Konfigurace ověřování klienta pro bránu pro správu cloudu

Platí pro: Správce konfigurace (aktuální větev)

Dalším krokem v nastavení brány pro správu cloudu (CMG) je konfigurace ověřování klientů. Vzhledem k tomu, že se tito klienti potenciálně připojují ke službě z nedůvěryhodného veřejného internetu, mají vyšší požadavky na ověřování. Existují tři možnosti:

  • Azure Active Directory (Azure AD)
  • Certifikáty PKI
  • Správce konfigurace tokeny vydané webem

Tento článek popisuje, jak nakonfigurovat každou z těchto možností. Další základní informace najdete v tématu Plánování metod ověřování klientů CMG.

Azure AD

Pokud vaše internetová zařízení používají Windows 10 nebo novější, použijte moderní ověřování Azure AD s cmg. Tato metoda ověřování je jediná, která umožňuje scénáře zaměřené na uživatele.

Tato metoda ověřování vyžaduje následující konfigurace:

  • Zařízení musí být buď připojená k cloudové doméně, nebo hybridní připojení k Azure AD a uživatel taky potřebuje identitu Azure AD.

    Tip

    Pokud chcete zkontrolovat, jestli je zařízení připojené do cloudu, spusťte dsregcmd.exe /status ho na příkazovém řádku. Pokud je zařízení připojené k Azure AD nebo je připojené k hybridnímu připojení, zobrazí se v poli AzureAdjoined ve výsledcích ano. Další informace najdete v tématu příkaz dsregcmd – stav zařízení.

  • Jedním z primárních požadavků na používání ověřování Azure AD pro internetové klienty s cmg je integrace webu s Azure AD. Akci jste už dokončili v předchozím kroku.

  • V závislosti na vašem prostředí existuje několik dalších požadavků:

    • Povolení metod zjišťování uživatelů pro hybridní identity
    • Povolení ASP.NET 4.5 v bodě správy
    • Konfigurace nastavení klienta

Další informace o těchto předpokladech najdete v tématu Instalace klientů pomocí Azure AD.

Certifikát PKI

Tento postup použijte, pokud máte infrastrukturu veřejných klíčů (PKI), která může vydávat certifikáty ověřování klientů na zařízeních.

Tento certifikát může být povinný u spojovacího bodu CMG. Další informace najdete v tématu Spojovací bod CMG.

Vystavení certifikátu

Vytvořte a vydejte tento certifikát z vaší infrastruktury veřejných klíčů, která není v kontextu Správce konfigurace. Pomocí služby AD CS (Active Directory Certificate Services) a zásad skupiny můžete například automaticky vydávat certifikáty ověřování klientů na zařízeních připojených k doméně. Další informace najdete v tématu Příklad nasazení certifikátů PKI: Nasazení klientského certifikátu.

Ověřovací certifikát klienta CMG podporuje následující konfigurace:

  • 2048bitová nebo 4096bitová délka klíče

  • Tento certifikát podporuje poskytovatele úložiště klíčů pro privátní klíče certifikátů (v3). Další informace najdete v tématu Přehled certifikátů CNG v3.

Export důvěryhodného kořenového certifikátu klienta

Cmg musí důvěřovat certifikátům ověřování klientů, aby vytvořil kanál HTTPS s klienty. K dosažení tohoto vztahu důvěryhodnosti vyexportujte řetěz důvěryhodných kořenových certifikátů. Potom tyto certifikáty zadejte při vytváření cmg v Správce konfigurace konzole.

Ujistěte se, že exportujete všechny certifikáty v řetězci důvěryhodnosti. Pokud je například ověřovací certifikát klienta vystavený zprostředkující certifikační autoritou, vyexportujte zprostředkující i kořenové certifikáty ca.

Poznámka

Exportujte tento certifikát, pokud některý klient používá k ověřování certifikáty PKI. Pokud všichni klienti používají k ověřování Azure AD nebo tokeny, není tento certifikát povinný.

Po vydání ověřovacího certifikátu klienta do počítače použijte tento proces na tomto počítači k exportu důvěryhodného kořenového certifikátu.

