# Autenticação Baseada em Certificado para Entra ID
A autenticação baseada em certificados oferece uma alternativa de segurança robusta para aceder aos recursos do Entra ID. Este artigo fornece um passo a passo de como configurar este método, utilizando o SCEPman como Autoridade Certificadora para simplificar a gestão de certificados.
## Ativar CRL do SCEPman
{% content-ref url="../../../gerenciamento-de-certificados/manage-certificates/enabling-crl" %}
[enabling-crl](https://docs.scepman.com/pt/gerenciamento-de-certificados/manage-certificates/enabling-crl)
{% endcontent-ref %}
O Entra ID irá necessitar de uma CRL para validar os certificados. Certifique-se de que define as seguintes variáveis de ambiente no seu app service para que a CRL esteja disponível:
[AppConfig:CRL:RequestToken](https://docs.scepman.com/scepman-configuration/application-settings/crl#appconfig-crl-requesttoken)
Defina isto para uma string personalizada que será usada no URL para permitir que a CRL seja transferida.
[AppConfig:CRL:Source](https://docs.scepman.com/scepman-configuration/application-settings/crl#appconfig-crl-source)
Esta é a origem a partir da qual o SCEPman gera a CRL. Certifique-se de que isto está definido para `Storage`
## Configurar o Entra ID
{% stepper %}
{% step %}
### Criar PKI no Entra Security Center
No Entra ID, navegue até **Proteção** > **Security Center** > [**Infraestrutura de Chave Pública**](https://entra.microsoft.com/#view/Microsoft_AAD_IAM/SecurityMenuBlade/~/PublicKeyInfrastructure/menuId/SecurityCenter/fromNav/)**,** clique em *Criar PKI* e selecione um nome de apresentação correspondente.
{% endstep %}
{% step %}
### Adicionar Autoridade Certificadora
Navegue até à PKI recém-criada e clique em *Adicionar autoridade certificadora* para carregar o certificado da CA da sua instância do SCEPman. Este certificado pode ser obtido na página inicial, no menu do lado direito (*Obter certificado da CA*).
Para o URL da lista de revogação de certificados, pode introduzir o URL no seguinte formato:
```
https://scepman.contoso.com/crl/pem/{YourCrlRequestToken}
```
{% hint style="warning" %}
Certifique-se de incluir o caminho `/pem/` no seu URL, uma vez que o Entra pode ter problemas de compatibilidade ao usar o formato DER predefinido.
{% endhint %}
Isto deverá agora deixá-lo com uma autoridade certificadora semelhante à seguinte:
{% endstep %}
{% step %}
### Ativar CBA nos métodos de autenticação
Com a CA em vigor, podemos prosseguir e ativar a autenticação baseada em certificados em **Proteção** > **Métodos de autenticação** > [**Políticas**](https://entra.microsoft.com/#view/Microsoft_AAD_IAM/AuthenticationMethodsMenuBlade/~/AdminAuthMethods/fromNav/)
Vá para a *Autenticação baseada em certificados* política, ative-a e permita que todos os utilizadores ou grupos específicos usem este método:
{% endstep %}
{% step %}
### Configurar autenticação baseada em certificados
Mude para o separador *Configurar* e percorra as opções:
**Exigir validação da CRL**: ✅
Esta é uma parte essencial da segurança que este método oferece, uma vez que a CRL indicará ao Entra ID quais certificados foram revogados e, por isso, não devem ser permitidos para autenticação.
**Dicas do emissor** : ✅
Ativar as dicas do emissor mostrará apenas, durante a autenticação, certificados emitidos pela CA configurada.
Deixe as definições predefinidas para a vinculação de autenticação e prossiga para criar uma regra que permita a autoridade certificadora criada anteriormente:
**Força de autenticação**:
Isto define o peso da autenticação usando esta CA. Se selecionar *Autenticação de fator único*, poderá ser necessário outro método de autenticação dependendo da aplicação a que se pretende aceder.
**Vinculação de afinidade**:
A vinculação de afinidade define os detalhes necessários no certificado, que têm de corresponder aos dados correlacionados no objeto do utilizador, para que a autenticação seja permitida. Como o SCEPman atualmente não pode adicionar qualquer informação de certificado no objeto do utilizador, recomendamos defini-la para **Low** a menos que configure a informação necessária manualmente.
{% hint style="warning" %}
As definições de força de autenticação e vinculação de afinidade dependem muito do caso de utilização específico e do tipo de contas que pretende proteger com este método de autenticação. Caso pretenda proteger utilizadores com privilégios elevados, deve considerar adicionar manualmente as informações do certificado nas respetivas contas de utilizador para uma elevada afinidade.
{% endhint %}
{% endstep %}
{% endstepper %}
## Utilização
Com a configuração em vigor, um utilizador pode selecionar *Usar um certificado ou cartão inteligente*:
O que, por sua vez, pedirá o certificado a ser utilizado para autenticação.
## Adicionar manualmente o mapeamento de certificados para vinculação de alta afinidade
Caso pretenda ativar CBA apenas usando vinculação de alta afinidade, pode introduzir manualmente os detalhes dos certificados nas informações autorizadas do utilizador.
Navegue até às propriedades dos utilizadores no Entra ID, edite-as e agora edite o **IDs de utilizador do certificado**:
O formato necessário destes IDs depende dos campos que foram configurados na vinculação de utilizador dos métodos de autenticação. Pode encontrar uma lista de formatos no correspondente [documentação da Microsoft](https://learn.microsoft.com/en-us/entra/identity/authentication/concept-certificate-based-authentication-certificateuserids#supported-patterns-for-certificate-user-ids).
Exemplo para a *SHA1PublicKey* vinculação:
```
X509:9600e49d740011187e5c734bab4a3d5d18d2a87a
```
Isto utiliza a impressão digital do certificado para mapear de forma robusta a identidade do utilizador.
