智能卡身份验证
ADSelfService Plus 支持智能卡身份验证,允许用户在无需输入密码的情况下安全地访问自助服务门户。
ADSelfService Plus 通过比较用户机器上的证书文件与 AD 中的证书文件来验证用户。经过身份验证的用户将自动登录到 ADSelfService Plus Web 控制台。
先决条件:
按照以下步骤操作:
- 使用管理员凭据登录到ADSelfService Plus网页控制台。
- 导航至管理员 → 自定义 → 登录设置。
- 点击智能卡认证选项卡。
- 在导入CA根证书字段中,点击浏览以导入所需的根证书文件(X.509证书)。(参考先决条件第2步)
- 在证书的映射属性字段中,选择一个唯一属性用于映射。
- 确保证书中的唯一属性映射到AD中的唯一属性。两个属性必须具有相同的值。
- ADSelfService Plus允许选择智能卡证书的任何属性来唯一标识用户。您可以选择SAN.OtherName, SAN.RFC822Name, SAN.DirName, SAN.DNSName, SAN.URI, email, distinguishedName或CommonName。如果在您的环境中使用其他属性来唯一标识用户,请在提供的文本框中输入属性名称并点击加号图标。
-
在AD中的映射属性字段中,指定应匹配所述证书属性的LDAP属性。
- 此处,需要指定特定的LDAP属性来在AD中唯一标识用户(例如sAMAccountName)。
- 在认证过程中,ADSelfService Plus读取证书中您指定的映射属性对应的值,并与AD中指定的映射属性进行比较。
- 在链接域中,从下拉列表中选择您希望为之启用智能卡认证的域。
- 点击保存
- 重启ADSelfService Plus以使更改生效。
管理智能卡认证配置:
在您添加智能卡进行认证后,可以执行以下任一功能:
- 添加新的智能卡配置
- 编辑已配置的智能卡
- 启用或禁用智能卡
- 删除已配置的智能卡
添加新智能卡
- 导航至管理员 → 自定义 → 登录设置 → 智能卡认证。
- 点击右上角的添加新智能卡按钮。
- 输入所有必填信息,然后点击保存。
编辑配置的智能卡
- 导航到管理 → 自定义 → 登录设置 → 智能卡身份验证。
- 点击对应智能卡的铅笔图标 (
)以编辑其配置。
- 修改您希望更改的设置。
- 点击保存
启用/禁用已配置的智能卡
- 导航到管理 → 自定义 → 登录设置 → 智能卡身份验证。
- 要启用或禁用已配置的智能卡,请单击位于特定智能卡操作列中的红色图标 (
) 或绿色钩 ( 
) 图标。
删除配置的智能卡
- 导航到管理 → 自定义 → 登录设置 → 智能卡身份验证。
- 点击您希望删除的智能卡上的删除图标 (
)。
- 点击是以确认删除。
ADManager Plus
ADAudit Plus
Exchange Reporter Plus
Microsoft 365 Manager Plus