circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Zertifikatbasierte Authentifizierung für Entra ID

Zertifikatbasierte Authentifizierung bietet eine starke Sicherheitsalternative zum Zugriff auf Entra ID-Ressourcen. Dieser Artikel bietet eine Schritt-für-Schritt-Anleitung zur Konfiguration dieser Methode und verwendet SCEPman als Zertifizierungsstelle, um das Zertifikatsmanagement zu vereinfachen.

hashtag
SCEPman-CRL aktivieren

CRL aktivierenchevron-right

Entra ID benötigt eine CRL, um die Zertifikate zu validieren. Stellen Sie sicher, dass Sie die folgenden Umgebungsvariablen in Ihrem App Service setzen, damit die CRL verfügbar ist:

AppConfig:CRL:RequestTokenarrow-up-right

Legen Sie dies auf einen benutzerdefinierten String fest, der in der URL verwendet wird, damit die CRL heruntergeladen werden kann.

AppConfig:CRL:Sourcearrow-up-right

Dies ist die Quelle, aus der SCEPman die CRL erstellt. Stellen Sie sicher, dass dies auf Speicher

hashtag
Entra ID einrichten

1

hashtag
PKI im Entra Security Center erstellen

Navigieren Sie in Entra ID zu Schutz > Security Center > Public Key Infrastructurearrow-up-right, klicken Sie auf PKI erstellen und wählen Sie einen passenden Anzeigenamen aus.

2

hashtag
Zertifizierungsstelle hinzufügen

Navigieren Sie zur neu erstellten PKI und klicken Sie auf Zertifizierungsstelle hinzufügen um das CA-Zertifikat Ihrer SCEPman-Instanz hochzuladen. Dieses Zertifikat kann von der Startseite im Menü auf der rechten Seite bezogen werden (CA-Zertifikat erhalten).

Für die URL der Zertifikatsperrliste können Sie die URL im folgenden Format eingeben:

https://scepman.contoso.com/crl/pem/{YourCrlRequestToken}
circle-exclamation

Stellen Sie sicher, dass Sie den /pem/ Pfad in Ihrer URL einschließen, da Entra bei Verwendung des standardmäßigen DER-Formats Kompatibilitätsprobleme haben kann.

Dies sollte Ihnen nun eine Zertifizierungsstelle ähnlich der folgenden hinterlassen:

3

hashtag
CBA in Authentifizierungsmethoden aktivieren

Mit der vorhandenen CA können wir fortfahren und zertifikatbasierte Authentifizierung in Schutz > Authentifizierungsmethoden > Richtlinienarrow-up-right

Gehen Sie zur zertifikatbasierten Authentifizierung Richtlinie, aktivieren Sie sie und erlauben Sie entweder allen Benutzern oder bestimmten Gruppen, diese Methode zu verwenden:

4

hashtag
Zertifikatbasierte Authentifizierung konfigurieren

Wechseln Sie zum Konfigurieren Tab und gehen Sie die Optionen durch:

CRL-Validierung erforderlich: ✅

Dies ist ein wesentlicher Bestandteil der Sicherheit, die diese Methode bietet, da die CRL Entra ID mitteilt, welche Zertifikate widerrufen wurden und daher nicht für die Authentifizierung zugelassen werden sollen.

Aussteller-Hinweise : ✅

Durch Aktivieren der Aussteller-Hinweise werden während der Authentifizierung nur Zertifikate angezeigt, die von der konfigurierten CA ausgestellt wurden.

Lassen Sie die Standardeinstellungen für die Authentifizierungsbindung und erstellen Sie eine Regel, um die zuvor erstellte Zertifizierungsstelle zuzulassen:

Authentifizierungsstärke:

Dies definiert das Gewicht der Authentifizierung mit dieser CA. Wenn Sie Einzelfaktor-Authentifizierungauswählen, kann je nach der Anwendung, auf die zugegriffen wird, eine weitere Authentifizierungsmethode erforderlich sein.

Affinity-Bindung:

Die Affinity-Bindung definiert die erforderlichen Details im Zertifikat, die mit korrelierenden Daten im Benutzerobjekt übereinstimmen müssen, damit die Authentifizierung erlaubt wird. Da SCEPman derzeit keine Zertifikatsinformationen im Benutzerobjekt hinzufügen kann, empfehlen wir, dies auf Niedrig zu setzen, sofern Sie die erforderlichen Informationen nicht manuell konfigurieren.

circle-exclamation

Die Einstellungen für Authentifizierungsstärke und Affinity-Bindung hängen stark vom konkreten Anwendungsfall und der Art der Konten ab, die Sie mit dieser Authentifizierungsmethode schützen möchten. Wenn Sie hoch privilegierte Benutzer sichern möchten, sollten Sie überlegen, die Zertifikatsinformationen manuell in deren Benutzerkonten hinzuzufügen, um eine hohe Affinität zu erreichen.

hashtag
Verwendung

Mit der vorhandenen Konfiguration kann ein Benutzer auswählen Ein Zertifikat oder eine Smartcard verwenden:

was wiederum nach dem für die Authentifizierung zu verwendenden Zertifikat fragt.

hashtag
Manuelles Hinzufügen von Zertifikatszuordnungen für hohe Affinity-Bindung

Falls Sie CBA nur mit hoher Affinity-Bindung aktivieren möchten, können Sie die Zertifikatsdetails manuell in die autorisierten Informationen des Benutzers eingeben.

Navigieren Sie zu den Eigenschaften des Benutzers in Entra ID, bearbeiten Sie diese und bearbeiten Sie nun die Zertifikat-Benutzer-IDs:

Das erforderliche Format dieser IDs hängt von den Feldern ab, die in der Benutzerbindung der Authentifizierungsmethoden konfiguriert wurden. Eine Liste der Formate finden Sie in der entsprechenden Microsoft-Dokumentationarrow-up-right.

Beispiel für die SHA1PublicKey Bindung:

Dies verwendet den Zertifikat-Fingerabdruck, um die Identität des Benutzers eindeutig zuzuordnen.

Zuletzt aktualisiert

War das hilfreich?