Tópico AnteriorPróximo Tópico

Configurando a Autenticação por Smart Card via ADSelfService Plus

Usando o autenticador de cartão inteligente, você pode proteger aplicativos empresariais, máquinas Windows, ações de autoatendimento como redefinições de senha e desbloqueios de conta, logins do Outlook na web, logins VPN via links de verificação seguros e logins no ADSelfService Plus.

Configurando cartões inteligentes para MFA

Siga os passos abaixo para aprender como configurar cartões inteligentes para MFA.

Pré-requisitos

• O ADSelfService Plus deve usar uma conexão HTTPS. Saiba mais.
• Obtenha o certificado raiz de uma autoridade certificadora (CA). Mantenha este certificado seguro, pois você precisará deste arquivo ao configurar o autenticador de cartão inteligente. Se estiver usando Active Directory Certificate Services (AD CS) como sua CA, faça o download do arquivo de certificado em http:///certsrv/.
Nota: Substitua na URL pelo nome do seu servidor AD.

Preparando seu ambiente de autenticação por smart card

O registro para autenticação por cartão inteligente pode ser feito tanto por usuários quanto pelo administrador. Você precisará consultar a documentação fornecida pelo fornecedor do seu cartão inteligente para realizar isso. Os passos gerais a seguir estão descritos abaixo.

1. Os usuários precisam receber um certificado digital e uma chave privada da CA da sua organização. Se estiver usando AD CS, você pode consultar o guia da Microsoft, que explica como administradores e usuários podem solicitar e obter certificados.
2. Os certificados emitidos devem ser adicionados ao atributo userCertificate no AD para os respectivos usuários.
Nota: O passo dois pode ser ignorado quando AD CS é a CA, pois os certificados digitais dos usuários são automaticamente vinculados ao atributo userCertificate no AD. Se uma CA externa for usada para o registro do cartão inteligente, os certificados devem ser importados para o AD e vinculados ao atributo userCertificate. Saiba mais.
3. Agora, o certificado e a chave privada (geralmente emitidos juntos como um arquivo PFX) para os usuários da CA devem ser registrados nos cartões inteligentes para completar os passos de preparação.

Para smart cards em máquinas:

• Windows: Importe o arquivo PFX diretamente para o armazenamento pessoal do usuário via a ferramenta Certificate Manager (certmgr.exe).
• macOS: Não aplicável (apenas smart cards físicos são compatíveis com macOS).
• Linux: Usando as configurações do seu navegador, importe o arquivo PFX pela aba Certificate Manager e o certificado raiz da CA pela aba Authorities.
For physical smart cards, please refer to the documentation provided by your smart card vendor on how to enroll the certificates with the hardware.

Etapas de configuração

1. Faça login no portal web do ADSelfService Plus com credenciais de administrador.
2. Navegue até Configuration > Multi-factor Authentication > Smart Card Authentication.

3. No campo Import CA Root Certificate, clique em Browse para importar o arquivo de certificação raiz necessário (certificado X.509) obtido no passo dois da seção de pré-requisitos acima.
4. Clique em Save.

Desabilitando o provedor de credenciais de cartão inteligente do Windows

Quando os logins em máquinas são protegidos usando o autenticador de cartão inteligente do ADSelfService Plus, uma senha é inicialmente requerida, seguida pela autenticação por cartão inteligente (MFA). No entanto, o Windows oferece autenticação nativa por cartão inteligente, que permite que os usuários façam login nas máquinas assim que inserem um cartão inteligente, dispensando a necessidade de digitar uma senha. Para garantir que as máquinas sejam protegidas usando tanto uma senha quanto o MFA do ADSelfService Plus, você precisará desabilitar os logins nativos por cartão inteligente nas máquinas com uma GPO usando os passos abaixo.

1. Para desabilitar o provedor de credenciais do cartão inteligente, uma configuração de Política de Grupo do Windows deve ser configurada usando o Editor de Política de Grupo local (gpedit.msc) ou o Editor de Gerenciamento de Política de Grupo (gpmc.msc):
1. Modifique uma Política de Grupo existente ou crie uma nova e navegue até Computer Configuration > Policies > Administrative Templates > System > Logon > Exclude credential providers.
2. Clique com o botão direito em Exclude credential providers e clique em Edit.
3. Selecione Enabled.

2. No campo Exclude the following credential providers, insira {8FD7E19C-3BF7-489B-A72C-846AB3678C96} para desabilitar a autenticação padrão por cartão inteligente do Windows para logins em máquinas.
Nota: Recomenda-se desabilitar todos os provedores de credenciais do Windows, exceto o provedor de credenciais de senha, ao proteger logins em máquinas Windows usando o ADSelfService Plus.

3. Clique em Apply e depois em OK.

Gerenciando configurações de autenticação por smart card

Depois de adicionar um smart card para autenticação, você pode executar qualquer uma das seguintes funções:

• Adicionando uma nova configuração de cartão inteligente
• Habilitar ou desabilitar um smart card
• Excluir um smart card configurado

Adicionar um novo smart card

1. Navegue até Configuration > Multi-factor Authentication > Smart Card Authentication.
2. Clique no botão Add Certificate Authority no canto superior direito.
3. Insira todos os detalhes necessários e clique em Save.

Ativando ou desativando um cartão inteligente configurado

1. Navegue até Configuration > Multi-factor Authentication > Smart Card Authentication.
2. Para habilitar ou desabilitar um cartão inteligente configurado, clique no ícone vermelho () ou no ícone verde de confirmação () localizado na coluna de ações de um cartão inteligente específico.

Excluir um smart card configurado

1. Navegue até Configuration > Multi-factor Authentication > Smart Card Authentication.
2. Clique no ícone de exclusão () no cartão inteligente que deseja deletar.
3. Clique em Sim para confirmar a exclusão.

Tópico Anterior Próximo Tópico