Smart Card Authentifizierung
ADSelfService Plus ermöglicht Administratoren das Hinzufügen einer Smart Card Schaltfläche am Anmeldebildschirm, damit Benutzer sicher auf das Self-Service-Portal und Anwendungen zugreifen können, ohne Benutzername oder Passwort zu benötigen.
Hinweis: Die Smart Card-Authentifizierung kann auch als MFA-Methode verwendet werden, um Unternehmensanwendungen, Windows-Geräte, Self-Service Aktionen wie Passwortzurücksetzungen und Kontosperrungen, Outlook im Web-Anmeldungen, VPN-Anmeldungen über sichere Verifizierungslinks und Anmeldungen bei ADSelfService Plus zu schützen. Um mehr darüber zu erfahren, was Smart Cards sind, wie der Authentifizierungsprozess funktioniert und wie Sie den Smart Card Authenticator mit ADSelfService Plus anderweitig nutzen können, klicken Sie
hier.
Konfiguration der Smart Card Authentifizierung für ADSelfService Plus
Vorbereitung Ihrer Smart Card Authentifizierungsumgebung
Die Anmeldung zur Smart Card Authentifizierung kann sowohl von Benutzern als auch vom Administrator durchgeführt werden. Die allgemeinen Schritte sind wie folgt:
- Benutzern muss von der Zertifizierungsstelle (CA) Ihrer Organisation ein digitales Zertifikat und ein privater Schlüssel ausgestellt werden.
Hinweis: Stellen Sie sicher, dass unterstützte AD-Benutzerattribute, die eindeutige Werte haben,
employeeID, sAMAccountNameoder userPrincipalNamegültige Werte besitzen, die den entsprechenden Zertifikat-Attributen zugeordnet werden können, wie z. B. SAN.OtherName,
SAN.RFC822Name, SAN.DirName, SAN.DNSName, SAN.URI, emailaddress,
distinguishedNameoder CommonNameDie Werte in beiden verknüpften Attributen müssen gleich sein, damit eine erfolgreiche Zuordnung möglich ist.
- Wenn Sie die CA von AD verwenden, können Sie sich auf die Microsoft Anleitung zur Anforderung und Vergabe von Zertifikaten beziehen.
- Wenn eine externe CA für die Smart Card-Anmeldung verwendet wird, müssen die Zertifikate in AD importiert und dem jeweiligen Benutzerattribut userCertificate zugewiesen werden.
- Das Zertifikat und der private Schlüssel (normalerweise zusammen als PFX-Datei ausgestellt) von Ihrer CA sollten jetzt auf die Smart Cards eingetragen werden, um die Vorbereitung abzuschließen.
- Für Smart Cards auf Geräten:
- Windows: Importieren Sie die PFX-Datei direkt in den persönlichen Speicher des Benutzers über das Tool Certificate Manager (certmgr.exe).
- macOS: Nicht anwendbar (nur physische Smart Cards sind mit macOS kompatibel).
- Linux: Importieren Sie die PFX-Datei über die Browsereinstellungen im Certificate Manager Bereich und das CA-Stammzertifikat über den Authorities
- Bereich.Für physische Smart Cards
lesen Sie bitte die Dokumentation Ihres Smart Card Anbieters, wie die Zertifikate mit der Hardware angemeldet werden.
- Voraussetzungen ADSelfService Plus muss eine HTTPS-Verbindung verwenden..
- Erfahren Sie
mehr
Holen Sie das CA-Stammzertifikat von einer Zertifizierungsstelle.
- Konfigurationsschritte
- Sobald die Zertifikate im persönlichen Speicher des Benutzers oder auf deren physischen Geräten vorliegen und die Voraussetzungen für ADSelfService Plus erfüllt sind, konfigurieren wir die passwortlose Authentifizierung mit Smart Cards für das ADSelfService Plus Portal. Melden Sie sich mit Administrator-Anmeldedaten an der ADSelfService Plus Web-Konsole an..
- Navigieren Sie zu Smart Card Authentifizierung Authorities
- Admin > Anpassen > Anmeldeeinstellungen Klicken Sie auf die Im Feld CA Root Zertifikatsdatei importieren klicken Sie auf Durchsuchen und importieren Sie die erforderliche Root-Zertifikatsdatei (X.509 Zertifikat), die in
- Admin > Anpassen > Anmeldeeinstellungen Schritt zwei der
- Voraussetzungen
- erhalten wurde. Im Feld,
SAN.RFC822Name, SAN.DirName, SAN.DNSName, SAN.URI, Attributzuordnung im Zertifikat,
distinguishedNameoder CommonNamewählen Sie ein eindeutiges Attribut im Zertifikat für die Zuordnung aus.
- Admin > Anpassen > Anmeldeeinstellungen Stellen Sie sicher, dass ein eindeutiges Attribut aus dem Zertifikat einem eindeutigen Attribut in AD zugeordnet wird. Beide Attribute müssen dieselben Werte besitzen. ADSelfService Plus bietet die Möglichkeit, jedes Attribut des Smart Card Zertifikats auszuwählen, das einen Benutzer eindeutig identifiziert. Sie können
- SAN.OtherName sAMAccountName).
- email
- Admin > Anpassen > Anmeldeeinstellungen auswählen. Falls in Ihrer Umgebung andere Attribute verwendet werden, um Benutzer eindeutig zu identifizieren, geben Sie den Namen des Attributs in das bereitgestellte Textfeld ein und klicken Sie auf das + Symbol. Im Feld
- Attributzuordnung in AD geben Sie das LDAP-Attribut an, das mit dem angegebenen Zertifikatsattribut abgeglichen werden soll..
- Hier müssen Sie das bestimmte LDAP-Attribut angeben, das den Benutzer in AD eindeutig identifiziert (z. B.
Hinweis: Während der Authentifizierung liest ADSelfService Plus den Wert, der dem im Zertifikat angegebenen Attribut entspricht, und vergleicht ihn mit dem angegebenen Attribut in AD.
Im Feld
Verknüpfte Domänen
wählen Sie die Domänen aus der Dropdown-Liste aus, für die Sie die Smart Card Authentifizierung aktivieren möchten.
- Sobald die Zertifikate im persönlichen Speicher des Benutzers oder auf deren physischen Geräten vorliegen und die Voraussetzungen für ADSelfService Plus erfüllt sind, konfigurieren wir die passwortlose Authentifizierung mit Smart Cards für das ADSelfService Plus Portal. Die Smart Card Authentifizierung wird nicht unterstützt, wenn Load Balancer oder Reverse Proxy für ADSelfService Plus aktiviert sind..
- Navigieren Sie zu Verwaltung der Smart Card Authentifizierungskonfigurationen Nachdem Sie eine Smart Card für die Authentifizierung hinzugefügt haben, können Sie die folgenden Aktionen ausführen:
- Hinzufügen einer neuen Smart Card geben Sie das LDAP-Attribut an, das mit dem angegebenen Zertifikatsattribut abgeglichen werden soll..
Klicken Sie
- Sobald die Zertifikate im persönlichen Speicher des Benutzers oder auf deren physischen Geräten vorliegen und die Voraussetzungen für ADSelfService Plus erfüllt sind, konfigurieren wir die passwortlose Authentifizierung mit Smart Cards für das ADSelfService Plus Portal. Die Smart Card Authentifizierung wird nicht unterstützt, wenn Load Balancer oder Reverse Proxy für ADSelfService Plus aktiviert sind..
- Ändern einer konfigurierten Smart Card
Aktivieren oder Deaktivieren einer Smart Card
- Löschen einer konfigurierten Smart Card
- Attributzuordnung in AD geben Sie das LDAP-Attribut an, das mit dem angegebenen Zertifikatsattribut abgeglichen werden soll..
Admin > Anpassen > Anmeldeeinstellungen > Smart Card Authentifizierung
- Sobald die Zertifikate im persönlichen Speicher des Benutzers oder auf deren physischen Geräten vorliegen und die Voraussetzungen für ADSelfService Plus erfüllt sind, konfigurieren wir die passwortlose Authentifizierung mit Smart Cards für das ADSelfService Plus Portal. Die Smart Card Authentifizierung wird nicht unterstützt, wenn Load Balancer oder Reverse Proxy für ADSelfService Plus aktiviert sind..
- Smart Card hinzufügen
Schaltfläche oben rechts.
Geben Sie alle erforderlichen Details ein und klicken Sie auf
Starten Sie ADSelfService Plus neu, damit die Änderungen wirksam werden.
- Sobald die Zertifikate im persönlichen Speicher des Benutzers oder auf deren physischen Geräten vorliegen und die Voraussetzungen für ADSelfService Plus erfüllt sind, konfigurieren wir die passwortlose Authentifizierung mit Smart Cards für das ADSelfService Plus Portal. Die Smart Card Authentifizierung wird nicht unterstützt, wenn Load Balancer oder Reverse Proxy für ADSelfService Plus aktiviert sind..
- Klicken Sie auf das Stiftsymbol (
) neben der Smart Card,
- Attributzuordnung in AD deren Konfiguration Sie bearbeiten möchten. Ändern Sie die gewünschten Einstellungen.
Ja
-
zur Bestätigung der Löschung.
Danke!
-
Ihre Anfrage wurde an das technische Support-Team von ADSelfService Plus übermittelt. Unsere technischen Support-Mitarbeiter werden Ihnen schnellstmöglich weiterhelfen.
Benötigen Sie technischen Support?
-
Geben Sie Ihre E-Mail-Adresse ein
Experten kontaktieren
ADManager Plus
ADAudit Plus
Exchange Reporter Plus
M365 Manager Plus
Vorheriges Thema