Bagikan melalui

Mengonfigurasi dukungan Layanan Federasi Direktori Aktif untuk autentikasi sertifikat pengguna

  • Artikel

Artikel ini menjelaskan cara mengaktifkan autentikasi sertifikat pengguna di Layanan Federasi Direktori Aktif (AD FS). Ini juga menyediakan informasi pemecahan masalah untuk masalah umum dengan jenis autentikasi ini.

Ada dua kasus penggunaan utama untuk autentikasi sertifikat pengguna:

  • Pengguna menggunakan kartu pintar untuk masuk terhadap sistem Layanan Federasi Direktori Aktif mereka.
  • Pengguna menggunakan sertifikat yang disediakan untuk perangkat seluler.

Prasyarat

  • Tentukan mode autentikasi sertifikat pengguna Layanan Federasi Direktori Aktif yang ingin Anda aktifkan dengan menggunakan salah satu mode yang dijelaskan dalam dukungan Layanan Federasi Direktori Aktif untuk pengikatan nama host alternatif untuk autentikasi sertifikat.
  • Pastikan rantai kepercayaan sertifikat pengguna Anda diinstal dan dipercaya oleh semua server AD FS dan Web Proksi Aplikasi (WAP), termasuk otoritas sertifikat perantara apa pun. Anda biasanya melakukan ini melalui Objek Kebijakan Grup (GPO) di server LAYANAN Federasi Direktori Aktif dan WAP.
  • Pastikan bahwa sertifikat akar rantai kepercayaan untuk sertifikat pengguna Anda berada di penyimpanan NTAuth di Direktori Aktif.
  • Jika Anda menggunakan Layanan Federasi Direktori Aktif dalam mode autentikasi sertifikat alternatif, pastikan bahwa server AD FS dan WAP Anda memiliki sertifikat Secure Sockets Layer (SSL) yang berisi nama host AD FS yang diawali dengan "certauth." Contohnya adalah certauth.fs.contoso.com. Pastikan juga bahwa lalu lintas ke nama host ini diizinkan melalui firewall.
  • Jika Anda menggunakan autentikasi sertifikat dari ekstranet, pastikan bahwa setidaknya satu Akses Informasi Otoritas (AIA) dan setidaknya satu lokasi titik distribusi CRL (CDP) atau Protokol Status Sertifikat Online (OCSP) dari daftar yang ditentukan dalam sertifikat Anda dapat diakses dari internet.
  • Jika Anda mengonfigurasi Ad FS untuk autentikasi sertifikat Microsoft Entra, pastikan Anda telah mengonfigurasi pengaturan Microsoft Entra dan aturan klaim AD FS yang diperlukan untuk penerbit sertifikat dan nomor seri.
  • Jika Anda menggunakan autentikasi sertifikat Microsoft Entra untuk klien Exchange ActiveSync, sertifikat klien harus memiliki alamat email yang dapat dirutekan pengguna di Exchange Online baik dalam nilai Nama Prinsipal atau nilai Nama RFC822 dari bidang Nama Alternatif Subjek. MICROSOFT Entra ID memetakan nilai RFC822 ke atribut alamat proksi di direktori.

Catatan

Layanan Federasi Direktori Aktif tidak mendukung petunjuk nama pengguna dengan kartu pintar atau autentikasi berbasis sertifikat.

Mengaktifkan autentikasi sertifikat pengguna

Aktifkan autentikasi sertifikat pengguna sebagai metode autentikasi intranet atau ekstranet di Layanan Federasi Direktori Aktif, dengan menggunakan konsol Manajemen Layanan Federasi Direktori Aktif atau cmdlet Set-AdfsGlobalAuthenticationPolicyPowerShell .

Pertimbangan opsional meliputi:

  • Jika Anda ingin menggunakan klaim berdasarkan bidang sertifikat dan ekstensi selain jenis klaim EKU, https://schemas.microsoft.com/2012/12/certificatecontext/extension/eku, konfigurasikan lebih banyak aturan passthrough klaim pada kepercayaan penyedia klaim Direktori Aktif. Lihat daftar lengkap klaim sertifikat yang tersedia nanti di artikel ini.

