您可以從 Workspace ONE Access 主控台中的 [驗證方法] 頁面設定「憑證 (雲端部署)」驗證方法,然後選取此驗證方法以便在內建身分識別提供者中使用。

必要條件

  • 從簽署由您的使用者提供之憑證的 CA 取得根憑證和中繼憑證。
  • (選用) 適用於憑證驗證的有效憑證原則的物件識別碼 (OID) 清單。
  • (選用) 設定 CRL 以進行撤銷檢查。
  • (選用) 設定 OCSP 伺服器以進行撤銷檢查,並瞭解 OCSP 回應程式 URL。如果為 OCSP 伺服器啟用了撤銷檢查,請在啟用前驗證 OCSP 伺服器是否正常運作。
  • (選用) OCSP 回應簽署憑證檔案位置。
  • 同意表內容 (如果在驗證前需要向使用者顯示同意表)。

程序

  1. Workspace ONE Access 主控台的整合 > 驗證方法頁面中,選取憑證 (雲端部署)
  2. 按一下設定,然後設定憑證驗證的設定。
    1. 上傳憑證。
      設定 說明
      啟用憑證配接器 若要啟用憑證驗證,請啟用此啟用憑證配接器切換。
      根和中繼 CA 憑證 選取要上傳的憑證檔案。您可以選取多個已編碼為 DER 或 PEM 的根 CA 和中繼 CA 憑證。
      已上傳的 CA 憑證 已上傳的憑證檔案會列在表單的 [已上傳的 CA 憑證] 區段中。
    2. 選取 [使用者識別碼搜尋順序],以在憑證中找到使用者識別碼。
      請參閱 在 Workspace ONE Access 中使用使用者主體名稱進行憑證驗證
      設定 說明
      使用者識別碼搜尋順序

      選取搜尋順序以找到憑證內的使用者識別碼。

      • upn。主體別名的 UserPrincipalName 值
      • 電子郵件。來自主體別名的電子郵件地址。
      • 主體。來自主體的 UID 值。如果在主體 DN 中找不到 UID,則系統會使用 CN 文字方塊中的 UID 值 (如果已設定 CN 文字方塊)。
      驗證 UPN 格式 將此設定切換為以驗證 UserPrincipalName 的格式。
    3. 要求逾時。輸入等待回應時間 (以秒為單位)。若值為零 (0),表示等待回應時間無限期。
    4. 已接受的憑證原則。建立憑證原則延伸中接受的物件識別碼 (OID) 清單。輸入憑證核發原則的物件識別碼號碼。按一下新增以新增其他 OID。
    5. 若要設定憑證撤銷檢查,請啟用此啟用憑證撤銷切換。撤銷檢查可防止已撤銷使用者憑證的使用者進行驗證。

      支援憑證撤銷清單 (CRL) 和線上憑證狀態通訊協定 (OCSP) 撤銷檢查。

      請參閱 在 Workspace ONE Access 中對憑證驗證使用憑證撤銷檢查

      僅設定 CRL 以進行撤銷檢查

      CRL 是核發憑證的 CA 所發佈的撤銷憑證清單。當您啟用使用來自憑證的 CRL 以進行撤銷後,Workspace ONE Access 伺服器會讀取 CRL 來判斷使用者憑證的撤銷狀態。如果憑證已撤銷,則透過憑證進行驗證將會失敗。

      您可以設定要用於撤銷檢查的 CRL URL。您可以從憑證啟用 URL,也可以在 CRL 位置 文字方塊中輸入 CRL URL。該 URL 是從憑證本身的 CRL 欄位中取得的。

      選項 說明
      啟用 [使用來自憑證的 CRL] 切換,且不要在 [CRL 位置] 設定中設定值

      啟用使用來自憑證的 CRL 切換時,將從憑證的 CRL 欄位中取得憑證撤銷清單 (CRL)。

      備註: 如果 [CRL 位置] 設定值中有值,在此組態中將忽略該值。
      設定 CRL 位置。如果設定 [CRL 位置],請勿啟用 [使用來自憑證的 CRL] 切換。 輸入要從中擷取用於驗證憑證狀態的 CRL 的 CRL URL。
      備註: 在此組態中,未啟用 使用來自憑證的 CRL 切換。

