Smartcard-Authentifizierung

Hinweis: Smart Card Authentication ist ein Fortgeschrittener verfügbar als Teil der Professional.

ADSelfService Plus bietet Smart Card Authentication als eine seiner MFA-Methoden zur Verifizierung von Benutzeridentitäten an.

Was ist eine Smartcard?

Eine Smartcard ist ein Sicherheitstool, das ein digitales Zertifikat mit einem privaten Schlüssel kombiniert, um die Identität eines Benutzers zu authentifizieren.

Ein digitales Zertifikat ist ein elektronisches Dokument, das von einer Zertifizierungsstelle (CA) ausgestellt wird und die Identität eines Benutzers mit einem öffentlichen Schlüssel verknüpft. Dieses Zertifikat dient zur Identifikation eines Benutzers und wird zwischen Entitäten öffentlich verteilt, um die Identität des Benutzers zu bestätigen.
Ein privater Schlüssel ist ein kryptographisches Geheimnis, das dem öffentlichen Schlüssel zugeordnet ist. Er wird sicher auf der Smartcard gespeichert und niemals verteilt. Er wird für kryptographische Operationen wie das digitale Signieren von Daten zur Überprüfung der Authentizität oder das Entschlüsseln von mit dem entsprechenden öffentlichen Schlüssel verschlüsselten Daten verwendet, wodurch der Benutzer authentifiziert wird.

Arten von Smartcards

Smartcards auf Geräten: Dies ist eine passwortgeschützte Datei (im PFX- oder anderen PKCS#12-Schlüssel-Format) im persönlichen Zertifikatsspeicher auf dem Gerät des Benutzers, die das digitale Zertifikat des Benutzers und den zugehörigen privaten Schlüssel enthält.

Physische Smartcards:

Dabei kann es sich um Hardwaregeräte handeln, die Smartcard- oder zertifikatsbasierte Authentifizierungsstandards unterstützen, wie YubiKeys, SafeNet IDPrime Smartcards oder ähnliche Personal Identity Verification (PIV)-Karten mit einem integrierten Chip, auf dem das Zertifikat und der private Schlüssel gespeichert sind. Diese physischen Smartcards sind zusätzlich durch PINs gesichert und werden vom Administrator an die Benutzer verteilt. Ein Kartenleser ist erforderlich, um die digitalen Zertifikate von physischen Smartcards während der Authentifizierung auszulesen.
ADSelfService Plus unterstützt PIV-Karten, Common Access Cards (CACs) und andere PKI-zertifikatbasierte (X509-konforme) Smartcards. Bitte wenden Sie sich an Ihren Smartcard-Anbieter, um zu prüfen, ob Ihre Geräte unterstützt werden.
Radiofrequenz-Identifikation (RFID) oder Near Field Communication (NFC) Karten, die als Identitätsnachweis-Zugangskarten verwendet werden, unterstützen das X509-Zertifikat nicht und können nicht für die Smartcard-Authentifizierung genutzt werden.

Wie funktioniert Smart Card Authentication

Sobald ein Benutzer die Authentifizierung startet, indem er seine Smartcard einlegt und die Smartcard-PIN, den Fingerabdruck oder eine andere konfigurierte 2FA-Methode eingibt, verifiziert ADSelfService Plus die Identität durch den Abgleich der Zertifikatsdatei auf der Smartcard des Benutzers mit der in AD. So läuft der Authentifizierungsprozess ab:

ADSelfService Plus fordert das digitale Zertifikat des Benutzers vom Browser (oder Login-Agenten im Falle von Maschinen-MFA) an.
Je nach Art der Smartcard führt der Browser (oder Agent) eine der folgenden Aktionen aus:

Smartcards auf Benutzergeräten: Der Browser oder Login-Agent ruft das Zertifikat aus dem Zertifikatsspeicher des Geräts ab und fordert den Benutzer zur Eingabe seines Passworts auf.
Physische Smartcards:

Hinweis: Um physische Smartcards für Endpoint-MFA unter Windows zu verwenden, muss der Smart Card Minidriver des Anbieters installiert sein, der den Cryptographic Service Provider von Microsoft implementiert. Bitte beachten Sie die vom Smartcard-Anbieter bereitgestellte Dokumentation für die Installationsschritte.

Das Zertifikat und der private Schlüssel werden automatisch in den Gerätezertifikatsspeicher geladen, wenn das Hardware-Gerät in die Maschine eingesetzt wird oder das PIV-USB-Gerät von einem Kartenleser gelesen wird. Sind mehrere Zertifikate auf der Smartcard, wird der Benutzer gebeten, das passende auszuwählen. Der Browser oder Agent ruft dann das Zertifikat aus dem Speicher ab und fordert zur PIN-Verifizierung auf, um die Smartcard oder das Zertifikat für die Authentifizierung zu entsperren.

Nach erfolgreicher Verifizierung durch den Browser oder Agent wird das Zertifikat an ADSelfService Plus zur Autorisierung gesendet, das prüft, ob:

Das Zertifikat gültig ist und von der in ADSelfService Plus konfigurierten vertrauenswürdigen CA ausgestellt wurde.
Das Zertifikat mit dem userCertificate Attribut in AD übereinstimmt.

Wenn das Zertifikat diese Prüfungen besteht, wird die Identität des Benutzers verifiziert und die MFA ist erfolgreich.

Konfiguration der Smart Card Authentication über ADSelfService Plus

Mit ADSelfService Plus können Sie Smartcards auf folgende Weise nutzen:

Sicherung von Benutzeridentitäten mittels MFA: Smartcards können als Authentifizierungsfaktor verwendet werden, um Unternehmensanwendungen, Windows-Geräte, Self-Service-Aktionen wie Passwortzurücksetzungen und Kontoentsperrungen, OWA-Logins, VPN-Logins über sichere Verifizierungslinks sowie Anmeldungen an ADSelfService Plus zu schützen. Klicken Sie hier um zu erfahren, wie Sie den Smart Card Authenticator für MFA konfigurieren.
Passwortlose Anmeldungen aktivieren: Administratoren können eine Smart Card-Schaltfläche zum ADSelfService Plus-Anmeldebildschirm hinzufügen, damit Benutzer sicher mit einem Klick auf das Self-Service-Portal und Anwendungen zugreifen können, ohne Benutzername oder Passwort eingeben zu müssen. Klicken Sie hier hier

Vorheriges Thema Nächstes Thema

Danke!

Ihre Anfrage wurde an das technische Support-Team von ADSelfService Plus übermittelt. Unsere technischen Support-Mitarbeiter helfen Ihnen so schnell wie möglich.

Benötigen Sie technische Unterstützung?

Geben Sie Ihre E-Mail-ID ein
Mit Experten sprechen

Sie finden nicht, wonach Sie suchen?

Besuchen Sie unsere Community

Stellen Sie Ihre Fragen im Forum.
Zusätzliche Ressourcen anfordern

Senden Sie uns Ihre Anforderungen.
Benötigen Sie Hilfe bei der Implementierung?

Versuchen Sie OnboardPro