Używanie certyfikat PKI do uwierzytelniania bramy

Wykonaj następujące kroki, aby włączyć certyfikat infrastruktury klucza publicznego (PKI) na potrzeby uwierzytelniania za pomocą produktu Mobile Enterprise Gateway (MEG).

Produkt Mobile Enterprise Gateway (MEG) 2.90 obsługuje następujące elementy na potrzeby uwierzytelniania przy użyciu certyfikatu PKI:
  • Certyfikaty tożsamości urządzeń lub certyfikaty tożsamości użytkowników.
  • Program Microsoft™ CA zainstalowany w dniu 2016 r. +
  • Microsoft AD skonfigurowany jako Active Directory lub profil LDAP dla Active Directory
  • Atrybuty certyfikatu zawierające identyfikację użytkownika: Nazwa podmiotu i Alternatywna nazwa podmiotu
  • Atrybuty katalogu dla nazwy użytkownika: UPN, sAMAccountName, CN, UID (nieobsługiwane w Active Directory) i name
  • Format atrybutu certyfikatu:
    • UPN i DN
    • Wiele profili LDAP dla Active Directory

Wymagania wstępne: Skonfiguruj ośrodek Microsoft CA w module integracji certyfikatów Cloud Extender ® (więcej informacji na ten temat zawiera sekcja Integracja z ośrodkiem Microsoft CA ).

Przepływ pracy konfiguracji uwierzytelniania przy użyciu certyfikatów PKI

  1. Skonfiguruj Certyfikat urządzenia w module Integracja certyfikatów programu Cloud Extender i zdefiniuj Nazwę podmiotu lub Alternatywną nazwę podmiotu , która zawiera odpowiednie atrybuty nazwy użytkownika z weryfikacji rejestru użytkowników.
    • Jeśli używana jest wartość Nazwy podmiotu, podaj następujące ustawienia:
      • Aby ustawić nazwę podmiotu certyfikatu jako DN, wpisz /CN=%dn% w polu Nazwa podmiotu szablonu certyfikatu.
      • Aby ustawić nazwę podmiotu certyfikatu jako UPN, wpisz /CN=%upn% w polu Nazwa podmiotu szablonu certyfikatu.
    • Jeśli używana jest wartość Alternatywna nazwa podmiotu, podaj następujące ustawienia:
      • Aby ustawić dla alternatywnej nazwy podmiotu wartość DN, wybierz opcję Inny jako Typ alternatywnej nazwy podmiotu i podaj %dn% jako Szablon podmiotu. Należy podać poprawną Nazwę podmiotu (/emailAddress=%email%).
      • Aby ustawić nazwę podmiotu certyfikatu jako UPN, wybierz UPN jako Typ alternatywnej nazwy podmiotu dla szablonu certyfikatu. Należy podać poprawną Nazwę podmiotu (/emailAddress=%email%).
  2. Skonfiguruj uwierzytelnianie w programie Cloud Extender , wykonując kroki na stronie Konfiguracja programu Cloud Extender Active Directory .
  3. Skonfiguruj szczegóły autoryzacji certyfikatu programu Enterprise Gateway za pomocą narzędzia Cloud Extender Configuration Tool:
    Nowa aktualizacja CE
    Dla Trybu uwierzytelniania przy użyciu certyfikatów wybierz jedną z następujących opcji:
    • Jeśli opcja Sprawdź poprawność informacji o certyfikacie względem atrybutów użytkownika w katalogu korporacyjnym jest włączona, wyświetlana jest wartość Nazwa pola certyfikatu używana do sprawdzania poprawności.
    • Jeśli opcja Sprawdź status odwołania certyfikatu jest włączona, wyświetlane są opcje W przypadku niepowodzenia sprawdzania statusu odwołania certyfikatu .
  4. Skonfiguruj zasadę WorkPlace Persona , która używa certyfikatu i nowo utworzonego identyfikatora szablonu dla uwierzytelniania Mobile Enterprise Gateway (MEG) :
    1. Zaloguj się do portalu klienta i przejdź do opcji Zasady Workplace Persona > Enterprise Gateway. Pole Typ uwierzytelniania dla bramy jest wyświetlane z wartością domyślnąPassword.
    2. Wybierz Certyfikat z listy Typ uwierzytelniania dla bramy i sprawdź, czy jest wyświetlane pole Certyfikat tożsamości dla uwierzytelniania w bramie.
    WorkPlace Ustawienia uwierzytelniania zasady Persona
  5. Zarejestruj nowe urządzenie przy użyciu zasady WorkPlace Persona , a następnie poczekaj, aż otrzymasz powiadomienie o tym, że nowy certyfikat tożsamości został przekazany do urządzenia.
  6. Zaimportuj certyfikat do podpisywania ośrodka certyfikacji do magazynu zaufanych certyfikatów systemu Windows w programie Cloud Extender.
    1. Wyeksportuj certyfikat do podpisywania do pliku. W przypadku ośrodka CA Microsoft należy zapoznać się z procedurą pod adresem https://support.microsoft.com/en-us/help/555252.
    2. Zaimportuj certyfikat do podpisywania ośrodka certyfikacji do magazynu zaufanych certyfikatów systemu Windows w programie Cloud Extender. Procedura jest opisana w sekcji https://technet.microsoft.com/en-us/library/cc754489(v=ws.11) .aspx .
  7. Zrestartuj bramę.
    1. Przejdź do katalogu instalacyjnego programu Cloud Extender na serwerze Mobile Enterprise Gateway (MEG) . Na przykład: C:\Program Files (x86)\<path to MaaS360>\Cloud Extender
    2. Odszukaj i wskaż plik stopMobileGateway.bat. Rozszerzenie pliku jest wyświetlane, jeśli odpowiednio skonfigurowano opcje wyświetlania folderu w systemie Windows.
    3. Poczekaj około 30 sekund na zatrzymanie produktu Mobile Enterprise Gateway (MEG) .
    4. Wyszukaj, a następnie wybierz plik startMobileGateway.bat , aby zrestartować produkt Mobile Enterprise Gateway (MEG).