U activeert en configureert verificatie via een certificaat via de functie Beheer van directory's van de vRealize Automation-beheerconsole.

Voordat u begint

  • Haal het basiscertificaat en de tussencertificaten op van de certificeringsinstantie die de certificaten die door uw gebruikers worden voorgesteld, heeft ondertekend.

  • (Optioneel) Lijst met object-id's (OID's) van geldige certificaatbeleidsregels voor certificaatverificatie.

  • Voor intrekkingscontrole, de bestandslocatie van de CRL, de URL van de OCSP-server.

  • (Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord.

  • Inhoud van toestemmingsformulier bij het inschakelen van een toestemmingsformulier voor weergave vóór de verificatie.

Procedure

  1. Ga als tenantbeheerder naar Beheer > Beheer van directory's > Connectoren
  2. Selecteer op de pagina Connectoren de koppeling Werker voor de connector die wordt geconfigureerd.
  3. Klik op Verificatieadapters en klik vervolgens op Certificaatverificatieadapter.

    U wordt omgeleid naar de aanmeldpagina van het identiteitsbeheer.

  4. Klik in de rij Certificaatverificatieadapter op Bewerken.
  5. Configureer de pagina Certificaatverificatieadapter.
    Opmerking:

    Een sterretje geeft aan dat dit veld moet worden ingevuld. Alle overige velden zijn optioneel.

    Optie

    Beschrijving

    *Naam

    Een naam is vereist. De standaardnaam is Certificaatverificatieadapter. U kunt deze naam wijzigen.

    Certificaatadapter inschakelen

    Schakel het selectievakje in om certificaatverificatie in te schakelen.

    *Basis- en tussen-CA-certificaten

    Selecteer de certificaatbestanden die moeten worden geüpload. U kunt meerdere basis-CA-certificaten en tussen-CA-certificaten die gecodeerd zijn als DER of PEM, selecteren.

    Geüploade CA-certificaten

    De geüploade certificaatbestanden worden weergegeven in de sectie Geüploade CA-certificaten van het formulier.

    U moet de service opnieuw opstarten om de nieuwe certificaten beschikbaar te maken.

    Klik op Web Service opnieuw opstarten om de service opnieuw op te starten en de certificaten aan de vertrouwde service toe te voegen.

    Opmerking:

    Door de service opnieuw op te starten, wordt de certificaatverificatie niet ingeschakeld. Nadat de service opnieuw is opgestart, gaat u verder met de configuratie van deze pagina. Door aan het einde van de pagina op Opslaan te klikken, wordt de certificaatverificatie op de service ingeschakeld.

    E-mail gebruiken als certificaat geen UPN bevat

    Als de User Principal Name (UPN) niet bestaat in het certificaat, schakelt u dit selectievakje in om het kenmerk E-mailadres te gebruiken als de extensie van de Alternatieve naam voor onderwerp om gebruikersaccounts te valideren.

    Certificaatbeleid geaccepteerd

    Maak een lijst met object-id's die worden geaccepteerd in de certificaatbeleidextensies.

    Voer de object-id's (OID's) in voor het certificaatuitgiftebeleid. Klik op Waarde toevoegen om aanvullende OID's toe te voegen.

    Certificaatintrekking inschakelen

    Schakel het selectievakje in om certificaatintrekkingscontrole in te schakelen. Dit voorkomt dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren.

    CRL van certificaten gebruiken

    Schakel het selectievakje in om de certificaatintrekkingslijst (CRL) te gebruiken die werd gepubliceerd door de certificeringsinstantie die de certificaten heeft uitgegeven om de status van een certificaat (ingetrokken of niet-ingetrokken) te valideren.

    Locatie van CRL

    Voer het serverbestandspad of het lokale bestandspad in waarvan de CRL moet worden opgehaald.

    OCSP-intrekking inschakelen

    Schakel het selectievakje in om het certificaatvalidatieprotocol Online Certificate Status Protocol (OCSP) te gebruiken om de intrekkingsstatus van een certificaat op te halen.

    CRL gebruiken als OCSP mislukt

    Als u zowel CRL als OCSP configureert, kunt u dit vakje inschakelen om terug te vallen op CRL als de OCSP-controle niet beschikbaar is.

    OCSP-nonce verzenden

    Schakel dit selectievakje in als u wilt dat de unieke id van de OCSP-aanvraag in het antwoord wordt verzonden.

    OCSP URL

    Als u OCSP-intrekking inschakelt, voert u het OCSP-serveradres voor intrekkingscontrole in.

    Handtekeningcertificaat van OCSP-responder

    Voer het pad in naar het OCSP-certificaat voor de responder, /path/to/file.cer.

    Toestemmingsformulier inschakelen vóór verificatie

    Schakel dit selectievakje in om een pagina met een toestemmingsformulier te laten weergeven voordat gebruikers zich bij het portaal Mijn apps aanmelden met behulp van certificaatverificatie.

    Inhoud van toestemmingsformulier

    Typ in dit tekstvak de tekst die in het toestemmingsformulier moet worden weergegeven.

  6. Klik op Opslaan.

Volgende stappen

  • Voeg de verificatiemethode via een certificaat toe aan het standaardtoegangsbeleid. Ga naar Beheer > Beheer van directory's > Beleid en klik op Standaardbeleid bewerken om de standaardbeleidsregels te bewerken, Certificaat toe te voegen en dit de eerste verificatiemethode te maken voor het standaardbeleid. Certificaat moet de eerste verificatiemethode zijn die in de beleidsregel wordt weergegeven. Anders mislukt certificaatverificatie.

  • Als Certificaatverificatie is geconfigureerd en de servertoepassing wordt ingesteld achter een load balancer, dan zorgt u ervoor dat de Directories Management Connector is geconfigureerd met SSL-passthrough op de load balancer en dat deze niet is geconfigureerd om SSL op de load balancer te beëindigen. Deze configuratie zorgt ervoor dat de SSL-handshake plaatsvindt tussen de connector en de client om het certificaat door te geven naar de connector.