Installationsverfahren für die Smartcard-Authentifizierung konfigurieren

Konfigurieren Sie den Control Room, um Nutzer mit Hilfe der Smartcard-Option zu authentifizieren.

Vorbereitungen

Um die Aufgabe ausführen zu können, müssen Sie ein Control Room-Administratorkonto haben und über die erforderlichen Rechte und Berechtigungen verfügen.

Führen Sie die folgenden Schritte aus, um Ihre Cloud Control Room für die Verwendung der Authentifizierung per Smartcard mit X.509-Zertifikat-zu konfigurieren.

Prozedur

  1. Konfigurieren Sie den sekundären Hostnamen so, dass er auf den Load Balancer des Control Rooms verweist.
    Mit diesem Prozess wird der sekundäre Hostname definiert, der für Authentifizierungsanfragen verwendet wird, wenn der Control Room für die Smartcard-Authentifizierung konfiguriert wurde. Der sekundäre Hostname wird automatisch im Load Balancer des Control Rooms konfiguriert. Sowohl der primäre als auch der sekundäre Hostname müssen in dem von der Control Room-Umgebung verwendeten DNS-System konfiguriert werden (fügen Sie DNS-Einträge für primäre und sekundäre Hostnamen hinzu: extern zum Control Room).
  2. So erhalten Sie Java KeyStore mit sicheren CA-Zertifikaten.
    Konfigurieren Sie den Ort, an dem der Control Room nach Zertifikaten der Zertifizierungsstelle (CA) sucht, die bei der Nutzeranmeldung zur Authentifizierung von Nutzerzertifikaten verwendet werden.
    Anmerkung: Die Zertifikate an diesem Ort sind die Serverzertifikate für die CAs, die die Nutzerzertifikate ausstellen.
    OptionAktion
    Den folgenden Speicherort regelmäßig scannen

    Mit dieser Einstellung kann der Administrator den Pfad zu der Keystore-Datei festlegen, die die CA-Zertifikate enthält. Verwenden Sie diese Einstellung bei der regelmäßigen Aktualisierung des CA-Truststores und um festzulegen, wie oft der Scan ausgeführt werden soll.

    Den KeyStore manuell hochladen

    Mit Hilfe dieser Einstellung kann der Administrator eine Keystore-Datei laden, die die CA-Zertifikate enthält. Verwenden Sie diese Einstellung, wenn Ihre CAs bekannt und statisch sind, und geben Sie an, ob der Keystore passwortgeschützt ist. Wenn der Keystore passwortgeschützt ist, geben Sie das Passwort an und bestätigen Sie es.

