U configureert de verificatiemethode Certificaat (cloudimplementatie) op de pagina Verificatiemethoden in de Workspace ONE Access-console en vervolgens selecteert u de verificatiemethode die u in de ingebouwde identiteitsprovider wilt gebruiken.

Voorwaarden

  • Haal het basiscertificaat en de tussencertificaten op van de certificatieautoriteit die de certificaten die door uw gebruikers worden voorgesteld, heeft ondertekend.
  • (Optioneel) Lijst met object-id (OID) van geldige certificaatbeleidsregels voor certificaatverificatie.
  • Voor intrekkingscontrole, de bestandslocatie van de CRL en de URL van de OCSP-server.
  • (Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord.
  • Inhoud van instemmingsformulier wanneer een instemmingsformulier vóór verificatie wordt weergegeven.

Procedure

  1. Ga op het tabblad Identiteits- en toegangsbeheer naar Beheren > Verificatiemethoden.
  2. Klik in de kolom Configureren op het potloodpictogram naast Certificaat (cloudimplementatie).
  3. Schakel de verificatie Compliance van apparaat in en stel het maximaal toegestane aantal mislukte aanmeldpogingen in. De overige tekstvakken worden vooraf ingevuld met de geconfigureerde Workspace ONE UEM-waarden.
  4. Configureer de pagina Verificatieadapter voor de certificaatservice.
    Optie Beschrijving
    Certificaatadapter inschakelen Schakel het selectievakje in om certificaatverificatie in te schakelen.
    *Basis- en tussen-CA-certificaten Selecteer de certificaatbestanden die moeten worden geüpload. U kunt meerdere basis-CA-certificaten en tussen-CA-certificaten die gecodeerd zijn als DER of PEM, selecteren.
    Geüploade CA-certificaten De geüploade certificaatbestanden worden in de sectie Geüploade CA-certificaten van het formulier weergegeven.
    Zoekvolgorde voor gebruikers-ID

    Selecteer de zoekvolgorde om te zoeken naar de gebruikers-id in het certificaat.

    • upn. De waarde UserPrincipalName van de alternatieve onderwerpnaam
    • email. Het e-mailadres van de alternatieve onderwerpnaam.
    • subject. De UID-waarde van het onderwerp. Als de UID niet in de onderwerp-DN wordt gevonden, wordt de UID-waarde in het tekstvak CN gebruikt, als het tekstvak CN is geconfigureerd.

    UPN-indeling valideren Schakel dit selectievakje in om de indeling van het tekstvak UserPrincipalName te valideren.
    Time-out voor aanvraag Voer het aantal seconden in dat moet worden gewacht op een antwoord. Een waarde van nul (0) betekent dat oneindig op het antwoord wordt gewacht.
    Certificaatbeleid geaccepteerd Maak een lijst met object-id's die worden geaccepteerd in de certificaatbeleidextensies.

    Voer de object-id's (OID's) in voor het certificaatuitgiftebeleid. Klik op Nog een waarde toevoegen om aanvullende OID's toe te voegen.

    Intrekken certificaat inschakelen Schakel het selectievakje in om certificaatintrekkingscontrole in te schakelen. Intrekkingscontrole voorkomt dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren.
    CRL van certificaten gebruiken Schakel het selectievakje in om de certificaatintrekkingslijst (certificate revocation list, CRL) te gebruiken die werd gepubliceerd door de certificatieautoriteit die de certificaten heeft uitgegeven, om de status van een certificaat, ingetrokken of niet-ingetrokken, te valideren.
    CRL-locatie Voer het serverbestandspad of het lokale bestandspad in waarvan de CRL moet worden opgehaald.
    Intrekken OCSP inschakelen Schakel het selectievakje in om het certificaatvalidatieprotocol (Online Certificate Status Protocol, OCSP) te gebruiken om de intrekkingsstatus van een certificaat op te halen.
    CRL gebruiken bij OCSP-fout Als u zowel CRL als OCSP configureert, kunt u dit vakje inschakelen om terug te vallen op CRL als de OCSP-controle niet beschikbaar is.
    OCSP Nonce verzenden Schakel dit selectievakje in als u wilt dat de unieke id van de OCSP-aanvraag in het antwoord wordt verzonden.
    OCSP-URL Als u OCSP-intrekking inschakelt, voert u het OCSP-serveradres voor intrekkingscontrole in.
    OCSP-URL-bron Selecteer de bron die moet worden gebruikt voor de intrekkingscontrole.
    • Alleen configuratie. Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die is opgegeven in het tekstvak om de hele certificaatketen te valideren.
    • Alleen certificaat (vereist). Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die bestaat in de AIA-extensie van elk certificaat in de keten. Elk certificaat in de keten moet een OCSP-URL hebben die is gedefinieerd, anders mislukt de controle van certificaatintrekking.
    • Alleen certificaat (optioneel). Voer alleen een controle van certificaatintrekking uit met behulp van de OCSP-URL die in de AIA-extensie van het certificaat bestaat. Controleer de intrekking niet als de OCSP-URL niet in de AIA-extensie van het certificaat bestaat.
    • Certificaat met terugval naar configuratie. Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die uit de AIA-extensie van elk certificaat in de keten is geëxtraheerd, wanneer de OCSP-URL beschikbaar is. Als de OCSP-URL niet de AIA-extensie heeft, controleert u de intrekking met behulp van de OCSP-URL die in het tekstvak OCSP-URL is geconfigureerd. Het tekstvak OCSP-URL moet worden geconfigureerd met het OCSP-serveradres.
    Ondertekeningscertificaat van OCSP-responder Voer het pad in naar het OCSP-certificaat voor de responder, /path/to/file.cer.
    OCSP-ondertekeningscertificaten uploaden De geüploade certificaatbestanden worden in deze sectie weergegeven.
    Instemmingsformulier inschakelen vóór verificatie Schakel dit selectievakje in om een pagina met een toestemmingsformulier te laten weergeven voordat gebruikers zich bij de Workspace ONE-portal aanmelden met behulp van certificaatverificatie.
    Inhoud van instemmingsformulier Typ in dit tekstvak de tekst die in het toestemmingsformulier moet worden weergegeven.
  5. Klik op Opslaan.

Volgende stappen

  • Koppel de verificatiemethode Certificaat (cloudimplementatie) in de ingebouwde identiteitsprovider. Zie Een ingebouwde identiteitsprovider in Workspace ONE Access configureren.
  • Voeg de certificaatverificatiemethode toe aan het standaardtoegangsbeleid. Zie Toegangsbeleid beheren.
  • (Implementaties op locatie) Als Certificaatverificatie is geconfigureerd en de serviceappliance achter een load balancer is ingesteld, zorgt u ervoor dat Workspace ONE Access Connector met SSL-passthrough op de load balancer is geconfigureerd en dat deze niet is geconfigureerd om SSL op de load balancer te beëindigen. Deze configuratie zorgt ervoor dat de SSL-handdruk tussen de connector en de client plaatsvindt om het certificaat door te geven aan de connector.