  • Jika Anda perlu membatasi akses berdasarkan jenis sertifikat, Anda dapat menggunakan properti tambahan pada sertifikat dalam aturan otorisasi penerbitan Layanan Federasi Direktori Aktif untuk aplikasi. Skenario umum adalah hanya mengizinkan sertifikat yang disediakan oleh penyedia manajemen perangkat seluler (MDM) atau hanya mengizinkan sertifikat kartu pintar.

    Penting

    Pelanggan yang menggunakan alur kode perangkat untuk autentikasi dan melakukan autentikasi perangkat dengan menggunakan IdP selain ID Microsoft Entra (misalnya, LAYANAN Federasi Direktori Aktif) tidak dapat menerapkan akses berbasis perangkat untuk sumber daya Microsoft Entra. Misalnya, mereka tidak dapat mengizinkan hanya perangkat terkelola dengan menggunakan layanan MDM pihak ketiga.

    Untuk membantu melindungi akses ke sumber daya perusahaan di ID Microsoft Entra dan mencegah kebocoran data apa pun, konfigurasikan Akses Bersyarah berbasis perangkat Microsoft Entra. Misalnya, gunakan Wajibkan perangkat ditandai keluhan untuk memberikan kontrol di Akses Bersyarat Microsoft Entra.

    Konfigurasikan otoritas sertifikat penerbitan yang diizinkan untuk sertifikat klien dengan menggunakan panduan di bawah "Manajemen penerbit tepercaya untuk autentikasi klien" dalam gambaran umum teknis Schannel SSP.

  • Pertimbangkan untuk memodifikasi halaman masuk agar sesuai dengan kebutuhan pengguna Anda saat mereka melakukan autentikasi sertifikat. Kasus umumnya adalah mengubah Masuk dengan sertifikat X509 Anda menjadi sesuatu yang lebih ramah pengguna.

Mengonfigurasi autentikasi sertifikat yang mulus untuk browser Chrome di desktop Windows

Ketika komputer memiliki beberapa sertifikat pengguna (seperti sertifikat Wi-Fi) yang memenuhi tujuan autentikasi klien, browser Chrome di desktop Windows akan meminta pengguna untuk memilih sertifikat yang tepat. Perintah ini mungkin membingungkan bagi pengguna. Untuk mengoptimalkan pengalaman ini, Anda dapat mengatur kebijakan bagi Chrome untuk memilih sertifikat yang tepat secara otomatis.

Anda dapat mengatur kebijakan ini secara manual dengan membuat perubahan registri, atau Anda dapat mengonfigurasinya secara otomatis melalui GPO (untuk mengatur kunci registri). Ini mengharuskan sertifikat klien pengguna Anda untuk autentikasi terhadap Layanan Federasi Direktori Aktif memiliki penerbit yang berbeda dari kasus penggunaan lainnya.

Untuk informasi selengkapnya tentang mengonfigurasi autentikasi sertifikat untuk Chrome, lihat Daftar kebijakan Chrome Enterprise.

Memecahkan masalah autentikasi sertifikat

Gunakan informasi berikut untuk memecahkan masalah umum saat Anda telah mengonfigurasi LAYANAN Federasi Direktori Aktif untuk autentikasi sertifikat untuk pengguna.

Periksa apakah penerbit tepercaya sertifikat dikonfigurasi dengan benar di semua server LAYANAN Federasi Direktori Aktif dan WAP

Jika penerbit tepercaya sertifikat tidak dikonfigurasi dengan benar, gejala umum adalah kesalahan HTTP 204: "Tidak ada konten dari https://certauth.adfs.contoso.com."

