Tópico AnteriorPróximo Tópico

Autenticação por Smart Card

ADSelfService Plus permite que os administradores adicionem um botão de Smart Card na tela de login, permitindo que os usuários acessem o portal de autoatendimento e as aplicações de forma segura, sem necessidade de nome de usuário ou senha.

Configurando a autenticação por smart card para o ADSelfService Plus

Preparando seu ambiente de autenticação por smart card

O cadastro na autenticação por smart card pode ser feito tanto pelos usuários quanto pelo administrador. Os passos gerais são os seguintes:

1. Os usuários precisam receber um certificado digital e uma chave privada da autoridade certificadora (CA) da sua organização.
Nota: Certifique-se de que os atributos de usuário AD suportados que possuem valores únicos, como employeeID, sAMAccountName ou userPrincipalName, tenham valores válidos que possam ser mapeados para os atributos correspondentes do certificado, como SAN.OtherName, SAN.RFC822Name, SAN.DirName, SAN.DNSName, SAN.URI, emailaddress, distinguishedName ou CommonName no certificado do usuário. Os valores em ambos os atributos vinculados devem ser os mesmos para que o mapeamento seja bem-sucedido.
• Se você estiver usando a CA do AD, pode consultar o guia Microsoft sobre solicitação e concessão de certificados.
• Se uma CA externa for usada para o cadastro do smart card, os certificados devem ser importados para o AD e vinculados ao respectivo atributo userCertificate do usuário.
2. Agora, o certificado e a chave privada (geralmente emitidos juntos como um arquivo PFX) da sua CA devem ser cadastrados nos smart cards para completar as etapas de preparação.
• Para smart cards em máquinas:
• Windows: Importe o arquivo PFX diretamente para o armazenamento pessoal do usuário via a ferramenta Certificate Manager (certmgr.exe).
• macOS: Não aplicável (apenas smart cards físicos são compatíveis com macOS).
• Linux: Usando as configurações do seu navegador, importe o arquivo PFX via a aba Certificate Manager e o certificado raiz da CA via a aba Authorities.
• Para smart cards físicos, consulte a documentação fornecida pelo fornecedor do smart card sobre como cadastrar os certificados no hardware.

Pré-requisitos

1. O ADSelfService Plus deve usar uma conexão HTTPS. Saiba mais.
2. Obtenha o certificado raiz da CA de uma CA.

Etapas de configuração

Agora que os certificados estão no armazenamento pessoal do usuário ou em seus dispositivos físicos, e os pré-requisitos para o ADSelfService Plus foram atendidos, vamos configurar a autenticação sem senha usando smart cards para o portal ADSelfService Plus.

1. Faça login no console web do ADSelfService Plus com credenciais de administrador.
2. Navegue até Admin > Customize > Logon Settings.
3. Clique na aba Smart Card Authentication.



4. No campo Import CA Root Certification, clique em Browse para importar o arquivo de certificação raiz necessário (certificado X.509) obtido no passo dois dos pré-requisitos.
5. No campo Mapping Attribute in Certificate, selecione um atributo único no certificado para mapeamento.
• Certifique-se de que um atributo único do certificado esteja mapeado para um atributo único no AD. Ambos os atributos devem ter os mesmos valores.
• O ADSelfService Plus oferece a capacidade de selecionar qualquer atributo do certificado do smart card que identifique unicamente um usuário. Você pode escolher SAN.OtherName, SAN.RFC822Name, SAN.DirName, SAN.DNSName, SAN.URI, email, distinguishedName ou CommonName. Caso outros atributos sejam usados para identificar unicamente o usuário em seu ambiente, insira o nome do atributo na caixa de texto fornecida e clique no ícone +.



6. No campo Mapping Attribute in AD, especifique o atributo LDAP que deve ser correspondido com o atributo do certificado especificado.
• Aqui, você precisa especificar o atributo LDAP particular que identifica unicamente o usuário no AD (por exemplo, sAMAccountName).
• Durante a autenticação, o ADSelfService Plus lê o valor correspondente ao atributo do certificado que você especificou no atributo de mapeamento do certificado e o compara com o atributo de mapeamento especificado no AD.
7. No campo Linked Domains, selecione os domínios para os quais deseja habilitar a autenticação por smart card no menu suspenso.
8. Clique em Save.
9. Reinicie o ADSelfService Plus para que as alterações tenham efeito.
Nota: A autenticação por smart card não é suportada quando Load Balancer ou Reverse Proxy está habilitado para o ADSelfService Plus.

Gerenciando configurações de autenticação por smart card

Depois de adicionar um smart card para autenticação, você pode executar qualquer uma das seguintes funções:

• Adicionar um novo smart card
• Modificar um smart card configurado
• Habilitar ou desabilitar um smart card
• Excluir um smart card configurado

Adicionar um novo smart card

1. Navegue até Admin > Customize > Logon Settings > Smart Card Authentication.
2. Clique no botão Add a New Smartcard no canto superior direito.
3. Insira todos os detalhes necessários e clique em Save.

Modificar um smart card configurado

1. Navegue até Admin > Customize > Logon Settings > Smart Card Authentication.
2. Clique no ícone de lápis () correspondente ao cartão inteligente cuja configuração você deseja editar.
3. Modifique as configurações que deseja alterar.
4. Clique em Save.

Ativando ou desativando um cartão inteligente configurado

1. Navegue até Admin > Customize > Logon Settings > Smart Card Authentication.
2. Para ativar ou desativar um cartão inteligente configurado, clique no ícone vermelho () ou no ícone de check verde () localizado na coluna de ações de um cartão inteligente específico.

Excluir um smart card configurado

1. Navegue até Admin > Customize > Logon Settings > Smart Card Authentication.
2. Clique no ícone de exclusão () do cartão inteligente que você deseja excluir.
3. Clique em Sim para confirmar a exclusão.

Tópico AnteriorPróximo Tópico