智能卡身份验证

如果您的环境中启用了智能卡身份验证系统， 您可以配置Log360来通过它对用户进行身份验证， 绕过其他第一因素进行身份验证。

通过启用使用智能卡/ PKI /证书来授予对该工具的访问权限，此功能为Log360登录提供了附加的身份验证选项。 智能卡身份验证进一步增强了安全性，因为访问Log360将随后要求用户拥有智能卡并同时知道个人识别码（PIN）。

当用户尝试访问Log360的Web界面时，只有在完成机器中的智能卡身份验证后（即，通过出示智能卡并随后输入PIN），才允许他们继续操作。 Log360的Web界面通过SSL通信补充了智能卡技术。 因此，提示用户指定X.509证书以获取访问权限。

用户可以选择从智能卡或本地证书存储中提供证书， 在这种情况下，Log360执行步骤以使用证书对用户进行身份验证。 用户还可以拒绝提供证书，然后该工具将其带到通常的登录页面进行身份验证。

配置智能卡身份验证设置的步骤：

• 点击管理标签。
• 必须启用SSL端口以配置智能卡身份验证设置。 先检查您的SSL端口设置， 单击常规设置下提供的产品设置。 如果尚未启用，请选择针对HTTPS的单选按钮， 并在字段中指定端口号。 点击保存。
• 导航到“管理员管理登录设置”，“智能卡身份验证”。
• 在“导入CA根证书”字段中，单击“浏览”，然后从计算机中导入所需的证书颁发机构根证书文件。 连接到 http://CertificateAuthorityServerName/certsrv/ 下载CA根证书。
• 在“证书中的映射属性”字段中，指定要映射的证书属性。 用户详细信息需要在智能卡证书和Log360数据库之间进行映射。 这表示智能卡证书中唯一标识用户的属性应与Log360用户数据库中的相应值匹配。 此映射涉及指定证书中的哪个属性应与Log360用户存储中的哪个属性进行比较。 Log360提供了灵活性，可以指定您可以唯一标识环境中的用户的智能卡证书的任何属性。 您可以在SAN.OtherName，SAN.RFC822Name，SAN.DirName，SAN.DNSName，SAN.URI，电子邮件，distinguishedName和CommonName中选择任何属性。 如果使用任何其他属性来唯一标识您环境中的用户，请联系Log360支持以添加该属性。
• 在“ AD中的映射属性”字段中，指定应与指定的证书属性匹配的LDAP属性。
  在这里，您需要指定特定的LDAP属性，以在Log360用户存储中唯一标识该用户，例如sAMAccountName。
  在身份验证期间，Log360读取与您在“证书”中的“映射属性”中指定的证书属性相对应的值，并将其与AD中“映射属性”中指定的LDAP属性进行比较。
• 在“链接的域”字段中，从下拉菜单中选择适当的域。
• 单击“ OCSP设置”部分旁边的箭头符号以展开菜单。
  在身份验证期间，Log360会根据联机证书状态协议（OCSP）服务器检查证书吊销状态，并在证书中提供详细信息。 如果证书没有OCSP信息，将使用此处设置中提供的信息。
  
  • 在“ OCSP服务器名称”字段中，指定OCSP服务器的名称。
  • 在“ OCSP服务器端口”字段中，提及OCSP服务器端口号。
• 点击保存。

添加智能卡进行身份验证后，可以执行以下任何功能：

• 添加新的智能卡
• 编辑已配置的智能卡
• 启用/扩展智能卡
• 删除已配置的智能卡

添加新的智能卡

要添加新的智能卡，请按照以下步骤操作：

• 导航到管理员管理登录设置智能卡身份验证。
• 单击屏幕右上角的添加新的智能卡按钮。
• 输入所有必需的详细信息，然后单击“保存”。

编辑已配置的智能卡

要编辑已配置的智能卡，请按照以下步骤操作：

• 导航到管理员管理登录设置智能卡身份验证。
• 点击 与您要编辑其配置的智能卡相对应。
• 修改您想要更改的设置。
• 点击保存。

启用/禁用智能卡

• 导航到管理员管理登录设置智能卡身份验证。
• 要启用/禁用已配置的智能卡，请单击 / 图标位于特定智能卡的“操作”列中。

删除已配置的智能卡

• 导航到管理员管理登录设置智能卡身份验证。
• 点击 与您要删除的智能卡相对应。
• 单击“是”确认删除。