Menu Close

第 3 章 用于在智能卡中配置身份验证的证书映射规则

证书映射规则是允许用户在 Identity Management(IdM)管理员无法访问某些用户证书时使用证书进行身份验证的方法。不足的访问权限通常是由证书由外部证书颁发机构发布的事实造成的。一个特殊的用例由 IdM 域在信任关系中的 Active Directory(AD)的证书系统发布。

如果 IdM 环境较大且有大量使用智能卡的用户,使用证书映射规则就会比较方便。在这种情况下,添加完整证书可能会比较复杂。在大多数场景中,主题和发行者都是可预测的,因此提前添加的时间比完整证书更容易。作为系统管理员,您可以创建证书映射规则,并在向特定用户签发证书前向用户条目添加证书映射数据。签发证书后,用户就可以使用证书登录,即使证书还没有上传到用户条目。

另外,因为必须定期续订证书,证书映射规则减少了管理开销。用户的证书续订时,管理员必须更新用户条目。例如,如果映射基于 SubjectIssuer 的值,如果新的证书具有与旧证书相同的主题和签发者,则映射仍适用。如果使用完整证书,则管理员必须将新证书上传到用户条目以替换旧证书。

设置证书映射:

  1. 管理员必须将证书映射数据(通常是签发者和主体)或完整证书加载到用户帐户中。
  2. 管理员必须创建证书映射规则,允许用户成功登录到 IdM

    1. 其帐户包含证书映射数据条目
    2. 哪个证书映射数据条目与证书的信息匹配

    有关构成映射规则的单独组件,以及如何获取和使用它们的详细信息,请参阅 IdM 中的身份映射规则组件,以及获取证书中的签发者,以便在匹配规则中使用

之后,当最终用户提供存储在 文件系统智能卡 上的证书时,身份验证成功。

3.1. 使用 Active Directory 域信任的证书映射规则

本节概述了在与 Active Directory(AD)域的信任关系时可能出现的不同证书映射用例。

证书映射规则是为具有可信 AD 证书系统发布的智能卡证书的用户启用 IdM 资源的便捷方法。根据 AD 配置,可能会出现以下情况: