Настройте метод проверки подлинности «Сертификат (облачная среда)» на странице «Методы проверки подлинности» в консоли Workspace ONE Access, а затем выберите его для использования во встроенном поставщике удостоверений.

Необходимые условия

  • Получение корневого сертификата и промежуточных сертификатов от центра сертификации (ЦС), который подписал сертификаты, предъявленные пользователями.
  • (Необязательно.) Список идентификаторов объекта (OID) с действительными политиками сертификатов для проверки подлинности с помощью сертификата.
  • (Необязательно.) Настройте CRL для проверки отзыва.
  • (Необязательно.) Настройте сервер OCSP для проверки отзыва и узнайте URL-адрес ответчика OCSP. Если для проверки отзыва включен сервер OCSP, убедитесь, что сервер работает правильно, прежде чем включить его.
  • (Необязательно) Расположение файла ответа OCSP на подписание сертификата.
  • Содержание формы выражения согласия, если перед проверкой подлинности пользователям отображается форма выражения согласия.

Процедура

  1. В консоли Workspace ONE Access на странице Интеграции > Методы проверки подлинности выберите Сертификат (облачная среда).
  2. Нажмите НАCТРОИТЬ и настройте параметры проверки подлинности с помощью сертификата.
    1. а. Отправьте сертификат.
      Параметр Описание
      Включить адаптер сертификатов Чтобы включить проверку подлинности с помощью сертификата, активируйте переключатель Включить адаптер сертификатов.
      Сертификаты корневого и промежуточного центров сертификации Выберите файлы сертификатов для загрузки. Вы можете выбрать несколько корневых и промежуточных сертификатов центра сертификации, зашифрованных в формате DER или PEM.
      Загруженные сертификаты ЦС Отправленные файлы сертификатов перечислены в разделе «Загруженные сертификаты ЦС» формы.
    2. б. Выберите «Порядок поиска идентификатора пользователя», чтобы найти идентификатор пользователя в сертификате.
      Параметр Описание
      Порядок поиска идентификатора пользователя

      Выберите порядок поиска, чтобы найти идентификатор пользователя в сертификате.

      • основное имя пользователя. Значение UserPrincipalName альтернативного имени субъекта
      • адрес эл. почты. Адрес эл. почты альтернативного имени субъекта.
      • субъект. Значение идентификатора UID субъекта. Если идентификатор UID не найден в различающемся имени субъекта, то при настройке текстового поля CN используется содержащееся в нем значение идентификатора UID.

      Подтверждение формата UPN Переключите эту настройку на Да, чтобы проверить формат UserPrincipalName.
    3. в. Время ожидания запроса. Введите время ожидания ответа в секундах. Значение 0 (ноль) означает, что время ожидания является неопределенным.
    4. г. Политики сертификата приняты. Создайте список идентификаторов объектов (OID), которые принимаются в расширениях политик сертификатов. Введите число идентификатора объекта для политики выпуска сертификата. Нажмите Добавить, чтобы добавить дополнительные идентификаторы объектов.
    5. д. Чтобы настроить проверку отзыва сертификатов, активируйте переключатель Включить отзыв сертификатов. В этом случае пользователи, сертификаты которых отозваны, не смогут пройти проверку подлинности.

      При проверке отзыва поддерживаются как списки отзыва сертификатов (CRL), так и протокол проверки состояния сертификатов (OCSP).

      См. Использование проверки отзыва сертификатов для проверки подлинности сертификатов в Workspace ONE Access.

      Настройка только CRL для проверки отзыва

      Список CRL представляет собой список отозванных сертификатов, опубликованный центром сертификации, который выпустил сертификаты. Если включить параметр Использовать CRL из сертификатов для отзыва, сервер Workspace ONE Access читает CRL, чтобы определить состояние отзыва сертификата пользователя. Если сертификат отозван, проверка подлинности с его использованием завершится отказом.

      Укажите, какой URL-адрес CRL использовать для проверки отзыва. Можно активировать URL-адрес из сертификата или ввести URL-адрес CRL в текстовом поле «Расположение CRL». URL-адрес извлекается из поля CRL в самом сертификате.

      Параметр Описание
      Активируйте переключатель «Использовать CRL из сертификатов» и не устанавливайте значение в настройке «Расположение CRL».

      При активации переключателя Использовать CRL из сертификатов список отзыва сертификатов (CRL) извлекается из поля CRL в сертификате.

