Hoe instellingen voor certificaatverificatie voor de verificatiemethode Mobiele SSO (voor Apple) worden gebruikt

Als u aanmelding met certificaatverificatie via Mobiele SSO (voor Apple) wilt toestaan, moeten root- en tussencertificaten naar de Workspace ONE Access-service worden geüpload. Het X.509-certificaat maakt gebruik van de PKI-standaard (Public Key Infrastructure) om te controleren of een openbare sleutel in het certificaat eigendom is van de gebruiker.

Wanneer u instellingen voor verificatie op basis van certificaten met Mobiele SSO (voor Apple) configureert, stelt u 'Zoekvolgorde voor gebruikers-ID' in om de gebruikers-ID in het certificaat te vinden. Voor de verificatie Mobiele SSO (voor Apple) moet de waarde van het identificatiekenmerk dezelfde waarde zijn voor zowel Workspace ONE Access- als Workspace ONE UEM-services. Anders mislukt de SSO Apple.

U kunt een lijst met object-ID's maken die worden geaccepteerd in de certificaatbeleidsextensies. De OID is een ID die is gekoppeld aan het Certificate Practice Statement (CPS). De volgende waarde is een voorbeeld van een OID-naamruimte 1.3.6.1.4.1.{PENnumber}.

U kunt certificaatintrekkingscontrole configureren om te voorkomen dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren. Certificaten worden vaak ingetrokken wanneer een gebruiker een organisatie verlaat of van de ene naar de andere afdeling verhuist.

Voor extra beveiliging kunt u de apparaatinstellingen configureren zodat gebruikers een biometrische methode moeten gebruiken om het apparaat te ontgrendelen voordat het certificaat wordt gebruikt om de aanmelding te verifiëren. Als deze instelling is geconfigureerd, wordt een gebruiker elke keer die toegang krijgt tot een app waarvoor certificaatverificatie is vereist, gevraagd om de biometrische methode in te voeren die u heeft geconfigureerd.

Instellingen voor intrekkingscontrole configureren

Certificaatintrekkingscontroles met certificaatintrekkingslijsten (CRL) en met het Online Certificate Status Protocol (OCSP) worden ondersteund. Een CRL is een lijst met ingetrokken certificaten die gepubliceerd wordt door de certificaatautoriteit die de certificaten heeft uitgegeven. OCSP is een certificaatvalidatieprotocol dat wordt gebruikt om de intrekkingsstatus van een certificaat te verkrijgen.

U kunt zowel CRL als OCSP configureren in dezelfde configuratie van de certificaatverificatieadapter. Wanneer u beide typen van certificaatintrekking configureert en het selectievakje CRL gebruiken bij OCSP-fout is ingeschakeld, wordt eerst OCSP gecontroleerd. Als OCSP mislukt, valt de intrekkingscontrole terug op CRL. Intrekkingscontrole valt niet terug op OCSP als CRL mislukt.

Als u certificaatintrekking inschakelt, leest de Workspace ONE Access-server een CRL om de intrekkingsstatus van een gebruikerscertificaat te bepalen. Als een certificaat wordt ingetrokken, mislukt de verificatie via het certificaat.

Aanmelden met OCSP-certificaatcontrole is een alternatief voor certificaatintrekkingslijsten (CRL) dat wordt gebruikt voor een certificaatintrekkingscontrole.

Wanneer u certificaatgebaseerde verificatie configureert en zowel Intrekken certificaat inschakelen als Intrekken OCSP inschakelen zijn ingeschakeld, valideert Workspace ONE Access de hele certificaatketen, met inbegrip van de primaire, tussen- en rootcertificaten. De intrekkingscontrole mislukt als de controle van een certificaat in de keten mislukt of het aanroepen van de OCSP-URL mislukt.

De OCSP-URL kan handmatig worden geconfigureerd in het tekstvak of worden geëxtraheerd uit de AIA-extensie (Authority Information Access) van het certificaat dat wordt gevalideerd.

De OCSP-optie die u selecteert, wanneer u certificaatverificatie configureert, bepaalt hoe Workspace ONE Access de OCSP-URL gebruikt.

• Alleen configuratie. Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die is opgegeven in het tekstvak om de hele certificaatketen te valideren. Negeer de informatie in de AIA-extensie van het certificaat. Het tekstvak OCSP-URL moet ook worden geconfigureerd met het OCSP-serveradres voor intrekkingscontrole.
• Alleen certificaat (vereist). Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die bestaat in de AIA-extensie van elk certificaat in de keten. De instelling in het tekstvak OCSP-URL wordt genegeerd. Elk certificaat in de keten moet een OCSP-URL hebben die is gedefinieerd, anders mislukt de controle van certificaatintrekking.
• Alleen certificaat (optioneel). Voer alleen een controle van certificaatintrekking uit met behulp van de OCSP-URL die in de AIA-extensie van het certificaat bestaat. Controleer de intrekking niet als de OCSP-URL niet in de AIA-extensie van het certificaat bestaat. De instelling in het tekstvak OCSP-URL wordt genegeerd. Deze configuratie is handig wanneer intrekkingscontrole is gewenst, maar sommige tussenliggende of rootcertificaten bevatten de OCSP-URL in de AIA-extensie niet.
• Certificaat met terugval naar configuratie. Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die uit de AIA-extensie van elk certificaat in de keten is geëxtraheerd, wanneer de OCSP-URL beschikbaar is. Als de OCSP-URL niet de AIA-extensie heeft, controleert u de intrekking met behulp van de OCSP-URL die in het tekstvak OCSP-URL is geconfigureerd. Het tekstvak OCSP-URL moet worden geconfigureerd met het OCSP-serveradres.

