez pas la révocation si l'URL d'OCSP n'existe pas dans l'extension AIA du certificat. Le paramètre dans la zone de texte URL d'OCSP est ignoré. Cette configuration est utile lorsque le contrôle de la révocation est souhaité, mais certains certificats intermédiaires ou racine ne contiennent pas l'URL d'OCSP dans l'extension AIA.
  • Certificat avec recours à la configuration. Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP extraite de l'extension AIA de chaque certificat de la chaîne, lorsque l'URL d'OCSP est disponible. Si l'URL d'OCSP ne se trouve pas dans l'extension AIA, contrôlez la révocation à l'aide de l'URL d'OCSP dans la zone de texte URL d'OCSP. La zone de texte URL d'OCSP doit être configurée avec l'adresse du serveur OCSP.

Configurer l'authentification par certificat pour Mobile SSO (pour Apple)

Conditions préalables

  • Enregistrez le certificat de l'émetteur que vous chargerez pour l'authentification Mobile SSO (pour Apple). Si vous utilisez le certificat Workspace ONE UEM, exportez et enregistrez le certificat racine à partir de la console Workspace ONE UEM, sur la page Système > Intégration d'entreprise > Workspace ONE Access > Configuration.
  • (Facultatif) Une liste des identifiants d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat.
  • Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP.
  • (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.
  • (Facultatif) Sélectionnez l'authentification biométrique à configurer.
  1. Dans la console Workspace ONE Access, accédez à la page Intégrations > Méthodes d'authentification et sélectionnez Mobile SSO (pour Apple).
  2. Cliquez sur CONFIGURER et configurez les paramètres d'authentification par certificat.

    Option Description
    Activer l'adaptateur de certificat Basculez vers Oui pour activer l'authentification par certificat.
    Certificats d'autorité de certification racine et intermédiaire

    Certificats d'autorité de certification chargés

    Sélectionnez le certificat racine à charger que vous avez enregistré à partir de Workspace ONE UEM Console.

    Les fichiers de certificat chargés sont répertoriés ici.

    Ordre de recherche de l'identifiant utilisateur Sélectionnez l'ordre de recherche pour localiser l'identifiant de l'utilisateur à l'intérieur du certificat.

    Pour l'authentification Mobile SSO (pour Apple), la valeur de l'attribut identifiant doit être la même dans les services Workspace ONE Access et Workspace ONE UEM. Sinon, Apple SSO échoue.

    • upn. Valeur UserPrincipalName de l'autre nom du sujet.
    • email. Adresse e-mail de l'autre nom du sujet.
    • subject. Valeur UID provenant du sujet. Si l'UID est introuvable dans le DN de sujet, la valeur UID dans la zone de test CN est utilisée, si la zone de texte CN est configurée.
    Note :
    • Si une autorité de certification Workspace ONE UEM est utilisée pour la génération d'un certificat client, l'ordre de recherche de l'identifiant d'utilisateur doit être UPN | Sujet.
    • Si une autorité de certification d'entreprise tierce est utilisée, l'ordre de recherche de l'identifiant d'utilisateur doit être UPN | E-mail | Sujet et le modèle de certificat doit contenir le nom du sujet CN = {DeviceUid} : {EnrollmentUser}. Assurez-vous d'inclure le signe deux-points (:).
    Valider le format UPN Basculez vers Oui pour valider le format de la zone de texte UserPrincipalName.
    Délai d'expiration de la demande Entrez le délai en secondes pour attendre une réponse. Si vous entrez zéro (0), le système attendra indéfiniment une réponse.
    Stratégies de certificat acceptées Créez une liste d'identifiants d'objets qui sont acceptés dans les extensions de stratégies de certificat.

    Entrez les numéros d'ID d'objet (OID) de la stratégie d'émission de certificat. Cliquez sur Ajouter pour ajouter des OID supplémentaires.

    Activer la révocation de certificat Basculez vers Oui pour activer le contrôle de la révocation du certificat.

    Le contrôle de la révocation empêche les utilisateurs avec des certificats d'utilisateur révoqués de s'authentifier.

