Activez et configurez l'authentification du certificat à partir de la fonctionnalité de la gestion des annuaires de la console d'administration vRealize Automation.

Avant de commencer

  • Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs.

  • (Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat.

  • Pour le contrôle de la révocation, l'emplacement du fichier de liste de révocation des certificats et l'URL du serveur OCSP.

  • (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.

  • Le contenu du formulaire de consentement, si un tel formulaire doit s'afficher avant l'authentification.

Procédure

  1. En tant qu'administrateur de locataire, accédez à Administration > Gestion des annuaires > Connecteurs.
  2. Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui est configuré.
  3. Cliquez sur Adaptateurs d'authentification, puis cliquez sur CertificateAuthAdapter.

    Vous serez redirigé vers la page de connexion du gestionnaire d'identité.

  4. Configurez la page Adaptateur d'authentification par certificat.
    Remarque :

    La présence d'un astérisque indique que l'information est requise.

    Option

    Description

    *Nom

    Un nom est requis. Le nom par défaut est CertificateAuthAdapter. Vous pouvez modifier ce nom.

    Activer l'adaptateur de certificat

    Cochez la case pour permettre l'authentification par certificat.

    *Certificats d'autorité de certification racine et intermédiaire

    Sélectionnez les fichiers de certificat à télécharger. Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui utilisent l'encodage DER ou PEM.

    Certificats d'autorité de certification téléchargés

    Les fichiers de certificat téléchargés sont répertoriés dans la section Certificats d'autorité de certification téléchargés du formulaire.

    Utiliser une adresse e-mail s'il n'existe pas d'UPN dans le certificat

    Si le nom principal de l'utilisateur (UPN) n'existe pas dans le certificat, cochez cette case pour utiliser l'attribut emailAddress comme extension Autre nom de l'objet afin de valider des comptes d'utilisateur.

    Stratégies de certificat acceptées

    Créez une liste d'identificateurs d'objet qui sont acceptés dans les extensions de stratégie de certificat.

    Entrez les numéros d'ID d'objet (OID) pour la stratégie d'émission de certificat. Cliquez sur Ajouter une autre valeur pour ajouter des identificateurs d'objets supplémentaires.

    Activer la révocation de certificat

    Cochez cette case pour permettre le contrôle de la révocation des certificats. Le contrôle de la révocation de certificat empêche les utilisateurs avec des certificats d'utilisateur révoqués de s'authentifier.

    Utiliser la CRL des certificats

    Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider le statut d'un certificat, révoqué ou non révoqué.

    Emplacement de la CRL

    Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peut être récupérée.

    Autoriser la révocation OCSP

    Cochez la case pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'un certificat.

    Utiliser la CRL en cas de défaillance du protocole OCSP

    Si vous configurez la CRL et l'OCSP. Cochez cette case pour utiliser la CRL si le contrôle OCSP n'est pas disponible.

    Envoi de nonce OCSP

    Cochez cette case si vous souhaitez que l'identificateur unique de la requête OCSP soit envoyée dans la réponse.

    URL d'OCSP

    Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation.

    Certificat de la signature du répondeur OCSP

    Entrez le chemin d'accès au certificat OCSP du répondeur, /path/to/file.cer.

    Activer le formulaire de consentement avant l'authentification

    Cochez cette case pour inclure une page du formulaire de consentement qui s'affiche avant que les utilisateurs se connectent à leur portail My Apps à l'aide de l'authentification par certificat.

    Contenu du formulaire de consentement

    Saisissez le texte qui s'affiche sur le formulaire de consentement dans cette zone de texte.

  5. Cliquez sur Enregistrer.

Que faire ensuite

  • Ajoutez la méthode d'authentification du certificat à la stratégie d'accès par défaut. Pour ce faire, accédez à Administration > Gestion des annuaires > Stratégies. Pour modifier les règles de la stratégie par défaut, y ajouter l'authentification du certificat et faire de cette méthode la première méthode d'authentification de la stratégie par défaut, cliquez sur Modifier la stratégie par défaut. Le certificat doit être la première méthode d'authentification répertoriée dans la règle de stratégie, sinon l'authentification par certificat échoue.

  • Lorsque l'authentification par certificat est configurée et que le dispositif de service est configuré derrière un équilibrage de charge, assurez-vous que le connector Directories Management est configuré avec un passe-système SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettre fin à SSL au niveau de l'équilibrage de charge. Cette configuration permet de s'assurer que la négociation SSL a lieu entre le connecteur et le client afin de transmettre le certificat au connecteur.