È possibile configurare il metodo di autenticazione Certificato (distribuzione cloud) nella pagina Metodi di autenticazione della console di Workspace ONE Access e quindi selezionare il metodo di autenticazione da utilizzare nel provider di identità integrato.

Prerequisiti

  • Ottenere il certificato root e i certificati intermedi dall'autorità di certificazione che ha firmato i certificati presentati dagli utenti.
  • (Facoltativo) Elenco di identificatori di oggetto (OID) di criteri di certificato validi per l'autenticazione del certificato.
  • (Facoltativo) Configurare CRL per il controllo della revoca.
  • (Facoltativo) Configurare il server OCSP per eseguire il controllo della revoca e conoscere l'URL del risponditore OCSP. Se un server OCSP è abilitato per il controllo della revoca, verificare che il server OCSP funzioni correttamente prima di abilitarlo.
  • (Facoltativo) La posizione del file del certificato Firma risposta OCSP.
  • Consentire il contenuto del modulo, se prima dell'autenticazione degli utenti viene visualizzato un modulo di consenso.

Procedura

  1. Nella pagina Integrazioni > Metodi di autenticazione della console di Workspace ONE Access, selezionare Certificato (distribuzione cloud)
  2. Fare clic su CONFIGURA e configurare le impostazioni dell'autenticazione tramite certificato.
    1. Caricare il certificato.
      Impostazione Descrizione
      Abilita adattatore certificato Per abilitare l'autenticazione del certificato, attivare l'interruttore Abilita adattatore certificato.
      Certificati CA intermedi e root Selezionare i file di certificato da caricare. È possibile selezionare più certificati radice e intermedi dell'autorità di certificazione, codificati come DER o PEM.
      Certificati CA caricati I file di certificato caricati sono elencati nella sezione Certificati CA caricati del modulo.
    2. Selezionare Ordine di ricerca ID utente per individuare l'ID utente nel certificato.
      Vedere Utilizzo del nome dell'entità utente per l'autenticazione del certificato in Workspace ONE Access.
      Impostazione Descrizione
      Ordine di ricerca ID utente

      Selezionare l'ordine di ricerca per individuare l'ID utente nel certificato.

      • upn. Valore UserPrincipalName del nome alternativo del soggetto.
      • email. Indirizzo di posta elettronica del nome alternativo del soggetto.
      • soggetto. Valore UID dell'oggetto. Se l'UID non viene trovato nel DN oggetto, viene utilizzato il valore UID nella casella di testo CN, se la casella di testo CN è configurata.
      Convalida formato UPN Spostare l'interruttore di questa impostazione su per convalidare il formato di UserPrincipalName.
    3. Timeout richiesta. Immettere il tempo di attesa di una risposta, in secondi. Un valore pari a zero (0) indica che l'attesa della risposta è indefinita.
    4. Criteri dei certificati accettati. Creare un elenco di identificatori di oggetto (OID) accettati nelle estensioni dei criteri dei certificati. Immettere il numero dell'identificatore di oggetto per il criterio di emissione dei certificati. Fare clic su Aggiungi per aggiungere altri OID.
    5. Per configurare il controllo della revoca del certificato, attivare l'interruttore Consenti revoca certificato. Il controllo della revoca impedirà l'autenticazione degli utenti che hanno certificati revocati.

      Sono supportati entrambi i controlli della revoca Certificate Revocation Lists (CRL) e Online Certificate Status Protocol (OCSP).

      Vedere Utilizzo del controllo della revoca del certificato per l'autenticazione del certificato in Workspace ONE Access.

      Configurazione del solo CRL per il controllo della revoca

      Un CRL è un elenco di certificati revocati pubblicato dall'autorità di certificazione che ha emesso i certificati. Quando si abilita Usa CRL dai certificati per la revoca, il server di Workspace ONE Access legge un CRL per stabilire lo stato della revoca di un certificato dell'utente. Se un certificato risulta revocato, l'autenticazione tramite il certificato non riesce.

      Si configura quindi l'URL del CRL da utilizzare per il controllo della revoca. È possibile attivare l'URL dal certificato oppure immettere l'URL del CRL nella casella di testo Posizione CRL. L'URL è disponibile nel campo CRL del certificato stesso.

      Opzione Descrizione
      Attivare l'interruttore Usa CRL dai certificati e non impostare un valore nell'impostazione Posizione CRL

      Quando si attiva l'interruttore Usa CRL dai certificati, l'elenco di revoche di certificati (CRL) è disponibile nel campo CRL del certificato.