Certificaatverificatie voor mobiele SSO (voor Apple) configureren

Vereisten

• Sla het uitgevercertificaat op dat u wilt uploaden voor verificatie mobiele SSO (voor Apple). Als u het Workspace ONE UEM-certificaat gebruikt, exporteert en bewaart u het rootcertificaat vanaf de pagina Systeem > Bedrijfsintegratie > Workspace ONE Access > Configuratie in de Workspace ONE UEM-console.
• (Optioneel) Lijst met object-id (OID) van geldige certificaatbeleidsregels voor certificaatverificatie.
• Voor intrekkingscontrole, de bestandslocatie van de CRL en de URL van de OCSP-server.
• (Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord.
• (Optioneel) Selecteer de biometrische verificatie die u wilt configureren.

1. Ga in de Workspace ONE Access-console naar de pagina Integraties > Verificatiemethoden en selecteer Mobiele SSO (voor Apple).
2. Klik op CONFIGUREREN en configureer de instellingen voor certificaatverificatie.

   Optie	Beschrijving
   Certificaatadapter inschakelen	Schakel Ja in om certificaatverificatie in te schakelen.
   CA-certificaten op root- en gemiddeld niveau Geüploade CA-certificaten	Selecteer het rootcertificaat dat u hebt opgeslagen in de Workspace ONE UEM-console om het te uploaden. Het certificaatbestand dat is geüpload, wordt hier weergegeven.
   Zoekvolgorde voor gebruikers-ID	Selecteer de zoekvolgorde om te zoeken naar de gebruikers-id in het certificaat. Voor de verificatiemethode Mobiele SSO (voor Apple) moet de waarde van het id-kenmerk dezelfde waarde zijn in zowel Workspace ONE Access als in Workspace ONE UEM-services. Anders mislukt de SSO Apple. upn. De waarde UserPrincipalName van de alternatieve onderwerpnaam. email. Het e-mailadres van de alternatieve onderwerpnaam. subject. De UID-waarde van het onderwerp. Als de UID niet wordt gevonden in de onderwerp-DN, wordt de UID-waarde in het tekstvak CN gebruikt, als het tekstvak CN is geconfigureerd. Opmerking: Als een Workspace ONE UEM CA wordt gebruikt voor het genereren van een clientcertificaat, moet 'Zoekvolgorde voor gebruikers-ID' UPN | Onderwerp zijn. Als een zakelijke CA van derden wordt gebruikt, moet 'Zoekvolgorde van gebruikers-ID' UPN | E-mail | Onderwerp zijn en moet het certificaatsjabloon de onderwerpnaam CN={DeviceUid}:{EnrollmentUser} bevatten. Zorg ervoor dat de dubbelepunt (:) niet ontbreekt.
   UPN-indeling valideren	Schakel Ja in om de indeling van het tekstvak UserPrincipalName te valideren.
   Time-out voor aanvraag	Voer het aantal seconden in dat moet worden gewacht op een antwoord. Als u nul (0) invoert, wacht het systeem oneindig op een antwoord.
   Certificaatbeleid geaccepteerd	Maak een lijst met object-ID's die worden geaccepteerd in certificaatbeleidsextensies. Voer de object-ID-nummers (OID's) in voor het certificaatuitgiftebeleid. Klik op Toevoegen om aanvullende OID's toe te voegen.
   Intrekken certificaat inschakelen	Schakel Ja in om de certificaatintrekkingscontrole in te schakelen. Intrekkingscontrole voorkomt dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren.
   CRL van certificaten gebruiken	Schakel Ja in om de certificaatintrekkingslijst (certificate revocation list, CRL) te gebruiken die is gepubliceerd door de certificaatautoriteit die de certificaten heeft uitgegeven, om de status van een certificaat, ingetrokken of niet-ingetrokken, te valideren.
   CRL-locatie	Voer het serverbestandspad of het lokale bestandspad in waarvan de certificaatintrekkingslijst moet worden opgehaald.
   Intrekken OCSP inschakelen	Schakel Ja in om het certificaatvalidatieprotocol (Online Certificate Status Protocol, OCSP) te gebruiken om de intrekkingsstatus van een certificaat in te stellen.
   CRL gebruiken bij OCSP-fout	Als u zowel CRL als OCSP instelt, kunt u deze schakelaar inschakelen om terug te vallen en CRL te gebruiken als de OCSP-controleoptie niet beschikbaar is.
   OCSP Nonce verzenden	Schakel deze schakelaar in als u wilt dat de unieke ID van de OCSP-aanvraag in het antwoord wordt verzonden.
   OCSP-URL	Als u OCSP-intrekking inschakelt, voert u het OCSP-serveradres voor intrekkingscontrole in.
   OCSP-URL-bron	Selecteer de bron die moet worden gebruikt voor de intrekkingscontrole. Selecteer Alleen configuratie om een certificaatintrekkingscontrole uit te voeren met behulp van de OCSP-URL die is opgegeven in het tekstvak OCSP-URL om de hele certificaatketen te valideren. Selecteer Alleen certificaat (vereist) om een certificaatintrekkingscontrole uit te voeren met behulp van de OCSP-URL die bestaat in de Authority Information Access-extensie (AIA) van elk certificaat in de keten. Op elk certificaat in de keten moet de OCSP-URL zijn gedefinieerd, anders mislukt de controle van certificaatintrekking. Selecteer Alleen certificaat (optioneel) om alleen een certificaatintrekkingscontrole uit te voeren met behulp van de OCSP-URL die in de AIA-extensie van het certificaat bestaat. Controleer de intrekking niet als de OCSP-URL niet in de AIA-extensie van het certificaat bestaat. Selecteer Certificaat met terugval naar configuratie om een certificaatintrekkingscontrole uit te voeren met behulp van de OCSP-URL die uit de AIA-extensie van elk certificaat in de keten is geëxtraheerd, wanneer de OCSP-URL beschikbaar is. Als de OCSP-URL niet de AIA-extensie bevat, is het alternatief om de intrekking te controleren met behulp van de OCSP-URL die is geconfigureerd in het tekstvak OCSP-URL. Het tekstvak OCSP-URL moet worden geconfigureerd met het OCSP-serveradres.
   Ondertekeningscertificaten van OCSP-responder OCSP-ondertekeningscertificaten geüpload	Selecteer de bestanden voor OCSP-responder ondertekeningscertificaten die u wilt uploaden. Hier worden de geüploade bestanden voor OCSP-responder ondertekeningscertificaten weergegeven.
   Type apparaatverificatie	Mobiele SSO (voor Apple) ondersteunt het vereisen dat de gebruiker zich met het apparaat verifieert met behulp van een biometrisch mechanisme (FaceID of TouchID) of een toegangscode voordat het certificaat op het apparaat wordt gebruikt voor de verificatie met Workspace ONE Access. Als gebruikers moeten verifiëren met een biometrische of biometrische toegangscode als back-up, selecteert u de juiste optie. Anders selecteert u GEEN.