Layanan Federasi Direktori Aktif menggunakan sistem operasi Windows yang mendasar untuk membuktikan kepemilikan sertifikat pengguna dan memastikan bahwa itu cocok dengan penerbit tepercaya dengan memvalidasi rantai kepercayaan sertifikat. Untuk mencocokkan penerbit tepercaya, Anda perlu memastikan bahwa semua otoritas akar dan menengah dikonfigurasi sebagai penerbit tepercaya di penyimpanan lokal untuk otoritas sertifikat komputer.

Untuk memvalidasi ini secara otomatis, gunakan alat Ad FS Diagnostics Analyzer. Alat ini meminta semua server dan memastikan bahwa sertifikat yang tepat disediakan dengan benar.

  1. Unduh dan jalankan alat.
  2. Unggah hasil dan tinjau untuk kegagalan apa pun.

Periksa apakah autentikasi sertifikat diaktifkan dalam kebijakan autentikasi Layanan Federasi Direktori Aktif

Layanan Federasi Direktori Aktif melakukan autentikasi sertifikat pengguna secara default pada port 49443 dengan nama host yang sama dengan LAYANAN Federasi Direktori Aktif (misalnya: adfs.contoso.com). Anda juga dapat mengonfigurasi LAYANAN Federasi Direktori Aktif untuk menggunakan port 443 (port HTTPS default) dengan menggunakan pengikatan SSL alternatif. Namun, URL yang digunakan dalam konfigurasi ini adalah certauth.<adfs-farm-name> (misalnya: certauth.contoso.com). Untuk informasi selengkapnya, lihat dukungan Layanan Federasi Direktori Aktif untuk pengikatan nama host alternatif untuk autentikasi sertifikat.

Catatan

Di Layanan Federasi Direktori Aktif pada Windows Server 2016, dua mode sekarang didukung. Mode pertama menggunakan host adfs.contoso.com dengan port 443 dan 49443. Mode kedua menggunakan host adfs.contoso.com dan certauth.adfs.contoso.com dengan port 443. Anda memerlukan sertifikat SSL untuk mendukung certauth.\<adfs-service-name> sebagai nama subjek alternatif. Anda dapat melakukan ini pada saat pembuatan farm atau yang lebih baru melalui PowerShell.

Kasus yang paling umum dari masalah konektivitas jaringan adalah bahwa firewall telah salah dikonfigurasi dan memblokir lalu lintas untuk autentikasi sertifikat pengguna. Biasanya, Anda melihat layar kosong atau kesalahan server 500 saat masalah ini terjadi. Cara memperbaikinya:

  1. Perhatikan nama host dan port yang Anda konfigurasi di Layanan Federasi Direktori Aktif.
  2. Pastikan bahwa firewall apa pun di depan Layanan Federasi Direktori Aktif atau WAP dikonfigurasi untuk memungkinkan hostname:port kombinasi untuk farm Layanan Federasi Direktori Aktif Anda. Teknisi jaringan Anda harus melakukan langkah ini.

Periksa konektivitas CRL

Daftar pencabutan sertifikat (CRL) adalah titik akhir yang dikodekan ke dalam sertifikat pengguna untuk melakukan pemeriksaan pencabutan runtime. Misalnya, jika perangkat yang berisi sertifikat dicuri, administrator dapat menambahkan sertifikat ke daftar sertifikat yang dicabut. Setiap titik akhir yang menerima sertifikat ini sebelumnya sekarang akan gagal autentikasi.

