您可以從 Workspace ONE Access 主控台中的 [驗證方法] 頁面設定「憑證 (雲端部署)」驗證方法,然後選取此驗證方法以便在內建身分識別提供者中使用。

必要條件

  • 從簽署由您的使用者提供之憑證的 CA 取得根憑證和中繼憑證。
  • (選用) 適用於憑證驗證的有效憑證原則的物件識別碼 (OID) 清單。
  • CRL 的檔案位置和 OCSP 伺服器的 URL,用於撤銷檢查。
  • (選用) OCSP 回應簽署憑證檔案位置。
  • 同意表單內容 (如果同意表單在驗證前顯示)。

程序

  1. 在 [身分識別與存取管理] 索引標籤中,移至管理 > 驗證方法
  2. 憑證 (雲端部署) 的 [設定] 資料行中,按一下鉛筆圖示。
  3. 啟用「裝置符合性」驗證,並設定登入失敗嘗試次數上限。其他文字方塊會預先填入已設定的 Workspace ONE UEM 值。
  4. 設定 [憑證服務驗證配接器] 頁面。
    選項 說明
    啟用憑證配接器 選取此核取方塊可啟用憑證驗證。
    *根和中繼 CA 憑證 選取要上傳的憑證檔案。您可以選取多個已編碼為 DER 或 PEM 的根 CA 和中繼 CA 憑證。
    已上傳的 CA 憑證 已上傳的憑證檔案會列在表單的 [已上傳的 CA 憑證] 區段中。
    使用者識別碼搜尋順序

    選取搜尋順序以找到憑證內的使用者識別碼。

    • upn。主體別名的 UserPrincipalName 值
    • 電子郵件。來自主體別名的電子郵件地址。
    • 主體。來自主體的 UID 值。如果在主體 DN 中找不到 UID,則系統會使用 CN 文字方塊中的 UID 值 (如果已設定 CN 文字方塊)。

    驗證 UPN 格式 啟用此核取方塊,可驗證 UserPrincipalName 文字方塊的格式。
    要求逾時 輸入等待回應時間 (以秒為單位)。若值為零 (0),表示等待回應時間無限期。
    已接受的憑證原則 建立憑證原則延伸中已接受之物件識別碼的清單。

    輸入憑證核發原則的物件識別碼號碼 (OID)。按一下新增另一個值來新增其他 OID。

    啟用憑證撤銷 選取此核取方塊可啟用憑證撤銷檢查。撤銷檢查會導致已撤銷使用者憑證的使用者無法驗證。
    使用來自憑證的 CRL 選取此核取方塊,可使用由核發憑證的 CA 所發佈的憑證撤銷清單 (CRL) 來驗證憑證的狀態 (已撤銷或未撤銷)。
    CRL 位置 輸入要從中擷取 CRL 的伺服器檔案路徑或本機檔案路徑。
    啟用 OCSP 撤銷 選取此核取方塊,以使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定瞭解憑證的撤銷狀態。
    OCSP 失敗時使用 CRL 如果您同時設定 CRL 和 OCSP,您可以選取此方塊,以在 OCSP 檢查無法使用時回復為使用 CRL。
    傳送 OCSP Nonce 如果您希望在回應中傳送 OCSP 申請的唯一識別碼,請選取此核取方塊。
    OCSP URL 如果您已啟用 OCSP 撤銷,請輸入用於撤銷檢查的 OCSP 伺服器位址。
    OCSP URL 來源 選取用於撤銷檢查的來源。
    • 僅組態。使用文字方塊中提供的 OCSP URL 執行憑證撤銷檢查,以驗證整個憑證鏈結。
    • 僅憑證 (必要)。使用鏈結中存在於每個憑證 AIA 延伸的 OCSP URL 執行憑證撤銷檢查。鏈結中的每個憑證都必須已定義 OCSP URL,否則憑證撤銷檢查將會失敗。
    • 僅憑證 (選擇性)。僅使用憑證 AIA 延伸中存在的 OCSP URL 執行憑證撤銷檢查。如果憑證 AIA 延伸中不存在 OCSP URL,則請勿檢查撤銷。
    • 具有容錯回復至組態的憑證。當 OCSP URL 可用時,使用從鏈結中每個憑證 AIA 延伸所擷取的 OCSP URL 執行憑證撤銷檢查。如果 AIA 延伸中不存在 OCSP URL,則使用 OCSP URL 文字方塊中設定的 OCSP URL 來檢查撤銷。您必須使用 OCSP 伺服器位址設定 OCSP URL 文字方塊。
    OCSP 回應程式的簽署憑證 輸入回應程式 OCSP 憑證的路徑 /path/to/file.cer
    上傳 OCSP 簽署憑證 上傳的憑證檔案會在此區段中列出。
    驗證之前啟用同意表 選取此核取方塊以包含同意表單頁面,使其在使用者使用憑證驗證登入其 Workspace ONE 入口網站前顯示。
    同意表內容 在此文字方塊中輸入要顯示在同意表單中的文字。
  5. 按一下儲存

後續步驟

  • 在內建身分識別提供者中建立「憑證 (雲端部署)」驗證方法的關聯。請參閱 在 Workspace ONE Access 中設定內建身分識別提供者
  • 將憑證驗證方法新增至預設存取原則。請參閱 管理存取原則
  • (內部部署) 設定了憑證驗證,且在負載平衡器後方設定服務應用裝置後,請確定在負載平衡器上 Workspace ONE Access Connector 設定了 SSL 傳遞,且未在負載平衡器上將其設定為終止 SSL。此組態可確保連接器與用戶端之間存在 SSL 信號交換,以便將憑證傳遞至連接器。