      Nota: Se nell'impostazione Posizione CRL è presente un valore, viene ignorato in questa configurazione.
      Impostare la posizione del CRL. Se si imposta la posizione del CRL, non attivare l'interruttore Usa CRL dai certificati. Immettere l'URL del CRL da cui recuperare il CRL utilizzato per convalidare lo stato di un certificato.
      Nota: L'interruttore Usa CRL dai certificati non è attivato in questa configurazione.

      Configurazione del solo OCSP per il controllo della revoca

      Per utilizzare solo OCSP per il controllo della revoca, configurare le impostazioni seguenti.

      Nota: Se si utilizza un'autorità di certificazione di AirWatch con Workspace ONE Access, abilitare OCSP per il controllo della revoca. Non abilitare l'impostazione Usa CRL dai certificati o immettere un valore di URL nella casella di testo Posizione CRL.
      Impostazione Descrizione
      Abilita revoca OCSP Per utilizzare il protocollo di convalida del certificato OCSP (Online Certificate Status Protocol) per ottenere lo stato della revoca di un certificato, attivare l'interruttore Abilita revoca OCSP.
      Invia nonce OCSP

      Un nonce OCSP è un identificatore univoco utilizzato per associare crittograficamente un messaggio di risposta OCSP a un messaggio di richiesta OCSP specifico per impedire i replay attack.

      Se si desidera convalidare il certificato con l'identificatore univoco della richiesta OCSP, attivare l'interruttore Invia nonce OCSP.
      URL OCSP

      L'URL di OCSP può essere configurato manualmente nella casella di testo URL OCSP o estratto dall'estensione AIA (Authority Information Access) del certificato in corso di convalida.

      Per impostare manualmente l'URL di OCSAP, immettere l'URL di OCSP per il server di controllo della revoca.
      Origine URL OCSP

      L'opzione OCSP selezionata quando si configura l'autenticazione del certificato determina in che modo Workspace ONE Access utilizza l'URL di OCSP.

      Dal menu a discesa, selezionare l'origine da utilizzare per il controllo della revoca.

      • Solo configurazione. Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP specificato nella casella di testo per convalidare l'intera catena di certificati. La casella di testo URL OCSP deve inoltre essere configurata con l'indirizzo del server OCSP per il controllo della revoca.
      • Solo certificato (obbligatorio). Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP esistente nell'estensione AIA di ogni certificato nella catena. Tutti i certificati nella catena devono disporre di un URL dell'OCSP definito. In caso contrario, il controllo della revoca del certificato non riesce.
        Nota: Se si utilizza un'autorità di certificazione AirWatch, selezionare Solo certificato (obbligatorio) come origine.
      • Solo certificato (facoltativo). Esegue solo il controllo della revoca del certificato utilizzando l'URL dell'OCSP esistente nell'estensione AIA del certificato. Non esegue il controllo della revoca se l'URL dell'OCSP non esiste nell'estensione AIA del certificato. L'impostazione nella casella di testo URL OCSP viene ignorata.
      • Certificato con fallback alla configurazione. Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP estratto dall'estensione AIA di ogni certificato nella catena quando l'URL dell'OCSP è disponibile. Se l'URL dell'OCSP non è presente nell'estensione AIA, controlla la revoca utilizzando l'URL dell'OCSP configurato nella casella di testo URL OCSP. La casella di testo URL OCSP deve essere configurata con l'indirizzo del server OCSP.
      Certificato della firma del risponditore OCSP Cercare e selezionare il file del certificato OCSP per il risponditore.
      Certificati di firma OCSP caricati I file dei certificati di firma OCSP caricati sono elencati in questa sezione.

      Configurazione di CRL e OCSP per il controllo della revoca

      Per utilizzare sia CRL sia OCSP per il controllo della revoca, configurare le impostazioni per il controllo della revoca CRL e OCSP e attivare l'interruttore Utilizza CRL in caso di errore di OCSP.

      Quando questa impostazione è attivata, OCSP viene controllato per primo e, se OCSP non riesce, il controllo della revoca esegue il fallback a CRL. In caso di esito negativo di CRL, il controllo della revoca non esegue il fallback a OCSP.
    6. Abilita modulo di consenso prima dell'autenticazione. Selezionare questa casella di controllo per includere una pagina per il modulo di consenso, da visualizzare prima che gli utenti eseguano il login nel portale Workspace ONE utilizzando l'autenticazione del certificato. Nella casella di testo Contenuto modulo di consenso, immettere il testo visualizzato nel modulo di consenso.
  3. Fare clic su SALVA.

Operazioni successive