# Zertifikatsbasierte Authentifizierung für Entra ID
Die zertifikatbasierte Authentifizierung bietet eine starke Sicherheitsalternative für den Zugriff auf Entra ID-Ressourcen. Dieser Artikel bietet eine Schritt-für-Schritt-Anleitung zur Konfiguration dieser Methode unter Verwendung von SCEPman als Zertifizierungsstelle, um die Zertifikatsverwaltung zu vereinfachen.
## SCEPman-CRL aktivieren
{% content-ref url="../../../zertifikatsverwaltung/manage-certificates/enabling-crl" %}
[enabling-crl](https://docs.scepman.com/de/zertifikatsverwaltung/manage-certificates/enabling-crl)
{% endcontent-ref %}
Entra ID benötigt eine CRL, um die Zertifikate zu validieren. Stellen Sie sicher, dass die folgenden Umgebungsvariablen in Ihrem App Service gesetzt sind, damit die CRL verfügbar ist:
[AppConfig:CRL:RequestToken](https://docs.scepman.com/scepman-configuration/application-settings/crl#appconfig-crl-requesttoken)
Setzen Sie dies auf einen benutzerdefinierten String, der in der URL verwendet wird, um den Download der CRL zu ermöglichen.
[AppConfig:CRL:Source](https://docs.scepman.com/scepman-configuration/application-settings/crl#appconfig-crl-source)
Dies ist die Quelle, aus der SCEPman die CRL erstellt. Stellen Sie sicher, dass dies auf `Storage`
## Einrichtung von Entra ID
{% stepper %}
{% step %}
### PKI im Entra Security Center erstellen
Navigieren Sie in Entra ID zu **Schutz** > **Security Center** > [**Public Key Infrastructure**](https://entra.microsoft.com/#view/Microsoft_AAD_IAM/SecurityMenuBlade/~/PublicKeyInfrastructure/menuId/SecurityCenter/fromNav/)**,** klicken Sie auf *Create PKI* und wählen Sie einen passenden Anzeigenamen aus.
{% endstep %}
{% step %}
### Zertifizierungsstelle hinzufügen
Navigieren Sie zur neu erstellten PKI und klicken Sie auf *Zertifizierungsstelle hinzufügen* um das CA-Zertifikat Ihrer SCEPman-Instanz hochzuladen. Dieses Zertifikat kann über die Startseite im Menü auf der rechten Seite abgerufen werden (*Get CA Certificate*).
Für die URL der Zertifikatswiderrufsliste können Sie die URL in folgendem Format eingeben:
```
https://scepman.contoso.com/crl/pem/{YourCrlRequestToken}
```
{% hint style="warning" %}
Stellen Sie sicher, dass Sie den `/pem/` Pfad in Ihrer URL angeben, da Entra möglicherweise Kompatibilitätsprobleme bei der Verwendung des standardmäßigen DER-Formats hat.
{% endhint %}
Damit sollten Sie nun eine Zertifizierungsstelle haben, die in etwa der folgenden entspricht:
{% endstep %}
{% step %}
### CBA in Authentifizierungsmethoden aktivieren
Mit der vorhandenen CA können wir nun die zertifikatbasierte Authentifizierung in **Schutz** > **Authentifizierungsmethoden** > [**Richtlinien**](https://entra.microsoft.com/#view/Microsoft_AAD_IAM/AuthenticationMethodsMenuBlade/~/AdminAuthMethods/fromNav/)
Gehen Sie zu der *Zertifikatbasierte Authentifizierung* Richtlinie, aktivieren Sie sie und erlauben Sie entweder allen Benutzern oder bestimmten Gruppen, diese Methode zu verwenden:
{% endstep %}
{% step %}
### Zertifikatbasierte Authentifizierung konfigurieren
Wechseln Sie zur Registerkarte *Konfigurieren* und gehen Sie die Optionen durch:
**CRL-Validierung erforderlich**: ✅
Dies ist ein wesentlicher Bestandteil der Sicherheit, die diese Methode bietet, da die CRL Entra ID mitteilt, welche Zertifikate widerrufen wurden und daher nicht für die Authentifizierung zugelassen werden dürfen.
**Issuer Hints** : ✅
Wenn die Ausstellerhinweise aktiviert sind, werden während der Authentifizierung nur Zertifikate angezeigt, die von der konfigurierten CA ausgestellt wurden.
Belassen Sie die Standardeinstellungen für die Authentifizierungsbindung und erstellen Sie dann eine Regel, um die zuvor erstellte Zertifizierungsstelle zuzulassen:
**Authentifizierungsstärke**:
Dies definiert das Gewicht der Authentifizierung mit dieser CA. Wenn Sie *Ein-Faktor-Authentifizierung*auswählen, kann je nach der aufzurufenden Anwendung eine weitere Authentifizierungsmethode erforderlich sein.
**Affinitätsbindung**:
Die Affinitätsbindung definiert die erforderlichen Details im Zertifikat, die mit den korrelierenden Daten im Benutzerobjekt übereinstimmen müssen, damit die Authentifizierung zugelassen wird. Da SCEPman derzeit keine Zertifikatsinformationen im Benutzerobjekt hinzufügen kann, empfehlen wir, dies auf **Low** zu setzen, sofern Sie die erforderlichen Informationen nicht manuell konfigurieren.
{% hint style="warning" %}
Die Einstellungen für Authentifizierungsstärke und Affinitätsbindung hängen stark vom jeweiligen Anwendungsfall und der Art der Konten ab, die Sie mit dieser Authentifizierungsmethode schützen möchten. Falls Sie besonders privilegierte Benutzer absichern möchten, sollten Sie in Erwägung ziehen, die Zertifikatsinformationen manuell in ihren Benutzerkonten zu hinterlegen, um eine hohe Affinität zu erreichen.
{% endhint %}
{% endstep %}
{% endstepper %}
## Verwendung
Wenn die Konfiguration abgeschlossen ist, kann ein Benutzer *Ein Zertifikat oder Smartcard verwenden*:
auswählen, woraufhin nach dem für die Authentifizierung zu verwendenden Zertifikat gefragt wird.
## Zertifikatzuordnung manuell für hohe Affinitätsbindung hinzufügen
Falls Sie CBA nur mit hoher Affinitätsbindung aktivieren möchten, können Sie die Zertifikatsdetails manuell in den autorisierten Informationen des Benutzers eingeben.
Navigieren Sie zu den Eigenschaften der Benutzer in Entra ID, bearbeiten Sie sie und bearbeiten Sie nun die **Zertifikat-Benutzer-IDs**:
Das erforderliche Format dieser IDs hängt von den Feldern ab, die in der Benutzerbindung der Authentifizierungsmethoden konfiguriert wurden. Eine Liste der Formate finden Sie in der entsprechenden [Microsoft-Dokumentation](https://learn.microsoft.com/en-us/entra/identity/authentication/concept-certificate-based-authentication-certificateuserids#supported-patterns-for-certificate-user-ids).
Beispiel für die *SHA1PublicKey* Bindung:
```
X509:9600e49d740011187e5c734bab4a3d5d18d2a87a
```
Dabei wird der Fingerabdruck des Zertifikats verwendet, um die Identität des Benutzers eindeutig zuzuordnen.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/de/scepman-bereitstellung/deployment-guides/scenarios/certificate-based-authentication-for-entra-id.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
