您可以從 vRealize Automation 管理主控台身分識別目錄管理功能啟用和設定憑證驗證。

開始之前

  • 從簽署由您的使用者提供之憑證的 CA 取得根憑證和中繼憑證。

  • (選擇性) 適用於憑證驗證的有效憑證原則的物件識別碼 (OID) 清單。

  • 適用於撤銷檢查,CRL 的檔案位置,OCSP 伺服器的 URL。

  • (選擇性) OCSP 回應簽署憑證檔案位置。

  • 同意表單內容 (如果讓同意表單在驗證前顯示)。

程序

  1. 以承租人管理員身分導覽至管理 > 身分識別目錄管理 > 連接器
  2. 在 [連接器] 頁面上,針對正在設定的連接器,選取 Worker 連結。
  3. 按一下驗證介面卡,然後按一下 CertificateAuthAdapter

    系統會將您重新導向到 [Identity Manager 登入] 頁面。

  4. 在 CertificateAuthAdapter 資料列中,按一下編輯
  5. 設定 [憑證驗證介面卡] 頁面。
    備註︰

    星號表示必填欄位。所有其他欄位為選填。

    選項

    說明

    *名稱

    名稱為必填。預設名稱為 CertificateAuthAdapter。您可變更此名稱。

    啟用憑證介面卡

    選取此核取方塊可啟用憑證驗證。

    *根和中繼 CA 憑證

    選取要上傳的憑證檔案。您可選取多個編碼為 DER 或 PEM 的根 CA 和中繼 CA 憑證。

    上傳的 CA 憑證

    上傳的憑證檔案列於表單的 [上傳的 CA 憑證] 區段中。

    您必須重新啟動服務才可讓新憑證可用。

    按一下重新啟動 Web 服務來重新啟動服務,並將憑證新增至受信任的服務。

    備註︰

    重新啟動服務不會啟用憑證驗證。重新啟動服務後,繼續設定此頁面。在頁面的末尾按一下儲存會在服務上啟用憑證驗證。

    憑證中沒有 UPN 時使用電子郵件

    如果憑證中不存在使用者主體名稱 (UPN),請選取此核取方塊將 emailAddress 屬性用作主體別名延伸,以驗證使用者帳戶。

    已接受的憑證原則

    建立憑證原則延伸中已接受之物件識別碼的清單。

    輸入憑證核發原則的物件識別碼號碼 (OID)。按一下新增其他值來新增其他 OID。

    啟用憑證撤銷

    選取此核取方塊可啟用憑證撤銷檢查。這樣會導致已撤銷使用者憑證的使用者無法驗證。

    使用憑證的 CRL

    選取此核取方塊,以使用由核發憑證之 CA 發佈的憑證撤銷清單 (CRL) 驗證憑證的狀態 (已撤銷或未撤銷)。

    CRL 位置

    輸入要從中擷取 CRL 的伺服器檔案路徑或本機檔案路徑。

    啟用 OCSP 撤銷

    選取此核取方塊,以使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定瞭解憑證的撤銷狀態。

    OCSP 故障時使用 CRL

    如果您同時設定 CRL 和 OCSP,您可以勾選此方塊,以在 OCSP 檢查不可用時返回使用 CRL。

    臨時傳送 OCSP

    如果您希望在回應中傳送 OCSP 申請的唯一識別碼,請選取此核取方塊。

    OCSP URL

    如果您已啟用 OCSP 撤銷,請輸入用於撤銷檢查的 OCSP 伺服器位址。

    OCSP 回應程式的簽署憑證

    針對回應程式輸入 OCSP 憑證的路徑 /path/to/file.cer

    驗證前啟用同意表單

    選取此核取方塊以包含同意表單頁面,使其在使用者使用憑證驗證登入其 [我的應用程式] 入口網站前顯示。

    同意表單內容

    在此文字方塊中輸入要顯示在同意表單中的文字。

  6. 按一下儲存

下一步

  • 將憑證驗證方法新增至預設存取原則。導覽至管理 > 身分識別目錄管理 > 原則,按一下編輯預設原則以編輯預設原則規則,然後新增憑證並將其做為預設原則的首個驗證方法。憑證必須為原則規則中列出的首個驗證方法,否則憑證驗證將失敗。

  • 設定了憑證驗證,且在負載平衡器後方設定服務應用裝置時,請確保在負載平衡器上 Directories Management 連接器設定了 SSL 傳遞,且未將其設定為在負載平衡器上終止 SSL。此組態確保連接器與用戶端之間存在 SSL 信號交換,以便將憑證傳遞至連接器。