  1. Otevřete nabídka Start. Pokud chcete otevřít okno Spustit, zadejte "spustit". Otevřete mmc aplikaci .

  2. V nabídce Soubor zvolte Přidat nebo odebrat modul snap-in....

  3. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte Certifikáty a pak vyberte Přidat.

    1. V dialogovém okně Modul snap-in Certifikáty vyberte Účet počítače a pak vyberte Další.

    2. V dialogovém okně Vybrat počítač vyberte Místní počítač a pak vyberte Dokončit.

    3. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte OK.

  4. Rozbalte certifikáty, rozbalte Osobní a vyberte Certifikáty.

  5. Vyberte certifikát, jehož zamýšleným účelem je ověřování klienta.

    1. V nabídce Akce vyberte Otevřít.

    2. Přejděte na kartu Cesta k certifikaci.

    3. Vyberte další certifikát v řetězci a vyberte Zobrazit certifikát.

  6. V tomto novém dialogovém okně Certifikát přejděte na kartu Podrobnosti. Vyberte Kopírovat do souboru....

  7. Dokončete Průvodce exportem certifikátu pomocí výchozího formátu certifikátu DER s binárním kódem X.509 (. CER). Poznamenejte si název a umístění exportovaného certifikátu.

  8. Exportujte všechny certifikáty v cestě certifikace původního ověřovacího certifikátu klienta. Poznamenejte si, které exportované certifikáty jsou zprostředkující certifikační autority a které z nich jsou důvěryhodné kořenové certifikační autority.

Spojovací bod CMG

Pro bezpečné přeposílání požadavků klientů vyžaduje spojovací bod CMG zabezpečené připojení k bodu správy. Pokud používáte ověřování klienta PKI a internetový bod správy je HTTPS, vydej na server systému webu certifikát ověřování klienta s rolí spojovacího bodu CMG.

Poznámka

Spojovací bod CMG nevyžaduje certifikát ověřování klienta v následujících situacích:

  • Klienti používají ověřování Azure AD.
  • Klienti používají Správce konfigurace ověřování založené na tokenech.
  • Web používá rozšířený protokol HTTP.

Další informace najdete v tématu Povolení bodu správy pro protokol HTTPS.

Token webu

Pokud nemůžete připojit zařízení k Azure AD nebo použít certifikáty ověřování klientů PKI, použijte Správce konfigurace ověřování založené na tokenech. Další informace nebo vytvoření tokenu hromadné registrace najdete v tématu Ověřování založené na tokenech pro bránu pro správu cloudu.

Povolení bodu správy pro protokol HTTPS

V závislosti na tom, jak web nakonfigurujete a jakou metodu ověřování klienta zvolíte, budete možná muset změnit konfiguraci bodů správy s podporou internetu. Existují dvě možnosti:

  • Nakonfigurujte web pro rozšířený protokol HTTP a nakonfigurujte bod správy pro protokol HTTP.
  • Konfigurace bodu správy pro https

Konfigurace webu pro rozšířený protokol HTTP

Pokud použijete možnost webu k použití Správce konfigurace certifikáty pro systémy webu HTTP, můžete nakonfigurovat bod správy pro http. Když povolíte rozšířený protokol HTTP, vygeneruje server webu certifikát podepsaný svým držitelem s názvem Certifikát SSL role serveru SMS. Tento certifikát je vystaven kořenovým certifikátem pro vydávání sms. Bod správy přidá tento certifikát na výchozí web služby IIS vázaný na port 443.

Díky této možnosti mohou interní klienti dál komunikovat s bodem správy pomocí protokolu HTTP. Internetové klienty používající Azure AD nebo ověřovací certifikát klienta díky tomuto bodu správy přes https bezpečně komunikují přes CMG.

Další informace najdete v článku Vylepšený protokol HTTP.

Konfigurace bodu správy pro https

Pokud chcete nakonfigurovat bod správy pro https, nejdřív ho vyděste certifikát webového serveru. Pak povolte roli pro HTTPS.

