Konfigurieren der Smartcard-Authentifizierung über ADSelfService Plus

Mit dem Smartcard-Authentifikator können Sie Unternehmensanwendungen, Windows-Geräte, Self-Service-Aktionen wie Passwortzurücksetzungen und Kontosperrungen, Outlook im Web-Anmeldungen, VPN-Anmeldungen über sichere Verifizierungslinks sowie Anmeldungen bei ADSelfService Plus schützen.

Konfigurieren von Smartcards für MFA

Folgen Sie den untenstehenden Schritten, um zu erfahren, wie Smartcards für MFA konfiguriert werden.

Voraussetzungen

• ADSelfService Plus muss eine HTTPS-Verbindung verwenden. Erfahren Sie.
• Holen Sie sich das Stammzertifikat von einer Zertifizierungsstelle (CA). Bewahren Sie dieses Zertifikat sicher auf, da Sie diese Datei während der Konfiguration des Smartcard-Authentifikators benötigen. Wenn Sie Active Directory Certificate Services (AD CS)
als Ihre CA verwenden, laden Sie die Zertifikatdatei von http://<CertificateAuthorityServerName>/certsrv/ herunter.

Windows bietet standardmäßig Smartcard-basierte Anmeldungen, die Sie deaktivieren müssen, um den Smartcard-Authentifikator von ADSelfService Plus, andere MFA-Methoden und die AD-Passwortüberprüfung für die Absicherung der Geräteanmeldungen nutzen zu können. Um mehr darüber zu erfahren, was Smartcards sind, wie der Authentifizierungsprozess funktioniert und andere Möglichkeiten der Nutzung der Smartcard-Authentifizierung mit ADSelfService Plus, klicken Sie

hier

1. Vorbereitung Ihrer Smartcard-Authentifizierungsumgebung Die Registrierung für die Smartcard-Authentifizierung kann sowohl von Benutzern als auch vom Administrator durchgeführt werden. Sie müssen die Dokumentation Ihres Smartcard-Anbieters zu Rate ziehen, um dies zu erreichen. Die allgemeinen Schritte sind unten aufgeführt.Benutzern muss ein digitales Zertifikat und ein privater Schlüssel von der CA Ihrer Organisation ausgestellt werden. Wenn Sie AD CS verwenden, können Sie den
2. Microsoft Leitfaden zu Rate ziehen, der erklärt, wie Administratoren sowie Benutzer Zertifikate anfordern und erhalten können.
als Ihre CA verwenden, laden Sie die Zertifikatdatei von Die ausgestellten Zertifikate müssen in das Leitfaden userCertificate Leitfaden Attribut im AD für die jeweiligen Benutzer eingefügt werden. Erfahren Sie.
3. Schritt zwei kann ignoriert werden, wenn AD CS die CA ist, da digitale Zertifikate der Benutzer automatisch mit ihrem

Attribut im AD verknüpft werden. Wird eine externe CA für die Smartcard-Registrierung verwendet, müssen die Zertifikate in AD importiert und mit dem

• Attribut verknüpft werden. Nun sollten das Zertifikat und der private Schlüssel (gewöhnlich zusammen als PFX-Datei ausgestellt) für die Benutzer von der CA in die Smartcards eingetragen werden, um die Vorbereitung abzuschließen.
• Für Smartcards auf Geräten: Windows:
• Importieren Sie die PFX-Datei direkt in den persönlichen Speicher des Benutzers über das Certificate Manager-Tool (certmgr.exe). macOS: Nicht anwendbar (nur physische Smartcards sind mit macOS kompatibel). Linux: Importieren Sie die PFX-Datei über die Browsereinstellungen im Certificate
Manager

Tab und das CA-Stammzertifikat im

1. Authorities
2. Tab. Für physische Smartcards beachten Sie bitte die Dokumentation Ihres Smartcard-Anbieters, wie die Zertifikate mit der Hardware registriert werden..

3. Konfigurationsschritte Melden Sie sich im ADSelfService Plus Webportal mit Administratoranmeldedaten an. Navigieren Sie zu Konfiguration > Multi-Faktor-Authentifizierung > Smart Card Authentication Im Feld Import CA Root Certificate klicken Sie auf
4. Durchsuchen und importieren Sie die erforderliche Stammzertifikatsdatei (X.509-Zertifikat), die Sie in.