      僅設定 OCSP 以進行撤銷檢查

      若要僅使用 OCSP 進行撤銷檢查,請設定以下設定。

      備註: 如果您要將 AirWatch 憑證授權機構與 Workspace ONE Access 結合使用,請啟用 OCSP 以進行撤銷檢查。請勿啟用 使用來自憑證的 CRL 設定,或在 CRL 位置文字方塊中輸入 URL 值。
      設定 說明
      啟用 OCSP 撤銷 若要使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定來取得憑證的撤銷狀態,請啟用此啟用 OCSP 撤銷切換。
      傳送 OCSP Nonce

      OCSP Nonce 是一種唯一識別碼,用於以加密方式將 OCSP 回應訊息繫結到特定的 OCSP 要求訊息,以防遭受重新執行攻擊。

      如果您要使用 OCSP 要求的唯一識別碼驗證憑證,請啟用傳送 OCSP Nonce 切換。
      OCSP URL

      您可以在 OCSP URL 文字方塊中手動設定 OCSP URL,或從正在驗證之憑證的授權機構資訊存取 (AIA) 延伸中擷取。

      若要手動設定 OCSAP URL,請輸入撤銷檢查伺服器的 OCSP URL。
      OCSP URL 來源

      設定憑證驗證時選取的 OCSP 選項會決定 Workspace ONE Access 取得 OCSP URL 的方式。

      從下拉式功能表中,選取要用於撤銷檢查的來源。

      • 僅組態。使用文字方塊中提供的 OCSP URL 執行憑證撤銷檢查,以驗證整個憑證鏈結。您也必須使用 OCSP 伺服器位址設定 OCSP URL 文字方塊才能進行撤銷檢查。
      • 僅憑證 (必要)。使用鏈結中存在於每個憑證 AIA 延伸的 OCSP URL 執行憑證撤銷檢查。鏈結中的每個憑證都必須已定義 OCSP URL,否則憑證撤銷檢查將會失敗。
        備註: 如果您使用的是 AirWatch CA,請選取 僅憑證 (必要) 作為來源。
      • 僅憑證 (選擇性)。僅使用憑證 AIA 延伸中存在的 OCSP URL 執行憑證撤銷檢查。如果憑證 AIA 延伸中不存在 OCSP URL,則請勿檢查撤銷。系統會忽略 OCSP URL 文字方塊中的設定。
      • 具有容錯回復至組態的憑證。當 OCSP URL 可用時,使用從鏈結中每個憑證 AIA 延伸所擷取的 OCSP URL 執行憑證撤銷檢查。如果 AIA 延伸中不存在 OCSP URL,則使用 OCSP URL 文字方塊中設定的 OCSP URL 來檢查撤銷。您必須使用 OCSP 伺服器位址設定 OCSP URL 文字方塊。
      OCSP 回應程式的簽署憑證 搜尋並選取回應程式的 OCSP 憑證檔案。
      上傳 OCSP 簽署憑證 上傳的 OCSP 簽署憑證檔案會在此區段中列出。

      同時設定 CRL 和 OCSP 以進行撤銷檢查

      若要同時使用 CRL 和 OCSP 進行撤銷檢查,請設定 CRL 和 OCSP 撤銷檢查的設定,並啟用 OCSP 失敗時使用 CRL 切換。

      如果啟用此設定,將會先檢查 OCSP,如果 OCSP 失敗,撤銷檢查會回復為使用 CRL。如果 CRL 失敗,撤銷檢查不會回復使用 OCSP。
    6. 驗證之前啟用同意表。選取此核取方塊以包含同意表頁面,使其在使用者使用憑證驗證登入其 Workspace ONE 入口網站前顯示。在同意表內容文字方塊中,輸入在同意表中顯示的文字。
  3. 按一下儲存

下一步