  1. Vytvořte a vydejte certifikát webového serveru od vaší infrastruktury veřejných klíčů nebo od jiného poskytovatele, který není v kontextu Správce konfigurace. Pomocí služby AD CS (Active Directory Certificate Services) a zásad skupiny můžete například vydat certifikát webového serveru na server systému webu s rolí bodu správy. Další informace najdete v následujících článcích:

  2. U vlastností role bodu správy nastavte připojení klientů na HTTPS.

    Tip

    Po nastavení cmg nakonfigurujete další nastavení pro tento bod správy.

Pokud vaše prostředí obsahuje více bodů správy, nemusíte je všechny povolit protokolem HTTPS pro CMG. Nakonfigurujte body správy s podporou cmg jenom jako internet. Pak se je vaši místní klienti nepokusí používat.

Souhrn režimu připojení klienta bodu správy

Tyto tabulky shrnují, jestli bod správy vyžaduje protokol HTTP nebo HTTPS v závislosti na typu klienta. Používají následující termíny:

  • Pracovní skupina: Zařízení není připojené k doméně nebo službě Azure AD, ale má certifikát ověřování klienta.
  • Připojení k doméně služby AD: Připojíte zařízení k místní doméně služby Active Directory.
  • Připojení k Azure AD: Zařízení se taky označuje jako cloudové připojení k doméně a připojíte se k tenantovi Azure AD. Další informace najdete v tématu Zařízení připojená k Azure AD.
  • Hybridní připojení: Připojíte zařízení k místní službě Active Directory a zaregistrujete ho ve službě Azure AD. Další informace najdete v tématu Hybridní zařízení připojená k Azure AD.
  • HTTP: U vlastností bodu správy nastavíte připojení klientů na HTTP.
  • HTTPS: U vlastností bodu správy nastavíte připojení klientů na https.
  • E-HTTP: Na kartě Zabezpečení komunikace na vlastnosti webu nastavíte nastavení systému webu na HTTPS nebo HTTP a povolíte možnost Používat certifikáty generované protokolem SPRÁVCE KONFIGURACE pro systémy webu HTTP. Nakonfigurujete bod správy pro http a bod správy HTTP je připravený pro komunikaci HTTP i HTTPS.

Důležité

Od verze Správce konfigurace 2103 jsou weby, které umožňují komunikaci klienta HTTP, zastaralé. Nakonfigurujte web pro https nebo rozšířený protokol HTTP. Další informace najdete v článku Povolení webu jenom pro https nebo vylepšený protokol HTTP.

Pro internetové klienty, kteří komunikují s cmg

Nakonfigurujte místní bod správy tak, aby povolte připojení z CMG s následujícím režimem připojení klienta:

Internetový klient Bod správy
Poznámka k pracovní skupině 1 E-HTTP, HTTPS
Ad domain-joined Note 1 E-HTTP, HTTPS
Připojení k Azure AD E-HTTP, HTTPS
Hybridní připojení E-HTTP, HTTPS

Poznámka

Poznámka 1: Tato konfigurace vyžaduje, aby klient měl ověřovací certifikát klienta apodporuje jenom scénáře zaměřené na zařízení.

Pro místní klienty, kteří komunikují s místním bodem správy

Nakonfigurujte místní bod správy s následujícím režimem připojení klienta:

Místní klient Bod správy
Workgroup HTTP, HTTPS
Ad domain-joined HTTP, HTTPS
Připojení k Azure AD HTTPS
Hybridní připojení HTTP, HTTPS

Poznámka

Místní klienti připojení k doméně služby AD podporují scénáře zaměřené na zařízení i uživatele, které komunikují s bodem správy HTTP nebo HTTPS.

Místní klienti připojení k Azure AD a hybridní připojení mohou komunikovat prostřednictvím protokolu HTTP pro scénáře zaměřené na zařízení, ale k povolení scénářů zaměřeného na uživatele potřebují E-HTTP nebo HTTPS. V opačném případě se chovají stejně jako klienti pracovní skupiny.

Další kroky

Teď můžete vytvořit cmg v Správce konfigurace: