Certificats clients
Un certificat client est un type de certificat numérique qui est émis par une autorité de certification (CA). Les logiciels de gestion des appareils mobiles (MDM) émettent des certificats clients aux appareils en utilisant Okta en tant que CA ou la CA du client (référencée dans Okta comme « fournissez votre propre CA »).
Comment Okta utilise-t-il les certificats clients ?
Okta utilise des certificats clients pour déterminer si un appareil de bureau (macOS et Windows uniquement) est géré ou non.
Lorsqu'un appareil s'authentifie avec succès avec Okta FastPass, Okta lie un certificat client à l'appareil (pas à l'utilisateur) et atteste de l'installation du certificat en créant une signature numérique avec le certificat client et en la validant sur le serveur. Le serveur Okta utilise l'attestation de gestion dans le protocole Okta FastPass pour satisfaire la condition de gestion dans la politique de connexion à des applications.
Comment fonctionne la liaison du certificat client ?
Pour vérifier que les certificats clients sont déployés de manière sécurisée, ceux-ci ne peuvent pas être réutilisés par un appareil s'il a été supprimé de Okta Universal Directory ou utilisé par plusieurs appareils. Pour y parvenir :
-
Le certificat client est lié à l'appareil après une authentification Okta FastPass réussie.
-
Le certificat client est lié à l'appareil et non à l'utilisateur.
-
Il n'est pas possible de déployer ou d'utiliser à partir de plusieurs appareils un seul certificat client.
Comment la CA affecte-t-elle la liaison du certificat client ?
Les règles de liaison du certificat client sont différentes, selon l'autorité de certification (CA) qui émet le certificat client :
-
Si vous utilisez Okta en tant que CA :
-
Le certificat d'authentification Okta gère le cycle de vie des certificats clients, de sorte qu'Okta n'a pas besoin de s'appuyer sur la liste de révocation des certificats (CRL) pour effectuer la validation du statut du certificat ;
-
Le certificat client est révoqué le 91e jour après son émission s'il n'est pas utilisé dans un flux Okta FastPass réussi. Les 90 jours laissent du temps entre le déploiement du certificat client et l'activation d'une politique de connexion à des applications (attestation de gestion) avec le certificat client ;
-
Les certificats clients révoqués ne peuvent pas être réutilisés.
-
-
Si vous fournissez votre propre CA :
-
Les certificats clients sont émis par une CA externe, Okta utilise donc le CRL pour vérifier le statut du certificat avant de traiter les signaux d'attestation de gestion dans Okta FastPass. Pour que cela fonctionne, Okta a besoin que la CA et le certificat du client incluent l'extension CRL ;
-
Pendant l'évaluation de l'attestation de gestion, si le certificat du client est identifié comme non actif dans le CRL, Okta marque l'appareil comme non géré ;
-
Comme lorsque vous utilisez Okta en tant que CA, le certificat client est lié à l'appareil la première fois que l'appareil s'authentifie avec Okta FastPass.
-
Pour Windows, les certificats clients doivent se trouver dans le magasin de certificats utilisateurs actuel, et non dans le magasin de machines. Si l'utilisation du magasin de machines ne peut être évitée, veillez à ce qu'aucune élévation ne soit requise pour que l'utilisateur accède à la clé privée.
Pour macOS, sélectionnez le niveau approprié pour déployer le certificat client :
-
Pour vous assurer que tous les utilisateurs de l'appareil sont gérés, sélectionnez Niveau ordinateur.
-
Si vous souhaitez que seuls les utilisateurs de l'appareil gérés par MDM soient identifiés comme gérés, sélectionnez Niveau utilisateur.
Assurez-vous que le certificat client est disponible pour toutes les applications. Consultez les sections Utiliser votre propre autorité de certification pour les appareils gérés et Paramètres de charge utile SCEP MDM pour les appareils Apple.
Comment le statut du cycle de vie d'un appareil affecte-t-il la liaison du certificat ?
Selon le statut du cycle de vie d'un appareil, un certificat client peut être valide, suspendu ou révoqué.
Pour des raisons de sécurité, un certificat client est associé à l'appareil tout au long de son cycle de vie. Il ne peut être utilisé pour aucun autre appareil.
Le tableau suivant décrit l'état du certificat client à chaque phase du cycle de vie de l'appareil :
|
Statut du cycle de vie de l'appareil |
État du certificat client |
Description |
|---|---|---|
| Actif | Valide | Un certificat client est lié à l'appareil après une authentification Okta FastPass réussie. Le certificat client est valide, l'utilisateur de l'appareil est donc traité comme « géré ». |
| Suspendu | Valide | Le certificat client est valide, mais l'authentification de l'utilisateur ne peut pas fournir d'attestation de gestion pour satisfaire la condition « géré » de la politique de connexion à des applications. |
| Désactivé | Suspendu | Le certificat client est valide, mais l'authentification de l'utilisateur ne peut pas fournir d'attestation de gestion pour satisfaire la condition « géré » de la politique de connexion à des applications. |
| Supprimé | Révoqué | Lorsqu'un appareil est supprimé de Okta Universal Directory, le certificat client qui était associé à cet appareil est révoqué, de sorte qu'il ne peut plus être utilisé pour fournir une attestation de gestion à partir d'un appareil quelconque. Pour utiliser le même appareil à l'avenir, supprimez le certificat client de l'appareil, puis redéployez un nouveau certificat client sur celui-ci. |
Rubriques liées
FAQ sur les attestations de gestion
Configurer Okta en tant que CA avec défi SCEP statique pour les appareils macOS avec Jamf Pro
Configurer Okta en tant que CA avec défi SCEP dynamique pour les appareils macOS avec Jamf Pro
Configurer Okta en tant que CA avec défi SCEP délégué pour les appareils Windows avec MEM
Configurer Okta en tant que CA avec un défi SCEP délégué pour les appareils macOS qui utilisent MEM