您可以設定 x509 憑證驗證,讓用戶端能夠在其桌面平台和行動裝置上使用憑證進行驗證。請參閱設定憑證或智慧卡介面卡以搭配 VMware Identity Manager 使用

必要條件

  • 從簽署由您的使用者提供之憑證的 CA 取得根憑證和中繼憑證。
  • (選用) 適用於憑證驗證的有效憑證原則的物件識別碼 (OID) 清單。
  • CRL 的檔案位置和 OCSP 伺服器的 URL,用於撤銷檢查。
  • (選用) OCSP 回應簽署憑證檔案位置。
  • 同意表單內容 (如果同意表單在驗證前顯示)。

程序

  1. 在管理主控台的 [身分識別與存取管理] 索引標籤中,選取設定
  2. 在 [連接器] 頁面上,針對正在設定的連接器選取 Worker 連結。
  3. 按一下驗證配接器,然後按一下 CertificateAuthAdapter
  4. 設定 [憑證服務驗證配接器] 頁面。
    備註: 星號表示必填欄位。其他欄位為選填。
    選項 說明
    *名稱 名稱為必填。預設名稱為 CertificateAuthAdapter。您可以變更此名稱。
    啟用憑證配接器 選取此核取方塊可啟用憑證驗證。
    *根和中繼 CA 憑證 選取要上傳的憑證檔案。您可以選取多個已編碼為 DER 或 PEM 的根 CA 和中繼 CA 憑證。
    已上傳的 CA 憑證 已上傳的憑證檔案會列在表單的 [已上傳的 CA 憑證] 區段中。
    如果憑證中沒有 UPN 便使用電子郵件

    如果使用者主體名稱 (UPN) 不在憑證中,請選取此核取方塊將 emailAddress 屬性作為主體別名延伸,以驗證使用者的帳戶。

    憑證原則已接受 建立憑證原則延伸中已接受之物件識別碼的清單。

    輸入憑證核發原則的物件識別碼號碼 (OID)。按一下新增另一個值來新增其他 OID。

    啟用憑證撤銷 選取此核取方塊可啟用憑證撤銷檢查。撤銷檢查會導致已撤銷使用者憑證的使用者無法驗證。
    使用來自憑證的 CRL 選取此核取方塊,可使用由核發憑證的 CA 所發佈的憑證撤銷清單 (CRL) 來驗證憑證的狀態 (已撤銷或未撤銷)。
    CRL 位置 輸入要從中擷取 CRL 的伺服器檔案路徑或本機檔案路徑。
    啟用 OCSP 撤銷 選取此核取方塊,以使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定瞭解憑證的撤銷狀態。
    OCSP 失敗時使用 CRL 如果您同時設定 CRL 和 OCSP,您可以勾選此方塊,以在 OCSP 檢查無法使用時回復為使用 CRL。
    傳送 OCSP Nonce 如果您希望在回應中傳送 OCSP 申請的唯一識別碼,請選取此核取方塊。
    OCSP URL 如果您已啟用 OCSP 撤銷,請輸入用於撤銷檢查的 OCSP 伺服器位址。
    OCSP 回應程式的簽署憑證 輸入回應程式 OCSP 憑證的路徑 /path/to/file.cer
    驗證前啟用同意表 選取此核取方塊以包含同意表單頁面,使其在使用者使用憑證驗證登入其 Workspace ONE 入口網站前顯示。
    同意表內容 在此文字方塊中輸入要顯示在同意表單中的文字。
  5. 按一下儲存

後續步驟

  • 將憑證驗證方法新增至預設存取原則。請參閱管理要套用至使用者的驗證方法
  • 設定了憑證驗證,且在負載平衡器後方設定服務應用裝置後,請確定在負載平衡器上VMware Identity Manager連接器 設定了 SSL 傳遞,且未在負載平衡器上將其設定為終止 SSL。此組態可確保連接器與用戶端之間存在 SSL 信號交換,以便將憑證傳遞至連接器。