Setiap layanan federasi direktori aktif dan server WAP perlu mencapai titik akhir CRL untuk memvalidasi apakah sertifikat yang disajikan kepadanya masih valid dan belum dicabut. Validasi CRL dapat terjadi melalui HTTPS, HTTP, LDAP, atau OCSP. Jika server LAYANAN Federasi Direktori Aktif dan WAP tidak dapat mencapai titik akhir, autentikasi akan gagal. Gunakan langkah-langkah berikut untuk memecahkan masalahnya:

  1. Konsultasikan dengan teknisi infrastruktur kunci publik (PKI) Anda untuk menentukan titik akhir CRL mana yang digunakan untuk mencabut sertifikat pengguna dari sistem PKI Anda.
  2. Di setiap layanan federasi direktori aktif dan server WAP, pastikan bahwa titik akhir CRL dapat dijangkau melalui protokol yang digunakan (biasanya HTTPS atau HTTP).
  3. Untuk validasi tingkat lanjut, aktifkan pengelogan peristiwa CAPI2 di setiap layanan federasi direktori aktif dan server WAP.
  4. Periksa ID Peristiwa 41 (Verifikasi Pencabutan) di log operasional CAPI2.
  5. <Result value="80092013">The revocation function was unable to check revocation because the revocation server was offline.</Result>Periksa .

Tip

Anda dapat menargetkan satu server AD FS atau WAP untuk pemecahan masalah yang lebih mudah dengan mengonfigurasi resolusi DNS (file host di Windows) untuk menunjuk ke server tertentu. Teknik ini memungkinkan Anda mengaktifkan pelacakan dengan menargetkan server.

Periksa masalah SNI

Layanan Federasi Direktori Aktif memerlukan perangkat klien (atau browser) dan load balancer untuk mendukung Indikasi Nama Server (SNI). Beberapa perangkat klien (misalnya, versi Android yang lebih lama) mungkin tidak mendukung SNI. Selain itu, load balancer mungkin tidak mendukung SNI atau mungkin tidak dikonfigurasi untuk SNI. Dalam kasus ini, Anda mungkin mendapatkan kegagalan sertifikasi pengguna.

Untuk memperbaiki masalah ini, bekerja samalah dengan teknisi jaringan Anda untuk memastikan bahwa load balancer untuk Layanan Federasi Direktori Aktif dan WAP mendukung SNI. Jika SNI tidak dapat didukung, gunakan solusi berikut di Layanan Federasi Direktori Aktif:

  1. Buka jendela Prompt Perintah yang ditingkatkan di server LAYANAN Federasi Direktori Aktif utama.
  2. Memasuki Netsh http show sslcert.
  3. Salin GUID aplikasi dan hash sertifikat layanan federasi.
  4. Memasuki netsh http add sslcert ipport=0.0.0.0:{your_certauth_port} certhash={your_certhash} appid={your_applicaitonGUID}.

Periksa apakah perangkat klien telah disediakan dengan sertifikat dengan benar

Anda mungkin melihat bahwa beberapa perangkat berfungsi dengan benar tetapi perangkat lain tidak. Dalam kebanyakan kasus, itu berarti bahwa sertifikat pengguna tidak disediakan dengan benar di beberapa perangkat klien. Ikuti langkah-langkah ini:

  1. Jika masalahnya khusus untuk perangkat Android, penyebab paling umum adalah rantai sertifikat tidak sepenuhnya tepercaya pada perangkat. Lihat vendor MDM Anda untuk memastikan bahwa sertifikat telah disediakan dengan benar dan seluruh rantai sepenuhnya dipercaya pada perangkat Android.

    Jika masalah khusus untuk perangkat Windows, periksa apakah sertifikat disediakan dengan benar dengan memeriksa penyimpanan sertifikat Windows untuk pengguna yang masuk (bukan sistem atau komputer).

  2. Ekspor sertifikat pengguna klien ke file .cer dan jalankan perintah certutil -f -urlfetch -verify certificatefilename.cer.

Periksa apakah versi TLS kompatibel antara server AD FS/WAP dan perangkat klien

Dalam kasus yang jarang terjadi, perangkat klien diperbarui untuk hanya mendukung versi TLS yang lebih tinggi (misalnya, 1.3). Atau Anda mungkin mengalami masalah terbalik, di mana server LAYANAN Federasi Direktori Aktif dan WAP diperbarui untuk hanya menggunakan versi TLS yang lebih tinggi yang tidak didukung perangkat klien.

