Configurer les services de certificats Active Directory

Avant de commencer

Assurez-vous que vous avez accès aux éléments suivants :

• Organisation Okta Identity Engine avec Okta Device Access activé

• Environnement des services de certificat Microsoft Active Directory

• Permissions de l'administrateur pour mettre à jour ou émettre de nouveaux modèles de certificat dans AD CS. Consultez Gérez les modèles de certificat.

Configurer le modèle de certificat

Les modèles de certificats AD CS servent également de modèle pour l'émission de certificats, définissant des paramètres critiques tels que l'utilisation des clés, la dénomination du sujet et les autorisations de sécurité. Configurez un modèle pour mettre en application la conformité, rationaliser la gestion et protéger l'infrastructure d'identité d'entreprise.

1. Ouvrez le composant logiciel enfichable de l'autorité de certification, soit en saisissant certsrv.msc dans votre menu démarrer Windows, soit via le menu Outils dans Gestionnaire de serveurs Windows.

2. Ouvrez l'Autorité de certification émettrice.

3. Faites un clic droit sur le dossierModèles de certification et sélectionnez Gérer.

   

4. Sélectionnez le modèle Authentification de la station de travail. Cependant, vous pouvez choisir n'importe quel modèle qui s'applique à l'authentification au niveau de l'ordinateur.

   Cliquez avec le bouton droit de la souris sur le modèle et sélectionnez Dupliquer un modèle.

   

5. Dans l'onglet Général de la fenêtre Propriétés du nouveau modèle, configurez les éléments suivants :

   • Nom : donnez un nom descriptif à votre modèle.

   • Période de validité : la durée, en années, pendant laquelle le certificat reste valide après sa délivrance.

   • Période de renouvellement : le délai avant l'expiration du certificat, en semaines, pendant lequel les systèmes peuvent demander un nouveau certificat. Cela permet le chevauchement entre les anciens et les nouveaux certificats pour éviter l'interruption du service.

   

6. Dans l'onglet Nom de l'objet, sélectionnez Générer à partir de ces informations Active Directory.

   Choisissez le format du nom de l'objet souhaité dans le menu déroulant. Desktop MFA prend en charge tous les formats de cette liste.

   

7. Okta nécessite un identifiant d'objet (OID) spécifique à l'utilisation améliorée de la clé (EKU) pour identifier les certificats émis pour Accès à l'appareil.

   Ajoutez cet OID en utilisant une nouvelle politique application.

   Dans l'onglet Extensions, sélectionnez Politiques d'application, puis cliquez sur Modifier.

   

8. Dans la fenêtre Modifier l'extension des politiques d'application, cliquez sur Ajouter.

9. Dans la fenêtre Ajouter une politique d'application, cliquez sur Nouveau pour définir une nouvelle politique.

10. Dans la fenêtre Nouvelle politique d'application, configurez les options suivantes :

    • Nom : Okta Device Access

    • Identificateur d'objet : 1.3.6.1.4.1.51150.13.1.1

    Cliquez sur OK pour créer une politique.

    

11. Vérifiez que la nouvelle politique Okta Accès à l'appareil est dans la liste Politiques d'application.

    

12. Cliquez sur OK pour confirmer l'ajout de la nouvelle politique d'application, puis à nouveau sur OK pour terminer la modification de la politique d'application.

13. Dans la fenêtre Propriétés du nouveau modèle, cliquez sur Appliquer pour confirmer les paramètres du nouveau modèle.

Configurer les autorisations

Choisissez votre stratégie de déploiement de certificats de vos appareils avant de configurer les autorisations sur ces modèles. Consultez Ajout d'autorisations de lecture et d'inscription pour les utilisateurs et les ordinateurs.

Vous souhaiterez peut-être déployer des certificats sur les objets suivants :

• Un certain groupe de comptes administrateur

• Un ensemble spécifique d'appareils, par exemple, Ordinateurs de domaine

• Ou une combinaison de ces options

Après avoir déterminé les groupes et les appareils qui demanderont ce certificat, vous pourrez configurer les autorisations appropriées. Le groupe ou l'appareil à l'origine de la requête doit disposer au moins d'autorisations de lecture sur ce modèle.

Vérifiez l'installation du certificat

1. Sur l'appareil Windows, cliquez sur Démarrer et tapez cert, puis cliquez sur Gérer les certificats utilisateur.

2. Développez le dossier Personnel > Certificats.

3. Localisez le certificat qui vient d'être émis et double-cliquez dessus pour ouvrir ses propriétés.

4. Dans l'onglet Détails, faites défiler vers le bas et sélectionnez le champ Utilisation améliorée de la clé.

5. Confirmez que le champ contient Okta Accès à l'appareil avec une valeur de 1.3.6.1.4.1.51150.13.1.1.

   

6. Cela confirme que le certificat a été émis avec l'EKU personnalisé requis.

Configurer l'autorité de certification Okta

La configuration de Okta en tant qu'autorité de certification (AC) pour Accès à l'appareil est une étape cruciale pour activer une authentification sécurisée basée sur des certificats pour les appareils gérés. L'AC établit une confiance entre vos appareils et Okta et garantit que seuls les points de terminaison vérifiés peuvent accéder aux ressources dans votre entreprise.

1. Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.

2. Sur l'onglet Autorité de certification cliquez sur Ajouter une autorité de certification.

3. Pour l'option Émettre des certificats pour, sélectionnez Accès à l'appareil .

4. Chargez le certificat racine de votre AC. Vous devriez voir un message File successfully uploaded.

5. Cliquez sur Fermer.

Votre nouvelle AC est disponible dans l'onglet Autorité de certification.