Об этой задаче

Можно настроить проверку подлинности с помощью сертификата x509, благодаря которой клиенты смогут выполнять проверку подлинности с помощью сертификатов на виртуальных компьютерах и мобильных устройствах. См. раздел Настройка сертификата или адаптера смарт-карт для использования с VMware Identity Manager..

Необходимые условия

  • Получение корневого сертификата и промежуточных сертификатов от центра сертификации (ЦС), который подписал сертификаты, предъявленные пользователями.

  • (Необязательно.) Список идентификаторов объекта (OID) с действительными политиками сертификатов для проверки подлинности с помощью сертификата.

  • Расположение файла CRL и URL-адрес сервера OCSP для проверки отзыва.

  • (Необязательно) Расположение файла ответа OCSP на подписание сертификата.

  • Содержание формы выражения согласия, если перед проверкой подлинности требуется отображение формы выражения согласия.

Процедура

  1. В консоли администрирования на вкладке «Управление учетными данными и доступом» выберите Настройка.
  2. На странице «Соединители» выберите ссылку «Рабочий процесс» для настраиваемого соединителя.
  3. Нажмите Адаптеры проверки подлинности, а затем нажмите CertificateAuthAdapter.
  4. Выполните настройку на странице «Адаптер проверки подлинности службы сертификатов».
    Примечание:

    Звездочка обозначает обязательное поле. Остальные поля являются необязательными.

    Параметр

    Описание

    * Имя

    Имя должно быть задано. По умолчанию используется имя CertificateAuthAdapter. Его можно изменить.

    Включить адаптер сертификатов

    Установите флажок, чтобы включить проверку подлинности с помощью сертификата.

    * Корневые и промежуточные сертификаты ЦС

    Выберите файлы сертификатов для загрузки. Вы можете выбрать несколько корневых и промежуточных сертификатов центра сертификации, зашифрованных в формате DER или PEM.

    Загруженные сертификаты ЦС

    Загруженные файлы сертификатов перечислены в разделе «Загруженные сертификаты ЦС» формы.

    Использовать электронную почту при отсутствии UPN в сертификате

    Если в сертификате отсутствует основное имя пользователя (UPN), установите этот флажок, чтобы использовать атрибут emailAddress в качестве расширения альтернативного имени субъекта для проверки учетных записей пользователей.

    Принимаемые политики сертификатов

    Создайте список идентификаторов объектов, которые принимаются в расширениях политик сертификата.

    Введите числа идентификаторов объекта (OID) для политики выпуска сертификата. Нажмите Добавить еще одно значение, чтобы добавить дополнительные идентификаторы.

    Включить отзыв сертификатов

    Установите флажок, чтобы включить проверку отзыва сертификата. В этом случае пользователи, у которых отозваны сертификаты, не смогут пройти проверку подлинности.

    Использовать CRL из сертификатов

    Установите флажок, чтобы использовать список отзыва сертификатов (CRL), опубликованный центром сертификации, выдавшим сертификаты, для подтверждения состояния сертификата (отозван он или нет).

    Расположение CRL

    Введите путь к файловому серверу или локальный путь к файлу, из которого нужно извлечь CRL.

    Включить отзыв OCSP

    Установите флажок, чтобы использовать протокол проверки состояния сертификатов (OCSP) и получить статус отзыва сертификата.

    Использовать CRL в случае отказа OCSP

    Если настроить и CRL, и OCSP, то при установке этого флажка будет осуществлен возврат к использованию CRL, если проверка по OCSP недоступна.

    Отправить специальный параметр OCSP

    Установите флажок, чтобы отправлять в ответе уникальный идентификатор запроса OCSP.

    URL-адрес OCSP

    Если включен отзыв по OCSP, введите адрес сервера OCSP для проверки отзыва.

    Сертификат подписи ответчика OCSP

    Введите путь к сертификату OCSP для ответчика, /path/to/file.cer.

    Включить форму подтверждения перед проверкой подлинности

    Установите этот флажок, чтобы включить отображение пользователям страницы подтверждения перед входом на портал Workspace ONE для проверки подлинности с использованием сертификата.

    Содержимое формы подтверждения

    Введите в этом поле текст, который будет отображаться в форме подтверждения.

  5. Нажмите кнопку Сохранить.

Дальнейшие действия

  • Добавьте метод проверки подлинности с помощью сертификата в политику доступа по умолчанию. См. раздел Управление способами проверки подлинности, применяемыми для пользователей.

  • При настроенной проверке подлинности с помощью сертификата и установленной за подсистемой балансировки нагрузки устройством службы убедитесь, что компонент VMware Identity Managerсоединитель настроен на сквозное подключение SSL через подсистему балансировки нагрузки и SSL не замыкается на эту подсистему. Эта конфигурация гарантирует, что между соединителем и клиентом будет установлена связь по протоколу SSL для передачи сертификата соединителю.