Можно настроить проверку подлинности с помощью сертификата x509, благодаря которой клиенты смогут выполнять проверку подлинности с помощью сертификатов на виртуальных компьютерах и мобильных устройствах.

См. раздел Настройка сертификата или адаптера смарт-карт для использования с VMware Identity Manager..

Необходимые условия

  • Получение корневого сертификата и промежуточных сертификатов от центра сертификации (ЦС), который подписал сертификаты, предъявленные пользователями.
  • (Необязательно.) Список идентификаторов объекта (OID) с действительными политиками сертификатов для проверки подлинности с помощью сертификата.
  • Расположение файла CRL и URL-адрес сервера OCSP для проверки отзыва.
  • (Необязательно) Расположение файла ответа OCSP на подписание сертификата.
  • Содержание формы выражения согласия, если перед проверкой подлинности требуется отображение формы выражения согласия.

Процедура

  1. В консоли VMware Identity Manager на вкладке «Управление учетными данными и доступом» выберите Настройка.
  2. На странице «Соединители» выберите ссылку «Рабочий процесс» для настраиваемого соединителя.
  3. Нажмите Адаптеры проверки подлинности, а затем нажмите CertificateAuthAdapter.
  4. Выполните настройку на странице «Адаптер проверки подлинности службы сертификатов».
    Примечание: Звездочка обозначает обязательное поле. Остальные поля являются необязательными.
    Параметр Описание
    * Имя Имя должно быть задано. По умолчанию используется имя CertificateAuthAdapter. Его можно изменить.
    Включить адаптер сертификатов Установите флажок, чтобы включить проверку подлинности с помощью сертификата.
    * Корневые и промежуточные сертификаты ЦС Выберите файлы сертификатов для загрузки. Вы можете выбрать несколько корневых и промежуточных сертификатов центра сертификации, зашифрованных в формате DER или PEM.
    Загруженные сертификаты ЦС Загруженные файлы сертификатов перечислены в разделе «Загруженные сертификаты ЦС» формы.
    Порядок поиска идентификатора

    Выберите порядок поиска, чтобы найти идентификатор пользователя в сертификате.

    • основное имя пользователя. Значение UserPrincipalName альтернативного имени субъекта
    • адрес эл. почты. Адрес эл. почты альтернативного имени субъекта.
    • субъект. Значение идентификатора UID субъекта. Если идентификатор UID не найден в различающемся имени субъекта, то при настройке поля CN используется значение идентификатора UID в поле CN.

    Подтверждение формата UPN Установите этот флажок, чтобы подтвердить формат поля UserPrincipalName.
    Время ожидания запроса Введите время ожидания ответа в секундах. Значение 0 (ноль) означает, что время ожидания является неопределенным.
    Политики сертификата приняты Создайте список идентификаторов объектов, которые принимаются в расширениях политик сертификата.

    Введите числа идентификаторов объекта (OID) для политики выпуска сертификата. Нажмите Добавить еще одно значение, чтобы добавить дополнительные идентификаторы.

    Включить отзыв сертификатов Установите флажок, чтобы включить проверку отзыва сертификата. В этом случае пользователи, у которых отозваны сертификаты, не смогут пройти проверку подлинности.
    Использовать CRL из сертификатов Установите флажок, чтобы использовать список отзыва сертификатов (CRL), опубликованный центром сертификации, выдавшим сертификаты, для подтверждения состояния сертификата (отозван он или нет).
    Расположение CRL Введите путь к файловому серверу или локальный путь к файлу, из которого нужно извлечь CRL.
    Включить отзыв OCSP Установите флажок, чтобы использовать протокол проверки состояния сертификатов (OCSP) и получить статус отзыва сертификата.
    Использовать CRL в случае отказа OCSP Если настроить и CRL, и OCSP, то после установки этого флажка будет осуществляться возврат к использованию CRL в случаях, когда проверка по OCSP недоступна.
    Отправить специальный параметр OCSP Установите флажок, чтобы отправлять в ответе уникальный идентификатор запроса OCSP.
    URL-адрес OCSP Если включен отзыв по OCSP, введите адрес сервера OCSP для проверки отзыва.
    Источник URL-адреса OCSP Выберите источник, который следует использовать для проверки отзыва.
    • Только конфигурация. Выполните проверку отзыва сертификатов с помощью URL-адреса OCSP, указанного в текстовом поле, чтобы подтвердить всю цепочку сертификатов.
    • Только сертификат (обязательно). Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата в цепочке. Каждый сертификат в цепочке должен иметь определенный URL-адрес OCSP, в противном случае произойдет ошибка проверки отзыва сертификата.
    • Только сертификат (необязательно). Выполните проверку только отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата. Не выполняйте проверку отзыва, если URL-адрес OCSP отсутствует в расширении AIA сертификата.
    • Сертификат с возвратом в основную среду для конфигурации. Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, извлеченного из расширения AIA каждого сертификата в цепочке, при наличии URL-адреса OCSP. Если URL-адрес OCSP отсутствует в расширении AIA, проверьте отзыв с помощью URL-адреса OCSP, настроенного в текстовом поле URL-адреса OCSP. Текстовое поле URL-адреса OCSP должно быть настроено с помощью адреса сервера OCSP.
    Сертификат подписи ответчика OCSP Введите путь к сертификату OCSP для ответчика, /path/to/file.cer.
    Отправка сертификатов подписи OCSP В этом разделе перечислены отправленные файлы сертификатов.
    Включить форму выражения согласия перед проверкой подлинности Установите этот флажок, чтобы включить отображение пользователям страницы подтверждения перед входом на портал Workspace ONE для проверки подлинности с использованием сертификата.
    Содержимое формы выражения согласия Введите в этом поле текст, который будет отображаться в форме подтверждения.
  5. Нажмите кнопку Сохранить.

Дальнейшие действия

  • Добавьте метод проверки подлинности с помощью сертификата в политику доступа по умолчанию. См. раздел Управление способами проверки подлинности, применяемыми для пользователей.
  • При настроенной проверке подлинности с помощью сертификата и установленной за подсистемой балансировки нагрузки устройством службы убедитесь, что компонент VMware Identity Managerсоединитель настроен на сквозное подключение SSL через подсистему балансировки нагрузки и SSL не замыкается на эту подсистему. Эта конфигурация гарантирует подтверждение SSL между соединителем и клиентом, необходимое для передачи сертификата соединителю