为微软强大的证书映射执行配置云扩展器

有关如何在 Cloud Extender® 中配置证书设置以满足 Microsoft Active Directory 的强大证书映射强制执行的信息。 在 Windows 域控制器上进行基于证书的身份验证时，需要这些设置来验证证书。

1. 请按照以下步骤在 IBM® MaaS360 Portal 中为 objectSid 映射添加自定义用户属性。
   1. 登录 IBM MaaS360 Portal ，进入用户 > 用户属性 > 添加自定义属性。
   2. 输入属性名称、变量名称，然后选择属性类型（如文本）。

   新增自定义用户属性 IBM MaaS360 Portal。

2. 请按照以下步骤为云扩展器配置用户可见性服务。
   1. 打开云扩展器配置工具并选择用户可见性。
   2. 打开已配置的 LDAP 模块，然后单击下一步。
   3. 单击模块配置最后一个屏幕上的高级 ，配置高级设置。
   4. 在自定义用户属性映射中，从 MaaS360 用户属性列表中选择 objectSid ，配置在 IBM MaaS360 Portal 中创建的自定义用户属性。
   5. 单击 " 确定 "。
      要验证自定义用户属性是否正确映射，请单击测试可达性。
   6. 单击保存完成设置并返回云扩展器摘要页面。
   下一次同步会将门户中每个用户的相应安全标识符 (SID) 值填充到自定义用户属性中。

   提示： 确保同步成功完成，以便在所有用户记录中反映更新的属性值。
3. 在云扩展器配置工具中，选择证书集成模块。
   1. 配置证书模板，然后单击下一步。

      如果尚未配置证书模板，请按照云扩展器证书集成配置部分提供的步骤，根据您的环境进行配置。 该功能目前支持 Microsoft CA、Symantec CA 和 Verizon MCS 等模板类型。

   2. 配置主题备用名称
      使用该字段来唯一标识用户以进行认证。 该字段是用于主体备用名称的最常用字段之一。

      注意： 默认情况下， UPN 和 Email 显示的是升级前使用的预配置值。

      您可以添加属性并配置相应属性的值。

      要使用在 IBM MaaS360 Portal 中创建的自定义用户属性配置 URI ，需要遵循特定的格式。

      tag:microsoft.com,2022-09-14:sid:%<custom user attribute>% 并将 URI 格式中的 替换为您创建的属性名称。 <user attribute>

      在此 SAN URI 中、 microsoft.com 和 2022-09-14 是不能修改的硬编码值。 SAN URI 时唯一需要提供的值是取代 <value> 字段的用户或设备 SID。

      示例

      如果自定义用户属性名为 Sample ，URI 就会变成 tag:microsoft.com,2022-09-14:sid:%Sample%。 %custom user attribute% 语法是一个占位符，由 MaaS360 替换为属性的实际值。

   3. 单击 " 保存并测试 "测试配置。
      如果测试成功，系统将显示提示，说明证书已成功生成和验证，并提供下载证书到移动设备的选项。