Настройте метод проверки подлинности «Сертификат (облачная среда)» на странице «Методы проверки подлинности» консоли VMware Identity Manager, а затем выберите его для использования во встроенном поставщике удостоверений.

Можно настроить проверку подлинности с помощью сертификата x509, благодаря которой клиенты смогут выполнять проверку подлинности с помощью сертификатов на виртуальных компьютерах и мобильных устройствах. См. раздел Настройка сертификата или адаптера смарт-карт для использования с VMware Identity Manager..

Необходимые условия

  • Получение корневого сертификата и промежуточных сертификатов от центра сертификации (ЦС), который подписал сертификаты, предъявленные пользователями.
  • (Необязательно.) Список идентификаторов объекта (OID) с действительными политиками сертификатов для проверки подлинности с помощью сертификата.
  • Расположение файла CRL и URL-адрес сервера OCSP для проверки отзыва.
  • (Необязательно) Расположение файла ответа OCSP на подписание сертификата.
  • Содержание формы выражения согласия, если перед проверкой подлинности требуется отображение формы выражения согласия.

Процедура

  1. В консоли VMware Identity Manager на вкладке «Управление учетными данными и доступом» выберите Управление > Методы проверки подлинности.
  2. В разделе «Методы проверки подлинности» щелкните значок Сертификат (облачная среда).
  3. Выполните настройку на странице «Адаптер проверки подлинности службы сертификатов».
    Примечание: Звездочка обозначает обязательное текстовое поле. Другие текстовые поля заполнять необязательно.
    Параметр Описание
    * Имя Имя должно быть задано. По умолчанию используется имя CertificateAuthAdapter. Его можно изменить.
    Включить адаптер сертификатов Установите флажок, чтобы включить проверку подлинности с помощью сертификата.
    * Корневые и промежуточные сертификаты ЦС Выберите файлы сертификатов для загрузки. Вы можете выбрать несколько корневых и промежуточных сертификатов центра сертификации, зашифрованных в формате DER или PEM.
    Загруженные сертификаты ЦС Загруженные файлы сертификатов перечислены в разделе «Загруженные сертификаты ЦС» формы.
    Порядок поиска идентификатора

    Выберите порядок поиска, чтобы найти идентификатор пользователя в сертификате.

    • основное имя пользователя. Значение UserPrincipalName альтернативного имени субъекта
    • адрес эл. почты. Адрес эл. почты альтернативного имени субъекта.
    • субъект. Значение идентификатора UID субъекта.

    Подтверждение формата UPN Установите этот флажок, чтобы подтвердить формат текстового поля UserPrincipalName.
    Время ожидания запроса Введите время ожидания ответа в секундах. Значение 0 (ноль) означает, что время ожидания является неопределенным.
    Политики сертификата приняты Создайте список идентификаторов объектов, которые принимаются в расширениях политик сертификата.

    Введите числа идентификаторов объекта (OID) для политики выпуска сертификата. Нажмите Добавить еще одно значение, чтобы добавить дополнительные идентификаторы.

    Включить отзыв сертификатов Установите флажок, чтобы включить проверку отзыва сертификата. В этом случае пользователи, у которых отозваны сертификаты, не смогут пройти проверку подлинности.
    Использовать CRL из сертификатов Установите флажок, чтобы использовать список отзыва сертификатов (CRL), опубликованный центром сертификации, выдавшим сертификаты, для подтверждения состояния сертификата (отозван он или нет).
    Расположение CRL Введите путь к файловому серверу или локальный путь к файлу, из которого нужно извлечь CRL.
    Включить отзыв OCSP Установите флажок, чтобы использовать протокол проверки состояния сертификатов (OCSP) и получить статус отзыва сертификата.
    Использовать CRL в случае отказа OCSP Если настроить и CRL, и OCSP, то после установки этого флажка будет осуществляться возврат к использованию CRL в случаях, когда проверка по OCSP недоступна.
    Отправить специальный параметр OCSP Установите флажок, чтобы отправлять в ответе уникальный идентификатор запроса OCSP.
    URL-адрес OCSP Если включен отзыв по OCSP, введите адрес сервера OCSP для проверки отзыва.
    Источник URL-адреса OCSP Выберите источник, который следует использовать для проверки отзыва.
    • Только конфигурация. Выполните проверку отзыва сертификатов с помощью URL-адреса OCSP, указанного в текстовом поле, чтобы подтвердить всю цепочку сертификатов.
    • Только сертификат (обязательно). Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата в цепочке. Каждый сертификат в цепочке должен иметь определенный URL-адрес OCSP, в противном случае произойдет ошибка проверки отзыва сертификата.
    • Только сертификат (необязательно). Выполните проверку только отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата. Не выполняйте проверку отзыва, если URL-адрес OCSP отсутствует в расширении AIA сертификата.
    • Сертификат с возвратом в основную среду для конфигурации. Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, извлеченного из расширения AIA каждого сертификата в цепочке, при наличии URL-адреса OCSP. Если URL-адрес OCSP отсутствует в расширении AIA, проверьте отзыв с помощью URL-адреса OCSP, настроенного в текстовом поле URL-адреса OCSP. Текстовое поле URL-адреса OCSP должно быть настроено с помощью адреса сервера OCSP.
    Сертификат подписи ответчика OCSP Введите путь к сертификату OCSP для ответчика, /path/to/file.cer.
    Отправка сертификатов подписи OCSP В этом разделе перечислены отправленные файлы сертификатов.
    Включить форму выражения согласия перед проверкой подлинности Установите этот флажок, чтобы включить отображение пользователям страницы подтверждения перед входом на портал Workspace ONE для проверки подлинности с использованием сертификата.
    Содержимое формы выражения согласия Введите в этом поле текст, который будет отображаться в форме подтверждения.
  4. Нажмите кнопку Сохранить.

Дальнейшие действия

  • Свяжите метод проверки подлинности «Сертификат (облачная среда)» во встроенном поставщике удостоверений. См. раздел Настройка встроенных поставщиков удостоверений.

  • Добавьте метод проверки подлинности «Сертификат (облачная среда)» в политику доступа по умолчанию. См. раздел Управление способами проверки подлинности, применяемыми для пользователей.
  • При настроенной проверке подлинности «Сертификат (облачная среда)» и установленным за подсистемой балансировки нагрузки устройством службы убедитесь, что решение VMware Identity Manager настроено на сквозное подключение SSL через подсистему балансировки нагрузки и не замыкается на нее. Это порт, на котором установлен сертификат для сквозного подключения SSL. Эта конфигурация гарантирует, что между службой и клиентом будет установлена связь по протоколу SSL для передачи сертификата службе. См. раздел Установка сертификата сквозной передачи.