circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Autenticação baseada em certificados para o Entra ID

A autenticação baseada em certificados oferece uma alternativa de segurança robusta para aceder aos recursos do Entra ID. Este artigo fornece um passo a passo de como configurar este método, utilizando o SCEPman como Autoridade Certificadora para simplificar a gestão de certificados.

hashtag
Ativar CRL do SCEPman

Ativando a CRLchevron-right

O Entra ID irá necessitar de uma CRL para validar os certificados. Certifique-se de que define as seguintes variáveis de ambiente no seu app service para que a CRL esteja disponível:

AppConfig:CRL:RequestTokenarrow-up-right

Defina isto para uma string personalizada que será usada no URL para permitir que a CRL seja transferida.

AppConfig:CRL:Sourcearrow-up-right

Esta é a origem a partir da qual o SCEPman gera a CRL. Certifique-se de que isto está definido para Storage

hashtag
Configurar o Entra ID

1

hashtag
Criar PKI no Entra Security Center

No Entra ID, navegue até Proteção > Security Center > Infraestrutura de Chave Públicaarrow-up-right, clique em Criar PKI e selecione um nome de apresentação correspondente.

2

hashtag
Adicionar Autoridade Certificadora

Navegue até à PKI recém-criada e clique em Adicionar autoridade certificadora para carregar o certificado da CA da sua instância do SCEPman. Este certificado pode ser obtido na página inicial, no menu do lado direito (Obter certificado da CA).

Para o URL da lista de revogação de certificados, pode introduzir o URL no seguinte formato:

https://scepman.contoso.com/crl/pem/{YourCrlRequestToken}
circle-exclamation

Certifique-se de incluir o caminho /pem/ no seu URL, uma vez que o Entra pode ter problemas de compatibilidade ao usar o formato DER predefinido.

Isto deverá agora deixá-lo com uma autoridade certificadora semelhante à seguinte:

3

hashtag
Ativar CBA nos métodos de autenticação

Com a CA em vigor, podemos prosseguir e ativar a autenticação baseada em certificados em Proteção > Métodos de autenticação > Políticasarrow-up-right

Vá para a Autenticação baseada em certificados política, ative-a e permita que todos os utilizadores ou grupos específicos usem este método:

4

hashtag
Configurar autenticação baseada em certificados

Mude para o separador Configurar e percorra as opções:

Exigir validação da CRL: ✅

Esta é uma parte essencial da segurança que este método oferece, uma vez que a CRL indicará ao Entra ID quais certificados foram revogados e, por isso, não devem ser permitidos para autenticação.

Dicas do emissor : ✅

Ativar as dicas do emissor mostrará apenas, durante a autenticação, certificados emitidos pela CA configurada.

Deixe as definições predefinidas para a vinculação de autenticação e prossiga para criar uma regra que permita a autoridade certificadora criada anteriormente:

Força de autenticação:

Isto define o peso da autenticação usando esta CA. Se selecionar Autenticação de fator único, poderá ser necessário outro método de autenticação dependendo da aplicação a que se pretende aceder.

Vinculação de afinidade:

A vinculação de afinidade define os detalhes necessários no certificado, que têm de corresponder aos dados correlacionados no objeto do utilizador, para que a autenticação seja permitida. Como o SCEPman atualmente não pode adicionar qualquer informação de certificado no objeto do utilizador, recomendamos defini-la para Low a menos que configure a informação necessária manualmente.

circle-exclamation

As definições de força de autenticação e vinculação de afinidade dependem muito do caso de utilização específico e do tipo de contas que pretende proteger com este método de autenticação. Caso pretenda proteger utilizadores com privilégios elevados, deve considerar adicionar manualmente as informações do certificado nas respetivas contas de utilizador para uma elevada afinidade.

hashtag
Utilização

Com a configuração em vigor, um utilizador pode selecionar Usar um certificado ou cartão inteligente:

O que, por sua vez, pedirá o certificado a ser utilizado para autenticação.

hashtag
Adicionar manualmente o mapeamento de certificados para vinculação de alta afinidade

Caso pretenda ativar CBA apenas usando vinculação de alta afinidade, pode introduzir manualmente os detalhes dos certificados nas informações autorizadas do utilizador.

Navegue até às propriedades dos utilizadores no Entra ID, edite-as e agora edite o IDs de utilizador do certificado:

O formato necessário destes IDs depende dos campos que foram configurados na vinculação de utilizador dos métodos de autenticação. Pode encontrar uma lista de formatos no correspondente documentação da Microsoftarrow-up-right.

Exemplo para a SHA1PublicKey vinculação:

Isto utiliza a impressão digital do certificado para mapear de forma robusta a identidade do utilizador.

Last updated

Was this helpful?