È possibile abilitare e configurare l'autenticazione dei certificati tramite la funzionalità Gestione directory della console di amministrazione di vRealize Automation.

Nota: Un amministratore di sistema deve configurare un connettore esterno per la distribuzione di vRealize Automation se vengono utilizzati provider di identità terze parti come l'autenticazione della smart card o Keberos.

Prerequisiti

  • Ottenere il certificato radice e i certificati intermedi dall'autorità di certificazione che ha firmato i certificati presentati dagli utenti.
  • (Facoltativo) Elenco di identificatori di oggetto (OID) di criteri di certificato validi per l'autenticazione del certificato.
  • Per il controllo della revoca, la posizione del file del CRL, l'URL del server OCSP.
  • (Facoltativo) La posizione del file del certificato Firma risposta OCSP.
  • Contenuto del modulo di consenso, se si abilita la visualizzazione di un modulo di consenso prima dell'autenticazione.

Procedura

  1. In qualità di amministratore del tenant, passare ad Amministrazione > Gestione directory > Connettori.
  2. Nella pagina Connettori, selezionare il collegamento Worker del connettore che si sta configurando.
  3. Fare clic su Schede di autenticazione e quindi su CertificateAuthAdapter.
    Si verrà reindirizzati alla pagina di accesso di Identity Manager.
  4. Nella riga CertificateAuthAdapter fare clic su Modifica.
  5. Configurare la pagina Scheda di autenticazione certificato.
    Nota: Un asterisco indica un campo obbligatorio. Tutti gli altri campi sono facoltativi.
    Opzione Descrizione
    *Nome L'immissione del nome è obbligatoria. Il nome predefinito è CertificateAuthAdapter, ma è possibile modificarlo.
    Abilita adattatore certificato Selezionare la casella di controllo per abilitare l'autenticazione del certificato.
    *Certificati radice e intermedi dell'autorità di certificazione Selezionare i file di certificato da caricare. È possibile selezionare più certificati radice e intermedi dell'autorità di certificazione, codificati come DER o PEM.
    Certificati autorità di certificazione caricati I file di certificato caricati sono elencati nella sezione Certificati autorità di certificazione caricati del modulo.

    Per rendere disponibili i nuovi certificati, è necessario riavviare il servizio.

    Fare clic su Riavvia servizio Web per riavviare il servizio e aggiungere i certificati al servizio attendibile.

    Nota: Il riavvio del servizio non comporta l'abilitazione dell'autenticazione dei certificati. Dopo aver riavviato il servizio, continuare a configurare questa pagina. Facendo clic su Salva in fondo alla pagina si abilita l'autenticazione dei certificati nel servizio.
    Usa email se nel certificato non esiste un UPN

    Se il nome dell'entità utente (UPN) non esiste nel certificato, selezionare questa casella di controllo per utilizzare l'attributo emailAddress come estensione SAN (Subject Alternative Name, nome alternativo del soggetto) per convalidare gli account utente.

    Criteri di certificato accettati Creare un elenco di identificatori di oggetto accettati nelle estensioni dei criteri di certificato.

    Immettere i numeri OID (Object ID Number) per il criterio di emissione dei certificati. Fare clic su Aggiungi un altro valore per aggiungere altri OID.

    Abilita revoca certificato Selezionare la casella di controllo per abilitare il controllo della revoca del certificato. In questo modo si impedirà l'autenticazione degli utenti che hanno certificati revocati.
    Usa CRL dei certificati Selezionare la casella di controllo per utilizzare l'elenco di revoche di certificati (CRL) pubblicato dall'autorità di certificazione che ha emesso i certificati per convalidare lo stato, revocato o non revocato, di un certificato.
    Posizione CRL Immettere il percorso del file server o del file locale dal quale recuperare l'elenco di revoche di certificati.
    Abilita revoca OCSP Selezionare la casella di controllo per utilizzare il protocollo di convalida del certificato OCSP (Online Certificate Status Protocol) per ottenere lo stato della revoca di un certificato.
    Usa CRL in caso di errore OCSP Se si configurano sia CRL che OCSP, è possibile selezionare questa casella di controllo per eseguire il fallback a CRL se il controllo OCSP non è disponibile.
    Invia nonce OCSP Selezionare questa casella di controllo se si desidera inviare l'identificativo univoco della richiesta OCSP nella risposta.
    URL OCSP Se la revoca OCSP è stata abilitata, immettere l'indirizzo del server OCSP per il controllo della revoca.
    Certificato della firma del risponditore OCSP Immettere il percorso del certificato OCSP del risponditore, /path/to/file.cer.
    Abilita modulo consenso prima dell'autenticazione Selezionare questa casella di controllo per includere una pagina per il modulo di consenso, da visualizzare prima che gli utenti accedano al portale My Apps utilizzando l'autenticazione del certificato.
    Contenuto modulo consenso Digitare in questa casella il testo visualizzato nel modulo di consenso.
  6. Fare clic su Salva.

Operazioni successive

  • Aggiungere il metodo di autenticazione dei certificati al criterio di accesso predefinito. Passare ad Amministrazione > Gestione directory > Criteri e fare clic su Modifica criterio predefinito per modificare le regole del criterio predefinito, aggiungere Certificato e impostarlo come primo metodo di autenticazione per il criterio predefinito. Certificato deve essere il primo metodo di autenticazione elencato nella regola del criterio. In caso contrario, l'autenticazione del certificato non verrà eseguita correttamente.
  • Quando l'autenticazione del certificato è configurata e l'appliance del servizio è impostata dietro un bilanciamento del carico, assicurarsi che il Directories Managementconnettore sia configurato con un pass-through SSL a livello del bilanciamento del carico e per non terminare SSL a tale livello. Questa configurazione assicura che l'handshake SSL venga eseguito tra il connettore e il client per passare il certificato al connettore.