智能卡认证

ManageEngine ADSelfService Plus支持智能卡身份验证，作为其Web门户登录的多重身份验证因素之一。在ADSelfService Plus将用户计算机上的证书文件与Active Directory（AD）中的证书文件进行比对后，用户将被验证。

先决条件

1. 导航到管理员 → 产品设置 → 连接。选择HTTPS模式单选按钮，输入端口号。点击保存。
2. 从证书颁发机构（CA）获取CA根证书。妥善保存此证书，因为在配置智能卡身份验证器时需要此文件。如果您使用Windows服务器作为CA，请从以下地址下载证书文件：http://<CertificateAuthorityServerName>/certsrv/。

请按以下步骤操作：

1. 使用管理员凭证登录ADSelfService Plus web门户。
2. 导航到配置 → 多重身份验证 → 智能卡身份验证。

3. 在导入CA根证书字段中，点击浏览以导入所需的根证书文件（X.509证书）。（有关获取CA根证书的信息，请参阅上述先决条件部分的步骤2。）
4. 在证书中的映射属性下拉列表中选择一个唯一属性进行映射。
• 确保从证书中提取的唯一属性映射到AD中的唯一属性。两个属性必须具有相同的值。
• ADSelfService Plus允许您选择任何能够唯一标识用户的智能卡证书属性。可用的属性包括SAN.OtherName、SAN.RFC822Name、SAN.DirName、SAN.DNSName、SAN.URI、emailaddress、DN和CommonName。您还可以通过在提供的文本框中输入属性名称并点击+图标来添加其他用于在您的环境中唯一标识用户的属性。
5. 指定应与从AD中的映射属性下拉列表中指定的证书属性匹配的LDAP属性。您需要指定AD中唯一标识用户的特定LDAP属性（例如sAMAccountName）。
• 在身份验证期间，ADSelfService Plus将此值与您在证书映射属性中指定的证书属性进行比较，以验证用户的身份。
6. 点击保存。
7. 重启ADSelfService Plus以使更改生效。