circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Autenticação baseada em Certificado para Entra ID

A autenticação baseada em certificados oferece uma alternativa de segurança robusta para acessar recursos do Entra ID. Este artigo fornece um guia passo a passo de como configurar esse método, utilizando o SCEPman como Autoridade Certificadora para simplificar o gerenciamento de certificados.

hashtag
Habilitar CRL do SCEPman

Habilitando CRLchevron-right

O Entra ID exigirá uma CRL para validar os certificados. Certifique-se de definir as seguintes variáveis de ambiente no seu serviço de aplicativo para que a CRL fique disponível:

AppConfig:CRL:RequestTokenarrow-up-right

Defina isso como uma string personalizada que será usada na URL para permitir o download da CRL.

AppConfig:CRL:Sourcearrow-up-right

Esta é a origem a partir da qual o SCEPman constrói a CRL. Certifique-se de que isso esteja definido como Armazenamento

hashtag
Configurar Entra ID

1

hashtag
Criar PKI no Centro de Segurança do Entra

No Entra ID, navegue até Proteção > Centro de Segurança > Infraestrutura de Chave Públicaarrow-up-right, clique em Criar PKI e selecione um nome de exibição correspondente.

2

hashtag
Adicionar Autoridade Certificadora

Navegue até a PKI recém-criada e clique em Adicionar autoridade certificadora para fazer upload do certificado CA da sua instância do SCEPman. Este certificado pode ser obtido na sua página inicial no menu do lado direito (Obter Certificado CA).

Para a URL da lista de certificados revogados você pode inserir a URL no seguinte formato:

https://scepman.contoso.com/crl/pem/{YourCrlRequestToken}
circle-exclamation

Certifique-se de incluir o /pem/ caminho na sua URL, pois o Entra pode ter problemas de compatibilidade ao usar o formato DER padrão.

Isso agora deve deixá-lo com uma autoridade certificadora semelhante à seguinte:

3

hashtag
Habilitar CBA em Métodos de Autenticação

Com a CA no lugar, podemos prosseguir e habilitar a autenticação baseada em certificados em Proteção > Métodos de autenticação > Políticasarrow-up-right

Vá para o política de autenticação baseada em certificados habilite-a e permita que todos os usuários ou grupos específicos usem este método:

4

hashtag
Configurar Autenticação baseada em Certificados

Mude para a aba Configurar e percorra as opções:

Exigir validação de CRL: ✅

Esta é uma parte essencial da segurança que este método fornece, pois a CRL informará ao Entra ID quais certificados foram revogados e, portanto, não devem ser permitidos para autenticação.

Dicas do Emissor : ✅

Habilitar as dicas do emissor mostrará apenas certificados durante a autenticação que foram emitidos pela CA configurada.

Mantenha as configurações padrão para vinculação de autenticação e prossiga para criar uma regra para permitir a autoridade certificadora criada anteriormente:

Força de autenticação:

Isto define o peso da autenticação usando esta CA. Se você selecionar Autenticação de fator único, outro método de autenticação pode ser necessário dependendo do aplicativo a ser acessado.

Vinculação de afinidade:

A vinculação de afinidade define os detalhes exigidos no certificado, que precisam corresponder aos dados correlacionados no objeto do usuário, para que a autenticação seja permitida. Como o SCEPman atualmente não pode adicionar qualquer informação de certificado no objeto do usuário, recomendamos definir isto como Baixo a menos que você configure as informações necessárias manualmente.

circle-exclamation

As configurações de força de autenticação e vinculação de afinidade dependem muito do caso de uso específico e do tipo de contas que você deseja proteger com este método de autenticação. Caso queira proteger usuários altamente privilegiados, você deve considerar adicionar manualmente as informações do certificado nas contas de usuário para uma alta afinidade.

hashtag
Uso

Com a configuração em vigor, um usuário pode selecionar Usar um certificado ou cartão inteligente:

O que por sua vez solicitará o certificado a ser usado para autenticação.

hashtag
Adicionando manualmente mapeamento de certificado para vinculação de alta afinidade

Caso deseje habilitar CBA apenas usando vinculação de alta afinidade, você pode inserir manualmente os detalhes dos certificados nas informações autorizadas do usuário.

Navegue até as propriedades dos usuários no Entra ID, edite-as e agora edite os IDs de usuário de certificado:

O formato exigido desses IDs depende dos campos que foram configurados na vinculação de usuário dos métodos de autenticação. Uma lista de formatos pode ser encontrada no correspondente documentação da Microsoftarrow-up-right.

Exemplo para o SHA1PublicKey vinculação:

Isto usa a impressão digital (thumbprint) do certificado para mapear fortemente a identidade do usuário.

Last updated

Was this helpful?