È possibile configurare il metodo di autenticazione Certificato (distribuzione cloud) nella pagina Metodi di autenticazione della console di Workspace ONE Access e quindi selezionare il metodo di autenticazione da utilizzare nel provider di identità integrato.

Prerequisiti

  • Ottenere il certificato root e i certificati intermedi dall'autorità di certificazione che ha firmato i certificati presentati dagli utenti.
  • (Facoltativo) Elenco di identificatori di oggetto (OID) di criteri di certificato validi per l'autenticazione del certificato.
  • Per il controllo della revoca, la posizione del file del CRL e l'URL del server OCSP.
  • (Facoltativo) La posizione del file del certificato Firma risposta OCSP.
  • Contenuto del modulo di consenso, se è visualizzato un modulo di consenso prima dell'autenticazione.

Procedura

  1. Nella scheda Gestione identità e accessi, passare a Gestione > Metodi di autenticazione.
  2. Nella colonna Configura di Certificato (distribuzione cloud), fare clic sull'icona a forma di matita.
  3. Attivare l'autenticazione di Conformità dispositivo e impostare il numero massimo consentito di tentativi di accesso non riusciti. Le altre caselle di testo vengono prepopolate con i valori di Workspace ONE UEM configurati.
  4. Configurare la pagina Adattatore di autenticazione del servizio certificato.
    Opzione Descrizione
    Abilita adattatore certificato Selezionare la casella di controllo per abilitare l'autenticazione del certificato.
    *Certificati radice e intermedi dell'autorità di certificazione Selezionare i file di certificato da caricare. È possibile selezionare più certificati radice e intermedi dell'autorità di certificazione, codificati come DER o PEM.
    Certificati CA caricati I file di certificato caricati sono elencati nella sezione Certificati CA caricati del modulo.
    Ordine di ricerca ID utente

    Selezionare l'ordine di ricerca per individuare l'ID utente nel certificato.

    • upn. Valore UserPrincipalName del nome alternativo del soggetto.
    • email. Indirizzo di posta elettronica del nome alternativo del soggetto.
    • soggetto. Valore UID dell'oggetto. Se l'UID non viene trovato nel DN oggetto, viene utilizzato il valore UID nella casella di testo CN, se la casella di testo CN è configurata.
    Convalida formato UPN Abilitare questa casella di controllo per convalidare il formato della casella di testo UserPrincipalName.
    Timeout richiesta Immettere il tempo di attesa di una risposta, in secondi. Un valore pari a zero (0) indica che l'attesa della risposta è indefinita.
    Criteri dei certificati accettati Creare un elenco di identificatori di oggetto accettati nelle estensioni dei criteri di certificato.

    Immettere i numeri OID (Object ID Number) per il criterio di emissione dei certificati. Fare clic su Aggiungi un altro valore per aggiungere altri OID.

    Abilita revoca certificato Selezionare la casella di controllo per abilitare il controllo della revoca del certificato. Il controllo della revoca impedirà l'autenticazione degli utenti che hanno certificati revocati.
    Usa CRL dai certificati Selezionare la casella di controllo per utilizzare l'elenco di revoche di certificati (CRL) pubblicato dall'autorità di certificazione che ha emesso i certificati per convalidare lo stato, revocato o non revocato, di un certificato.
    Posizione CRL Immettere il percorso del file server o del file locale dal quale recuperare l'elenco di revoche di certificati.
    Abilita revoca OCSP Selezionare la casella di controllo per utilizzare il protocollo di convalida del certificato OCSP (Online Certificate Status Protocol) per ottenere lo stato della revoca di un certificato.
    Usa CRL in caso di errore OCSP Se si configurano sia CRL che OCSP, è possibile selezionare questa casella di controllo per eseguire il fallback a CRL se il controllo OCSP non è disponibile.
    Invia nonce OCSP Selezionare questa casella di controllo se si desidera inviare l'identificativo univoco della richiesta OCSP nella risposta.
    URL OCSP Se la revoca OCSP è stata abilitata, immettere l'indirizzo del server OCSP per il controllo della revoca.
    Origine URL OCSP Selezionare l'origine da utilizzare per il controllo della revoca.
    • Solo configurazione. Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP specificato nella casella di testo per convalidare l'intera catena di certificati.
    • Solo certificato (obbligatorio). Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP esistente nell'estensione AIA di ogni certificato nella catena. Tutti i certificati nella catena devono disporre di un URL dell'OCSP definito. In caso contrario, il controllo della revoca del certificato non riesce.
    • Solo certificato (facoltativo). Esegue solo il controllo della revoca del certificato utilizzando l'URL dell'OCSP esistente nell'estensione AIA del certificato. Non esegue il controllo della revoca se l'URL dell'OCSP non esiste nell'estensione AIA del certificato.
    • Certificato con fallback alla configurazione. Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP estratto dall'estensione AIA di ogni certificato nella catena quando l'URL dell'OCSP è disponibile. Se l'URL dell'OCSP non è presente nell'estensione AIA, controlla la revoca utilizzando l'URL dell'OCSP configurato nella casella di testo URL OCSP. La casella di testo URL OCSP deve essere configurata con l'indirizzo del server OCSP.
    Certificato della firma del risponditore OCSP Immettere il percorso del certificato OCSP del risponditore, /path/to/file.cer.
    Certificati di firma OCSP caricati I file di certificato caricati sono elencati in questa sezione.
    Abilita modulo di consenso prima dell'autenticazione Selezionare questa casella di controllo per includere una pagina per il modulo di consenso, da visualizzare prima che gli utenti eseguano il login nel portale Workspace ONE utilizzando l'autenticazione del certificato.
    Contenuto modulo di consenso Digitare in questa casella il testo visualizzato nel modulo di consenso.
  5. Fare clic su Salva.

Operazioni successive

  • Associare il metodo di autenticazione Certificato (distribuzione cloud) nel provider di identità integrato. Vedere Configurazione di un provider di identità integrato in Workspace ONE Access.
  • Aggiungere il metodo di autenticazione del certificato al criterio di accesso predefinito. Vedere Gestione dei criteri di accesso.
  • (Distribuzioni in locale) Quando l'autenticazione del certificato è configurata e l'appliance del servizio è impostata dietro un programma di bilanciamento del carico, assicurarsi che Workspace ONE Access connettore sia configurato con il pass-through SSL a livello del bilanciamento del carico e non configurato per terminare SSL a tale livello. Questa configurazione assicura che l'handshake SSL venga eseguito tra il connettore e il client per passare il certificato al connettore.