  3. Wählen Sie die Methode zur Sperrprüfung.
    Durch die Sperrprüfung wird der Control Room so konfiguriert, dass er Authentifizierungsanfragen für widerrufene Zertifikate ablehnt.
    OptionAktion
    Protokoll zum Online-Zertifikatstatus (OSCP) Verwenden Sie diese Einstellung, wenn Ihre CA OSCP implementiert hat.
    Sperrliste für Zertifikate Verwenden Sie diese Einstellung, wenn Sie eine statische Liste der widerrufenen Zertifikate führen.
    Keine Sperrprüfung Bei dieser Einstellung wird vom Control Room keine Sperrprüfung durchgeführt.
    Anmerkung: Dies wird nicht für Produktionsbereitstellungen empfohlen, bei denen in der Regel eine Sperrung verwendet wird.
  4. Bei Fehlschlag der gewählten Methode die andere Methode verwenden
    Unter dieser Einstellung wird versucht, die nicht gewählte Methode der Sperrprüfung zu verwenden, wenn die konfigurierte Methode fehlschlägt.
  5. Authentifizierung des Nutzers zulassen, auch wenn der Sperrstatus nicht ermittelt werden kann
    Mit dieser Einstellung gewährleisten Sie, dass Nutzer sich authentifizieren können, wenn eine der beiden Methoden zur Sperrprüfung fehlschlägt.
  6. Konfigurieren Sie die Zuordnung der Nutzernamen.
    Bei der Zuordnung von Nutzernamen wird angegeben, welches Attribut des Nutzerzertifikats für den Control Room-Nutzernamen verwendet wird. Der Nutzername muss im Control Room konfiguriert sein, bevor der Nutzer sich beim Control Room anmeldet, und muss mit dem aus dem Zertifikat abgeleiteten Nutzernamen übereinstimmen.
    1. Nutzername beziehen aus
      Betreff des Zertifikats
      Verwenden Sie diese Einstellung, wenn der Control Room-Nutzername mit der Zeichenfolge im Betreff-Feld des Nutzerzertifikats übereinstimmt.
      Universeller Hauptname
      Verwenden Sie diese Einstellung, wenn der Control Room-Nutzername mit der Zeichenfolge im Feld „Universeller Hauptname“ für das Nutzerzertifikat übereinstimmt.
    2. Einen regulären Ausdruck verwenden
      Geben Sie einen regulären Ausdruck ein, mit dem der Control Room-Nutzername aus dem ausgewählten Feld des Nutzerzertifikats gefiltert wird. Dies ist möglicherweise nicht erforderlich, wenn der Control Room-Nutzername mit den Daten im ausgewählten Zertifikatsfeld übereinstimmt.
  7. Konfigurieren Sie die Zuordnung der Vornamen.
    Durch die Zuordnung der Vornamen wird angegeben, welches Attribut des Nutzerzertifikats für den Control Room-Nutzernamen verwendet wird. Der Vorname muss im Control Room konfiguriert sein, bevor der Nutzer sich beim Control Room anmeldet, und muss mit dem aus dem Zertifikat abgeleiteten Vornamen des Nutzers übereinstimmen.
    1. Vorname beziehen aus
      Betreff des Zertifikats
      Verwenden Sie diese Einstellung, wenn der Vorname im Control Room mit der Zeichenfolge im Betreff-Feld des Nutzerzertifikats übereinstimmt.
      Universeller Hauptname
      Verwenden Sie diese Einstellung, wenn der Control Room-Nutzername mit der Zeichenfolge im Feld „Universeller Hauptname“ für das Nutzerzertifikat übereinstimmt.
    2. Einen regulären Ausdruck verwenden
      Geben Sie einen regulären Ausdruck ein, mit dem der Vorname des Nutzers im Control Room aus dem ausgewählten Feld des Nutzerzertifikats gefiltert wird. Dies ist möglicherweise nicht erforderlich, wenn der Vorname des Nutzers im Control Room mit den Daten im ausgewählten Zertifikatsfeld übereinstimmt.
  8. Konfigurieren Sie die Zuordnung der Nachnamen.
    Durch die Zuordnung des Nachnamens wird angegeben, welches Attribut des Nutzerzertifikats für den Control Room-Nutzernamen verwendet wird. Der Nachname muss im Control Room konfiguriert sein, bevor der Nutzer sich im Control Room anmeldet, und muss mit dem aus dem Zertifikat abgeleiteten Nachnamen des Nutzers übereinstimmen.
    1. Nachname beziehen aus
      Betreff des Zertifikats
      Verwenden Sie diese Einstellung, wenn der Nachname im Control Room mit der Zeichenfolge im Betreff-Feld des Nutzerzertifikats übereinstimmt.
      Universeller Hauptname
      Verwenden Sie diese Einstellung, wenn der Control Room-Nutzername mit der Zeichenfolge im Feld „Universeller Hauptname“ für das Nutzerzertifikat übereinstimmt.
    2. Einen regulären Ausdruck verwenden
      Geben Sie einen regulären Ausdruck ein, mit dem der Nachname des Nutzers im Control Room aus dem ausgewählten Feld des Nutzerzertifikats gefiltert wird. Dies ist möglicherweise nicht erforderlich, wenn der Nachname des Nutzers im Control Room mit den Daten im ausgewählten Zertifikatsfeld übereinstimmt.
  9. Konfigurieren Sie die Zuordnung der E-Mail-Adressen.
    Durch die Zuordnung von E-Mail-Adressen wird angegeben, welches Attribut des Nutzerzertifikats für den Control Room-Nutzernamen verwendet wird. Die E-Mail-Adresse muss im Control Room konfiguriert sein, bevor der Nutzer sich beim Control Room anmeldet, und muss mit der aus dem Zertifikat abgeleiteten E-Mail-Adresse des Nutzers übereinstimmen.
    1. Nachname beziehen aus
      Betreff des Zertifikats
      Verwenden Sie diese Einstellung, wenn die E-Mail-Adresse für den Control Room mit der Zeichenfolge im Betreff-Feld des Nutzerzertifikats übereinstimmt.
      Universeller Hauptname
      Verwenden Sie diese Einstellung, wenn der Control Room-Nutzername mit der Zeichenfolge im Feld „Universeller Hauptname“ für das Nutzerzertifikat übereinstimmt.
    2. Einen regulären Ausdruck verwenden
      Geben Sie einen regulären Ausdruck ein, mit dem die E-Mail-Adresse des Nutzers im Control Room aus dem ausgewählten Feld des Nutzerzertifikats gefiltert wird. Dies ist möglicherweise nicht erforderlich, wenn die E-Mail-Adresse des Nutzers im Control Room mit den Daten im ausgewählten Zertifikatsfeld übereinstimmt.
  10. Klicken Sie auf Weiter.