Configuration de l’authentification du connecteur AD/LDAP à l’aide de certificats clients

Le connecteur AD/LDAP permet également aux utilisateurs de s’authentifier à l’aide d’un certificat installé sur leur machine ou leur appareil.

Activer les certificats clients

  1. Allez à Auth0 Dashboard > Authentification > Entreprise > Active Directory/LDAP et sélectionnez le type de connexion à afficher.

  2. Activez l’option Utiliser l’authentification par certificat SSL du client dans les paramètres.

  3. Indiquez les plages d’adresses IP dans le champ Plages IP. Seuls les utilisateurs provenant des plages d’adresses IP données sont invités à s’authentifier à l’aide de certificats clients. Les utilisateurs provenant d’autres plages d’adresses IP sont invités à se connecter à l’aide du formulaire de connexion avec nom d’utilisateur et mot de passe.

Configurer les certificats

Une fois que la connexion AD/LDAP a été configurée dans Auth0, vous devez configurer les certificats dans le connecteur AD/LDAP. La prise en charge des certificats clients nécessite ce qui suit :

  • Un certificat SSL pour l’URL Front Facing, car l’interaction entre l’utilisateur final et le connecteur devra se faire via HTTPS.

  • Un ou plusieurs certificats d’autorité de certification.

  • Un certificat client signé par l’autorité de certification pour chaque utilisateur devant s’authentifier à l’aide de certificats clients.

  1. Avant de télécharger les certificats vers le connecteur AD/LDAP, convertissez les certificats X.509 en Base64. Utilisez Base64 ou Certutil sur le serveur Windows. Pour en savoir plus, voir Base64 Decode à Base64decode ou Certutil.exe dans la documentation Microsoft.

  2. Téléversez les certificats SSL et d’autorité de certification dans le connecteur AD/LDAP :

    Configure AD/LDAP Connector Authentication with Client Certificates Setup Screen

  3. Pour tester, générez des certificats clients d’autorité de certification et auto-signés à l’aide de makecert.exe sur Windows, qui fait partie de la trousse SDK Windows : 

    SET ClientCertificateName=jon
    SET RootCertificateName=FabrikamRootCA
    "C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\Bin\makecert.exe" -sky exchange -r -n "CN=%RootCertificateName%" -pe -a sha1 -len 2048 -ss My "%RootCertificateName%.cer"
    "C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\Bin\makecert.exe" -n "CN=%ClientCertificateName%" -pe -sky exchange -m 96 -ss My -in "%RootCertificateName%" -is my -a sha1

    Was this helpful?

    /
    Il est important que l’objet du certificat client soit au format CN=AD_USERNAME, par exemple CN=jon.

Dans une application, lorsqu’un utilisateur démarre le processus de connexion à l’aide d’une connexion AD/LDAP : 

auth.signin({
       popup: true,
       connection: 'FabrikamAD',
       scope: 'openid name email'
     }, onLoginSuccess, onLoginFailed);

Was this helpful?

/

Si l’adresse IP de l’utilisateur se trouve dans la plage IP configurée, il est invité à s’authentifier à l’aide d’un certificat client :

Configure AD/LDAP Connector Authentication with Client Certificates Choose Client Certificate

Après avoir choisi le certificat, le connecteur AD/LDAP le validera et l’utilisateur sera connecté :

Configure AD/LDAP Connector Authentication with Client Certificates Logged In User