Настройте метод проверки подлинности «Сертификат (облачная среда)» на странице «Методы проверки подлинности» в консоли Workspace ONE Access, а затем выберите его для использования во встроенном поставщике удостоверений.

Необходимые условия

  • Получение корневого сертификата и промежуточных сертификатов от центра сертификации (ЦС), который подписал сертификаты, предъявленные пользователями.
  • (Необязательно.) Список идентификаторов объекта (OID) с действительными политиками сертификатов для проверки подлинности с помощью сертификата.
  • Расположение файла CRL и URL-адрес сервера OCSP для проверки отзыва.
  • (Необязательно) Расположение файла ответа OCSP на подписание сертификата.
  • Содержание формы выражения согласия, если перед проверкой подлинности требуется отображение формы выражения согласия.

Процедура

  1. На вкладке «Управление учетными данными и доступом» выберите Управление > Методы проверки подлинности.
  2. В столбце «Настроить» раздела Сертификат (облачная среда) щелкните значок карандаша.
  3. Включите метод проверки подлинности «Обеспечение соответствия устройств нормативным требованиям» и задайте максимальное число неудачных попыток входа. Остальные текстовые поля автоматически заполняются значениями Workspace ONE UEM.
  4. Выполните настройку на странице «Адаптер проверки подлинности службы сертификатов».
    Параметр Описание
    Включить адаптер сертификатов Установите флажок, чтобы включить проверку подлинности с помощью сертификата.
    * Корневые и промежуточные сертификаты ЦС Выберите файлы сертификатов для загрузки. Вы можете выбрать несколько корневых и промежуточных сертификатов центра сертификации, зашифрованных в формате DER или PEM.
    Загруженные сертификаты ЦС Отправленные файлы сертификатов перечислены в разделе «Загруженные сертификаты ЦС» формы.
    Порядок поиска идентификатора пользователя

    Выберите порядок поиска, чтобы найти идентификатор пользователя в сертификате.

    • основное имя пользователя. Значение UserPrincipalName альтернативного имени субъекта
    • адрес эл. почты. Адрес эл. почты альтернативного имени субъекта.
    • субъект. Значение идентификатора UID субъекта. Если идентификатор UID не найден в различающемся имени субъекта, то при настройке текстового поля CN используется содержащееся в нем значение идентификатора UID.

    Подтверждение формата UPN Установите этот флажок, чтобы подтвердить формат текстового поля UserPrincipalName.
    Время ожидания запроса Введите время ожидания ответа в секундах. Значение 0 (ноль) означает, что время ожидания является неопределенным.
    Политики сертификата приняты Создайте список идентификаторов объектов, которые принимаются в расширениях политик сертификата.

    Введите числа идентификаторов объекта (OID) для политики выпуска сертификата. Нажмите Добавить еще одно значение, чтобы добавить дополнительные идентификаторы.

    Включить отзыв сертификатов Установите флажок, чтобы включить проверку отзыва сертификата. В этом случае пользователи, у которых отозваны сертификаты, не смогут пройти проверку подлинности.
    Использовать CRL из сертификатов Установите флажок, чтобы использовать список отзыва сертификатов (CRL), опубликованный центром сертификации, выдавшим сертификаты, для подтверждения состояния сертификата (отозван он или нет).
    Расположение CRL Введите путь к файловому серверу или локальный путь к файлу, из которого нужно извлечь CRL.
    Включить отзыв OCSP Установите флажок, чтобы использовать протокол проверки состояния сертификатов (OCSP) и получить статус отзыва сертификата.
    Использовать CRL в случае отказа OCSP Если настроить и CRL, и OCSP, то после установки этого флажка будет осуществляться возврат к использованию CRL в случаях, когда проверка по OCSP недоступна.
    Отправить специальный параметр OCSP Установите флажок, чтобы отправлять в ответе уникальный идентификатор запроса OCSP.
    URL-адрес OCSP Если включен отзыв по OCSP, введите адрес сервера OCSP для проверки отзыва.
    Источник URL-адреса OCSP Выберите источник, который следует использовать для проверки отзыва.
    • Только конфигурация. Выполните проверку отзыва сертификатов с помощью URL-адреса OCSP, указанного в текстовом поле, чтобы подтвердить всю цепочку сертификатов.
    • Только сертификат (обязательно). Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата в цепочке. Каждый сертификат в цепочке должен иметь определенный URL-адрес OCSP. В противном случае проверка отзыва сертификата завершится ошибкой.
    • Только сертификат (необязательно). Выполните проверку только отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата. Не выполняйте проверку отзыва, если URL-адрес OCSP отсутствует в расширении AIA сертификата.
    • Сертификат с возвратом в основную среду для конфигурации. Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, извлеченного из расширения AIA каждого сертификата в цепочке, при наличии URL-адреса OCSP. Если URL-адрес OCSP отсутствует в расширении AIA, проверьте отзыв с помощью URL-адреса OCSP, настроенного в текстовом поле URL-адреса OCSP. Текстовое поле URL-адреса OCSP должно быть настроено с помощью адреса сервера OCSP.
    Сертификат подписи ответчика OCSP Введите путь к сертификату OCSP для ответчика, /path/to/file.cer.
    Отправка сертификатов подписи OCSP В этом разделе перечислены отправленные файлы сертификатов.
    Включить форму выражения согласия перед проверкой подлинности Установите этот флажок, чтобы включить отображение пользователям страницы подтверждения перед входом на портал Workspace ONE для проверки подлинности с использованием сертификата.
    Содержимое формы выражения согласия Введите в этом поле текст, который будет отображаться в форме подтверждения.
  5. Нажмите кнопку Сохранить.

Дальнейшие действия

  • Свяжите метод проверки подлинности «Сертификат (облачная среда)» во встроенном поставщике удостоверений. См. Настройка встроенного поставщика удостоверений в Workspace ONE Access.
  • Добавьте метод проверки подлинности с помощью сертификата в политику доступа по умолчанию. См. Управление политиками доступа.
  • (Локальные развертывания) Если настроена проверка подлинности на основе сертификата и устройство службы расположено за подсистемой балансировки нагрузки, убедитесь, что соединитель Workspace ONE Access Connector настроен на сквозную передачу SSL-запроса через подсистему балансировки нагрузки и не настроен на то, чтобы прекращать передачу такого запроса, когда он доходит до этой подсистемы. Эта конфигурация гарантирует подтверждение SSL между соединителем и клиентом, необходимое для передачи сертификата соединителю