      Примечание: Если для настройки «Расположение CRL» задано значение, оно игнорируется в этой конфигурации.
      Задайте расположение CRL. Если задать расположение CRL, не активируйте переключатель «Использовать CRL из сертификатов». Введите URL-адрес CRL, с которого нужно извлечь CRL, который используется для проверки состояния сертификата.
      Примечание: Переключатель Использовать CRL из сертификатов не активирован в этой конфигурации.

      Настройка только OCSP для проверки отзыва

      Чтобы использовать только OCSP для проверки отзыва, настройте приведенные ниже параметры.

      Примечание: Если с Workspace ONE Access используется центр сертификации AirWatch, включите OCSP для проверки отзыва. Не включайте настройку Использовать CRL из сертификатов или введите значение URL-адреса в текстовом поле Расположение CRL.
      Параметр Описание
      Включить отзыв OCSP Активируйте переключатель Включить отзыв OCSP, чтобы использовать протокол проверки состояния сертификатов (OCSP) и получить информацию о состоянии отзыва сертификата.
      Отправить специальный параметр OCSP

      Специальный параметр OCSP — это уникальный идентификатор, который используется для криптографической привязки сообщения ответа OCSP к определенному сообщению о запросе OCSP во избежание атак воспроизведения.

      Если необходимо проверить сертификат с использованием уникального идентификатора запроса OCSP, активируйте переключатель Отправить специальный параметр OCSP.

      URL-адрес OCSP

      URL-адрес OCSP можно настроить вручную в текстовом поле URL-адреса OCSP или извлечь из расширения Authority Information Access (AIA) проверяемого сертификата.

      Чтобы вручную задать URL-адрес OCSAP, введите URL-адрес OCSP для сервера проверки отзыва.

      Источник URL-адреса OCSP

      Параметр OCSP, выбранный во время настройки проверки подлинности сертификатов, определяет, каким образом Workspace ONE Access использует URL-адрес OCSP.

      В раскрывающемся меню выберите источник, который следует использовать для проверки отзыва.

      • Только конфигурация. Выполните проверку отзыва сертификатов с помощью URL-адреса OCSP, предоставленного в текстовом поле, чтобы подтвердить всю цепочку сертификатов. Текстовое поле URL-адреса OCSP также необходимо настроить с помощью адреса сервера OCSP для проверки отзыва.
      • Только сертификат (обязательно). Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата в цепочке. Каждый сертификат в цепочке должен иметь определенный URL-адрес OCSP. В противном случае проверка отзыва сертификата завершится ошибкой.
        Примечание: Если используется центр сертификации AirWatch, выберите параметр Только сертификат (обязательно) в качестве источника.
      • Только сертификат (необязательно). Выполните проверку только отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата. Не выполняйте проверку отзыва, если URL-адрес OCSP отсутствует в расширении AIA сертификата. Настройка в текстовом поле URL-адреса OCSP игнорируется.
      • Сертификат с возвратом в основную среду для конфигурации. Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, извлеченного из расширения AIA каждого сертификата в цепочке, при наличии URL-адреса OCSP. Если URL-адрес OCSP отсутствует в расширении AIA, проверьте отзыв с помощью URL-адреса OCSP, настроенного в текстовом поле URL-адреса OCSP. Текстовое поле URL-адреса OCSP должно быть настроено с помощью адреса сервера OCSP.
      Сертификат подписи ответчика OCSP Найдите и выберите файл сертификата OCSP для ответчика.
      Отправка сертификатов подписи OCSP В этом разделе перечислены отправленные файлы сертификатов подписи OCSP.

      Настройка CRL и OCSP одновременно для проверки отзыва

      Чтобы использовать для проверки отзыва как CRL, так и OCSP, настройте параметры проверки отзыва CRL и OCSP и активируйте переключатель Использовать CRL при сбое OCSP.

      При активации этой настройки сначала выполняется проверка OCSP, а в случае сбоя OCSP проверка отзыва возвращается к проверке с помощью CRL. В случае отказа при проверке отзыва с помощью CRL, возврат к проверке с помощью OCSP не происходит.
    6. е. Включить форму выражения согласия перед проверкой подлинности. Установите этот флажок, чтобы включить отображение пользователям страницы формы выражения согласия перед входом на портал Workspace ONE для проверки подлинности с использованием сертификата. В текстовом поле Содержание формы выражения согласия введите текст, который будет отображаться в форме выражения согласия.
  3. Нажмите кнопку СОХРАНИТЬ.

Дальнейшие действия