Reverse Proxy

für ADSelfService Plus aktiviert ist.

1. Die Einstellung
1. Diesem Browser vertrauen wird für Anmeldungen an Unternehmensanwendungen oder das ADSelfService Plus-Portal nicht unterstützt, wenn Smartcard-Authentifizierung der einzige konfigurierte Authentifikator ist..
2. Deaktivieren des Windows-Smartcard-Anmeldeanbieters Wenn Geräteanmeldungen mit dem Smartcard-Authentifikator von ADSelfService Plus gesichert werden, ist anfänglich ein Passwort erforderlich, gefolgt von der Smartcard-Authentifizierung (MFA). Windows bietet jedoch auch eine native Smartcard-Authentifizierung, die es Benutzern erlaubt, sich an Geräten anzumelden, sobald sie eine Smartcard einstecken, ohne ein Passwort eingeben zu müssen. Um sicherzustellen, dass Geräte durch ein Passwort und ADSelfService Plus MFA gesichert sind, müssen Sie die native Smartcard-Anmeldung auf Geräten mit einer GPO deaktivieren, indem Sie die folgenden Schritte ausführen. Um den Smartcard-Anmeldeanbieter zu deaktivieren, muss eine Windows-Gruppenrichtlinieneinstellung entweder mit dem lokalen Gruppenrichtlinien-Editor (gpedit.msc) oder dem Gruppenrichtlinien-Verwaltungs-Editor (gpmc.msc) konfiguriert werden: Bearbeiten Sie eine bestehende Gruppenrichtlinie oder erstellen Sie eine neue Gruppenrichtlinie und navigieren Sie zu.
3. Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Anmeldung > Anmeldeanbieter ausschließen Klicken Sie mit der rechten Maustaste auf.

2. Konfigurationsschritte Anmeldeanbieter ausschließen und klicken Sie auf Bearbeiten Wählen Sie
als Ihre CA verwenden, laden Sie die Zertifikatdatei von Aktiviert

3. Durchsuchen Geben Sie im Feld Folgende Anmeldeanbieter ausschließen {8FD7E19C-3BF7-489B-A72C-846AB3678C96}.

ein, um die standardmäßige Windows-Smartcard-Authentifizierung für Geräteanmeldungen zu deaktivieren.

Es wird empfohlen, alle Windows-Anmeldeanbieter außer dem Passwort-Anmeldeanbieter zu deaktivieren, wenn Windows-Geräteanmeldungen über ADSelfService Plus gesichert werden.

• Anwenden
• und dann
• OK

Verwalten von Smartcard-Authentifizierungskonfigurationen

1. Tab. Für physische Smartcards beachten Sie bitte die Dokumentation Ihres Smartcard-Anbieters, wie die Zertifikate mit der Hardware registriert werden..
2. Nachdem Sie eine Smartcard für die Authentifizierung hinzugefügt haben, können Sie eine der folgenden Funktionen ausführen: Hinzufügen einer neuen Smartcard-Konfiguration Aktivieren oder Deaktivieren einer Smartcard
3. Löschen einer konfigurierten Smartcard und importieren Sie die erforderliche Stammzertifikatsdatei (X.509-Zertifikat), die Sie in.

Hinzufügen einer neuen Smartcard

1. Tab. Für physische Smartcards beachten Sie bitte die Dokumentation Ihres Smartcard-Anbieters, wie die Zertifikate mit der Hardware registriert werden..
2. Klicken Sie auf dieSchaltfläche Zertifizierungsstelle hinzufügenoben rechts.

OK

1. Tab. Für physische Smartcards beachten Sie bitte die Dokumentation Ihres Smartcard-Anbieters, wie die Zertifikate mit der Hardware registriert werden..
2. Geben Sie alle erforderlichen Angaben ein und klicken Sie aufAktivieren oder Deaktivieren einer konfigurierten Smartcard
3. Durchsuchen Um eine konfigurierte Smartcard zu aktivieren oder zu deaktivieren, klicken Sie auf das rote Symbol ( ) oder das grüne Häkchen-Symbol (