3. Klik op OPSLAAN.

   De configuratie-instellingen worden weergegeven op de pagina met verificatiemethoden voor mobiele SSO (voor Apple).

   

Een ingebouwde identiteitsprovider configureren

Configureer op de pagina van de ingebouwde identiteitsprovider in Workspace ONE Access de gebruikers, netwerkbereiken en verificatiemethoden die gebruikers gebruiken voor Single Sign-On bij hun app-portal.

Vereisten

Om de ingebouwde identiteitsprovider te configureren, moet u ervoor zorgen dat de volgende taken zijn voltooid.

• Gebruikers en groepen in uw bedrijfsdirectory zijn naar de Workspace ONE Access-directory's gesynchroniseerd.
• Netwerkbereiken die zijn gemaakt op de pagina Resources > Beleidsregels > Netwerkbereiken.
• De verificatiemethoden Mobiele SSO (voor Apple) zijn geconfigureerd.

Procedure

1. Klik op TOEVOEGEN en selecteer de identiteitsprovider met het label Ingebouwde IDP en configureer de identiteitsproviderinstellingen op de pagina Integraties > Identiteitsproviders in de Workspace ONE Access-console.

   Optie	Beschrijving
   Naam van identiteitsprovider	Voer de naam in van deze ingebouwde identiteitsproviderinstantie.
   Gebruikers	Selecteer welke gebruikers u wilt verifiëren. De directory's die u heeft geconfigureerd, worden weergegeven.
   Een connector en verificatiemethoden voor een connector toevoegen	N.v.t.
   Verificatiemethoden	De verificatiemethoden die zijn geconfigureerd op de pagina Integraties > Verificatiemethoden worden weergegeven. Selecteer Mobiele SSO (voor Apple).
   Netwerk	De bestaande netwerkbereiken die zijn geconfigureerd in de service worden weergegeven. Selecteer de netwerkbereiken voor de gebruikers, op basis van hun IP-adressen, die u voor verificatie wilt omleiden naar deze identiteitsproviderinstantie.
   KDC-certificaat exporteren	N.v.t.

2. Klik op OPSLAAN.

Wat nu te doen

Configureer de standaard toegangsbeleidsregel voor Mobiele SSO (voor Apple).