Anda dapat menggunakan alat SSL online untuk memeriksa server LAYANAN Federasi Direktori Aktif dan WAP Anda dan melihat apakah mereka kompatibel dengan perangkat. Untuk informasi selengkapnya tentang cara mengontrol versi TLS, lihat Mengelola protokol SSL/TLS dan cipher suite untuk Layanan Federasi Direktori Aktif.

Periksa apakah Microsoft Entra PromptLoginBehavior dikonfigurasi dengan benar pada pengaturan domain federasi Anda

Banyak aplikasi Office 365 yang dikirim prompt=login ke ID Microsoft Entra. MICROSOFT Entra ID, secara default, mengonversinya ke login kata sandi baru ke Layanan Federasi Direktori Aktif. Akibatnya, bahkan jika Anda mengonfigurasi autentikasi sertifikat di Layanan Federasi Direktori Aktif, pengguna Anda hanya melihat login kata sandi. Untuk memperbaiki masalah ini:

  1. Dapatkan pengaturan domain federasi dengan menggunakan Get-MgDomainFederationConfiguration cmdlet.
  2. Pastikan bahwa PromptLoginBehavior parameter diatur ke atau DisabledNativeSupport.

Untuk informasi selengkapnya, lihat dukungan parameter ad FS prompt=login.

Pemecahan masalah tambahan

Dalam kejadian yang jarang terjadi, jika daftar CRL Anda sangat panjang, mereka mungkin mengalami batas waktu saat mencoba mengunduh. Dalam hal ini, Anda perlu memperbarui MaxFieldLength dan MaxRequestByte seperti yang dijelaskan dalam pengaturan registri Http.sys untuk Windows.

Referensi: Daftar lengkap jenis klaim sertifikat pengguna dan contoh nilai

Jenis klaim Contoh nilai
http://schemas.microsoft.com/2012/12/certificatecontext/field/x509version 3
http://schemas.microsoft.com/2012/12/certificatecontext/field/signaturealgorithm sha256RSA
http://schemas.microsoft.com/2012/12/certificatecontext/field/issuer CN=entca, DC=domain, DC=contoso, DC=com
http://schemas.microsoft.com/2012/12/certificatecontext/field/issuername CN=entca, DC=domain, DC=contoso, DC=com
http://schemas.microsoft.com/2012/12/certificatecontext/field/notbefore 12/05/2016 20:50:18
http://schemas.microsoft.com/2012/12/certificatecontext/field/notafter 12/05/2017 20:50:18
http://schemas.microsoft.com/2012/12/certificatecontext/field/subject E=user@contoso.com, CN=user, CN=Users, DC=domain, DC=contoso, DC=com
http://schemas.microsoft.com/2012/12/certificatecontext/field/subjectname E=user@contoso.com, CN=user, CN=Users, DC=domain, DC=contoso, DC=com
http://schemas.microsoft.com/2012/12/certificatecontext/field/rawdata {Base64 encoded digital certificate data}
http://schemas.microsoft.com/2012/12/certificatecontext/extension/keyusage DigitalSignature
http://schemas.microsoft.com/2012/12/certificatecontext/extension/keyusage KeyEncipherment
http://schemas.microsoft.com/2012/12/certificatecontext/extension/subjectkeyidentifier 9D11941EC06FACCCCB1B116B56AA97F3987D620A
http://schemas.microsoft.com/2012/12/certificatecontext/extension/authoritykeyidentifier KeyID=d6 13 e3 6b bc e5 d8 15 52 0a fd 36 6a d5 0b 51 f3 0b 25 7f
http://schemas.microsoft.com/2012/12/certificatecontext/extension/certificatetemplatename User
http://schemas.microsoft.com/2012/12/certificatecontext/extension/san Other Name:Principal Name=user@contoso.com, RFC822 Name=user@contoso.com
http://schemas.microsoft.com/2012/12/certificatecontext/extension/eku 1.3.6.1.4.1.311.10.3.4