智能卡身份验证

ADSelfService Plus 支持智能卡身份验证，允许用户在无需输入密码的情况下安全地访问自助服务门户。

ADSelfService Plus 通过比较用户机器上的证书文件与 AD 中的证书文件来验证用户。经过身份验证的用户将自动登录到 ADSelfService Plus Web 控制台。

导航至 管理员 → 产品设置 → 连接。 选择HTTPS模式单选按钮，并指定端口号。点击保存。
从证书颁发机构（CA）获取CA根证书。在配置智能卡认证器时需要此文件，因此请保存并妥善保管。要从CA的网站下载证书文件，请访问http://<CertificateAuthorityServerName>/certsrv/。

注意：将URL中的<CertificateAuthorityServerName>替换为您的证书服务器的名称。

智能卡认证

在导入CA根证书字段中，点击浏览以导入所需的根证书文件（X.509证书）。（参考先决条件第2步）
在证书的映射属性字段中，选择一个唯一属性用于映射。
- 确保证书中的唯一属性映射到AD中的唯一属性。两个属性必须具有相同的值。
- ADSelfService Plus允许选择智能卡证书的任何属性来唯一标识用户。您可以选择SAN.OtherName, SAN.RFC822Name, SAN.DirName, SAN.DNSName, SAN.URI, email, distinguishedName或CommonName。如果在您的环境中使用其他属性来唯一标识用户，请在提供的文本框中输入属性名称并点击加号图标。
在AD中的映射属性字段中，指定应匹配所述证书属性的LDAP属性。
- 此处，需要指定特定的LDAP属性来在AD中唯一标识用户（例如sAMAccountName）。
- 在认证过程中，ADSelfService Plus读取证书中您指定的映射属性对应的值，并与AD中指定的映射属性进行比较。
在链接域中，从下拉列表中选择您希望为之启用智能卡认证的域。
点击保存
重启ADSelfService Plus以使更改生效。