智能卡身份验证
如果您的环境中启用了智能卡身份验证系统,则可以将AD360配置为它对用户进行身份验证的一种方式,从而绕过其他第一因素身份验证方法。
此功能允许使用智能卡/PKI/证书来授予对该工具的访问权限,从而为AD360登录提供了其他身份验证的选项。 智能卡身份验证进一步增强了安全性,因为访问AD360会要求用户拥有智能卡并同时知道个人识别码(PIN)。
当用户尝试访问AD360的网络界面时,只有在计算机中完成智能卡身份验证后,他们才能被允许继续操作,即, 出示智能卡并随后输入PIN。 AD360的Web界面通过SSL通信补充了智能卡技术。 因此,提示用户指定X.509证书以获取访问权限。
用户可以选择从智能卡或本地证书存储中提供证书,在这种情况下,AD360执行以下步骤使用证书对用户进行身份验证。 用户还可以选择拒绝提供证书,然后该工具将带到通常的登录页面进行身份验证。
配置智能卡身份验证设置的步骤:
- 点击Admin 标签。
- 必须启用标签SSL端口才能配置智能卡身份验证设置。 要检查SSL端口设置,请单击“常规设置”下的“产品设置”。 如果尚未启用,请选择针对HTTPS的单选按钮,然后在字段中指定端口号,单击保存。
- 导航到管理员-管理登录设置-智能卡身份验证。
- 在“导入CA根证书”字段中,单击“浏览”,然后从计算机中导入所需的证书颁发机构根证书文件。
链接http://CertificateAuthorityServerName/certsrv/ 下载CA根证书。
- 在“证书中的映射属性”字段中,指定要映射的证书属性。
用户详细信息需要在智能卡证书和AD360数据库之间进行映射。 这表示智能卡证书中唯一标识用户的属性应与AD360用户数据库中的值匹配。此映射涉及指定证书中的哪个属性应与AD360用户存储中的哪个属性进行比较。
AD360可以灵活地指定您认为唯一标识环境中用户的智能卡证书的任何属性。 您可以在SAN.OtherName,SAN.RFC822Name,SAN.DirName,SAN.DNSName,SAN.URI,电子邮件,distinguishedName和CommonName中选择任何属性。如果在唯一标识的环境中使用其他任何属性的用户,请联系AD360支持以添加该属性。
- 在“ AD中的映射属性”字段中,应与指定的证书属性匹配LDAP属性。
在这里,您需要指定在AD360用户存储中唯一标识用户的特定LDAP属性,例如sAMAccountName。
在身份验证期间,AD360读取与您在“证书”中的“映射属性”中指定的证书属性相对应的值,并将其与AD中“映射属性”中指定的LDAP属性进行比较。
- 在“链接的域”字段中,从下拉菜单中选择适当的域。
- 单击“ OCSP设置”部分旁边的箭头符号以展开菜单。
身份验证期间,AD360根据联机证书状态协议(OCSP)检查证书吊销状态,并在证书中提供详细信息。 如果证书没有OCSP信息,将使用此设置中提供的信息。
- 在“ OCSP服务器名称”字段中,指定OCSP服务器的名称。
- 在“ OCSP服务器端口”字段中,指定OCSP服务器端口号。
- 点击保存。
添加智能卡进行身份验证后,可以执行以下任何功能:
- 添加新的智能卡
- 编辑已配置的智能卡
- 启用/禁用智能卡
- 删除已配置的智能卡
添加新的智能卡
要添加新的智能卡,请按照以下步骤操作:
- 导航到管理员-管理登录设置-智能卡身份验证。
- 单击屏幕右上角,添加新的智能卡按钮。
- 输入所有必需的详细信息,然后单击“保存”。
编辑已配置的智能卡。
点击要编辑配置的智能卡,请按照以下步骤操作:
- 导航到管理员管理登录设置智能卡身份验证。
- 点击 与您要编辑其配置的智能卡相对应。
- 修改您想要更改的设置。
- 点击保存。
启用/禁用智能卡
- 导航到“管理员-管理登录设置”,“智能卡身份验证”。
- 启用/禁用已配置的智能卡,点击/图标位于特定智能卡的“操作”列中。
删除已配置的智能卡
- >导航到管理员登录设置智能卡身份验证
- 点击与您要删除的智能卡相对应。
- 点击 是确认删除。