    Utiliser la liste de révocation des certificats Basculez vers Oui pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider l'état d'un certificat, révoqué ou non révoqué.
    Emplacement de la CRL Entrez le chemin d'accès au fichier du serveur ou le chemin d'accès au fichier local à partir duquel récupérer la liste de révocation des certificats.
    Autoriser la révocation OCSP Basculez vers Oui pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin de définir l'état de révocation d'un certificat.
    Utiliser la CRL en cas de défaillance du protocole Si vous configurez la CRL et OCSP, vous pouvez activer cette option pour utiliser la liste de révocation des certificats si l'option de vérification OCSP n'est pas disponible.
    Envoi de nonce OCSP Activez cette option si vous souhaitez que l'identifiant unique de la demande OCSP soit envoyé dans la réponse.
    URL d'OCSP Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation.
    Source de l'URL OCSP Sélectionnez la source à utiliser pour le contrôle de la révocation.
    • Sélectionnez Configuration uniquement pour effectuer le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP fournie dans la zone de texte URL d'OCSP pour valider la chaîne de certificats complète.
    • Sélectionnez Certificat uniquement (requis) pour effectuer le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA (Authority Information Access) de chaque certificat de la chaîne. L'URL OCSP doit être définie sur chaque certificat de la chaîne, sinon la vérification de la révocation du certificat échoue.
    • Sélectionnez Certificat uniquement (facultatif) pour effectuer uniquement le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA du certificat. Ne contrôlez pas la révocation si l'URL d'OCSP n'existe pas dans l'extension AIA du certificat.
    • Sélectionnez Certificat avec recours à la configuration pour effectuer le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP extraite de l'extension AIA de chaque certificat de la chaîne, lorsque l'URL d'OCSP est disponible.

      Si l'URL d'OCSP ne se trouve pas dans l'extension AIA, le recours consiste à vérifier la révocation à l'aide de l'URL d'OCSP configurée dans la zone de texte URL d'OCSP. La zone de texte URL d'OCSP doit être configurée avec l'adresse du serveur OCSP.

    Certificats de signature du répondeur OCSP

    Certificats de signature OCSP téléchargés

    Sélectionnez les fichiers de certificats de signature du répondeur OCSP à télécharger.

    Les fichiers de certificats de signature du répondeur OCSP téléchargés sont répertoriés ici.

    Type d'authentification du terminal Mobile SSO (pour Apple) prend en charge l'obligation pour l'utilisateur de s'authentifier avec le terminal à l'aide d'un mécanisme biométrique (FaceID ou TouchID) ou d'un code secret avant d'utiliser le certificat sur le terminal pour effectuer l'authentification sur Workspace ONE Access. Si les utilisateurs doivent effectuer une vérification à l'aide d'un mécanisme biométrique avec ou sans code secret comme sauvegarde, sélectionnez l'option appropriée. Sinon, sélectionnez AUCUN.
  3. Cliquez sur ENREGISTRER.

    Les paramètres de configuration s'affichent sur la page Méthodes d'authentification Mobile SSO (pour Apple).

    Écran de configuration Authentification Mobile SSO (pour Apple) dans la console Workspace ONE Access

Configurer un fournisseur d'identité intégré

Sur la page du fournisseur d'identité intégré de Workspace ONE Access, configurez les utilisateurs, les plages réseau et les méthodes d'authentification que les utilisateurs emploient pour l'opération Single Sign-On sur leur portail d'applications.

Conditions préalables

Pour configurer le fournisseur d'identité intégré, veillez à exécuter les tâches suivantes.

  • Les utilisateurs et les groupes situés dans votre annuaire d'entreprise sont synchronisés avec les annuaires Workspace ONE Access.
  • Les plages réseau sont créées sur la page Ressources > Stratégies > Plages réseau.
  • Méthodes d'authentification Mobile SSO (pour Apple) configurées.

Procédure

  1. Dans la console Workspace ONE Access, sur la page Intégrations > Fournisseurs d'identité, cliquez sur AJOUTER et sélectionnez le fournisseur d'identité intitulé IDP intégré, puis configurez les paramètres du fournisseur d'identité.
    Option Description
    Nom du fournisseur d'identité Entrez un nom pour cette instance du fournisseur d'identité intégré.
    Utilisateurs Sélectionner les utilisateurs à authentifier. Les annuaires que vous avez configurés sont répertoriés.
    Ajouter un connecteur/des méthodes d'authentification du connecteur S/O
    Méthodes d'authentification Les méthodes d'authentification configurées sur la page Intégrations > Méthodes d'authentification s'affichent. Sélectionnez Mobile SSO (pour Apple).
    Réseau Les plages réseau existantes configurées dans le service sont répertoriées. Sélectionnez les plages réseau des utilisateurs en fonction des adresses IP que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification.
    Exportation de certificat KDC S/O
  2. Cliquez sur ENREGISTRER.

Étape suivante

Configurez la règle de stratégie d'accès par défaut pour Mobile SSO (pour Apple).