Вы включаете и настраиваете проверку подлинности сертификата с помощью функции управления каталогами на консоли администрирования vRealize Automation.

Примечание: Системному администратору необходимо настроить внешний соединитель для развертывания vRealize Automation при использовании сторонних поставщиков удостоверений, таких как Kerberos, или проверки подлинности с помощью смарт-карты.

Необходимые условия

  • Получение корневого сертификата и промежуточных сертификатов от центра сертификации (ЦС), который подписал сертификаты, представленные пользователями.
  • (Необязательно) Список идентификаторов объекта (OID) с действительными политиками сертификатов для проверки подлинности с помощью сертификата.
  • Расположение файла CRL и URL-адрес сервера OCSP для проверки отзыва.
  • (Необязательно) Расположение файла ответа OCSP на подписание сертификата.
  • Содержимое формы подтверждения, если перед проверкой подлинности требуется отображение формы подтверждения.

Процедура

  1. В качестве администратора арендатора выберите Администрирование > Управление каталогами > Соединители
  2. На странице «Соединители» выберите ссылку «Рабочий процесс» для настраиваемого соединителя.
  3. Нажмите Адаптеры проверки подлинности, а затем нажмите CertificateAuthAdapter.
    Вы будете перенаправлены на страницу входа диспетчера удостоверений.
  4. В строке CertificateAuthAdapter нажмите Изменить.
  5. Настройте страницу адаптера проверки подлинности с помощью сертификатов.
    Примечание: Звездочка обозначает обязательное поле. Все остальные поля являются необязательными.
    Параметр Описание
    * Имя Имя должно быть задано. По умолчанию используется имя CertificateAuthAdapter. Его можно изменить.
    Включить адаптер сертификатов Установите флажок, чтобы включить проверку подлинности с помощью сертификата.
    * Корневые и промежуточные сертификаты ЦС Выберите файлы сертификатов для загрузки. Вы можете выбрать несколько корневых и промежуточных сертификатов центра сертификации, зашифрованных в формате DER или PEM.
    Загруженные сертификаты ЦС Загруженные файлы сертификатов перечислены в разделе «Загруженные сертификаты ЦС» формы.

    Чтобы новые сертификаты стали доступны, необходимо перезапустить службу.

    Нажмите Перезапуск веб-службы, чтобы перезапустить службу и добавить сертификаты в доверенную службу.

    Примечание: При перезапуске службы проверка подлинности с помощью сертификата не включается. После перезапуска службы необходимо продолжить настройку на данной странице. При нажатии кнопки Сохранить внизу страницы будет включена проверка подлинности с помощью сертификата в службе.
    Использовать электронную почту при отсутствии UPN в сертификате

    Если в сертификате отсутствует основное имя пользователя (UPN), то установите этот флажок, чтобы использовать атрибут EmailAddress в качестве расширения альтернативного имени субъекта для проверки учетных записей пользователей.

    Принимаемые политики сертификатов Создайте список идентификаторов объектов, которые принимаются в расширениях политик сертификата.

    Введите числа идентификаторов объекта (OID) для политики выпуска сертификата. Нажмите Добавить еще одно значение, чтобы добавить дополнительные идентификаторы.

    Включить отзыв сертификатов Установите флажок, чтобы включить проверку отзыва сертификата. В этом случае пользователи, у которых отозваны сертификаты, не смогут пройти проверку подлинности.
    Использовать CRL из сертификатов Установите флажок, чтобы использовать список отзыва сертификатов (CRL), опубликованный центром сертификации, выдавшим сертификаты, для подтверждения статуса сертификата (отозван он или нет).
    Расположение CRL Введите путь к файловому серверу или локальный путь к файлу, из которого нужно извлечь CRL.
    Включить отзыв OCSP Установите флажок, чтобы использовать протокол проверки состояния сертификатов (OCSP) и получить статус отзыва сертификата.
    Использовать CRL в случае отказа OCSP Если настроить и CRL, и OCSP, то при установке этого флажка будет осуществлен возврат к использованию CRL, если проверка по OCSP недоступна.
    Отправить специальный параметр OCSP Установите флажок, чтобы отправлять в ответе уникальный идентификатор запроса OCSP.
    URL-адрес OCSP Если включен отзыв по OCSP, введите адрес сервера OCSP для проверки отзыва.
    Сертификат подписи ответчика OCSP Введите путь к сертификату OCSP для ответчика, /path/to/file.cer.
    Включить форму подтверждения перед проверкой подлинности Установите этот флажок, чтобы включить отображение пользователям страницы подтверждения перед входом на портал «Мои приложения» для проверки подлинности с использованием сертификата.
    Содержимое формы подтверждения Введите в этом поле текст, который будет отображаться в форме подтверждения.
  6. Нажмите кнопку Сохранить.

Дальнейшие действия

  • Добавьте метод проверки подлинности сертификата в политику доступа по умолчанию. Выберите Администрирование > Управление каталогами > Политики и щелкните Изменить политику по умолчанию, чтобы отредактировать правила политики по умолчанию, добавить сертификат и сделать его первым методом проверки подлинности для политики по умолчанию. Сертификат должен быть первым в списке методов проверки подлинности в правиле политики, в противном случае проверка подлинности сертификата завершится сбоем.
  • При настроенной проверке подлинности с помощью сертификата и установленной за подсистемой балансировки нагрузки устройством службы убедитесь, что компонент Directories Managementсоединитель настроен на сквозное подключение SSL через подсистему балансировки нагрузки и SSL не замыкается на эту подсистему. Эта конфигурация гарантирует, что между соединителем и клиентом будет установлена связь по протоколу SSL для передачи сертификата соединителю.