Configurare l’autenticazione con smart card per Web Studio
Questo articolo descrive i passaggi necessari per configurare e abilitare l’autenticazione con smart card per Web Studio:
Passaggio 1: installare il driver della smart card
Passaggio 2: emissione di certificati per gli utenti di smart card
Passaggio 3: registrare i certificati per gli utenti di smart card
Passaggio 4: configurare i server IIS di Web Studio
Passaggio 5 (facoltativo): configurare le deleghe di autenticazione per Web Studio
Passaggio 6: abilitare l’autenticazione tramite smart card per Web Studio
Nota:
L’autenticazione con smart card è supportata solo per gli utenti dello stesso dominio Active Directory con server Web Studio.
Passaggio 1: installare il driver della smart card
Installare il driver della smart card sui seguenti computer:
- Controller di dominio in cui è installato il servizio di certificazione.
- Server Web Studio
- Macchine utilizzate dagli utenti finali per accedere a Web Studio
- Macchine utilizzate per registrare i certificati per gli utenti di smart card
Il driver è disponibile per il download all’indirizzo https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.
Passaggio 2: emissione di certificati per gli utenti di smart card
Sul controller di dominio, seguire questi passaggi per completare l’operazione:
-
Accedere al proprio controller di dominio e aprire l’autorità di certificazione.
- Duplicare il modello Enrollment Agent (Agente di registrazione). I passaggi dettagliati sono i seguenti:
-
Fare clic con il pulsante destro del mouse su Certificate Templates (Modelli di certificato) e selezionare Manage (Gestisci).
- Fare clic con il pulsante destro del mouse su Enrollment Agent e selezionare Duplicate Template (Duplica modello).
-
Nella scheda Cryptography (Crittografia), selezionare Microsoft Base Smart Card Crypto Provider, quindi fare clic su OK. Viene visualizzato un modello denominato Copy of Enrollment Agent (Copia dell’agente di registrazione) nell’elenco Certificate Templates (Modelli di certificato).
-
Nella scheda Subject Name (Nome oggetto), assicurarsi che l’opzione Include e-mail in subject name (Includi e-mail nel nome dell’oggetto) sia deselezionata.
-
- Verificare le autorizzazioni del modello Smartcard User. I passaggi dettagliati sono i seguenti:
- Fare clic con il pulsante destro del mouse su Certificate Templates (Modelli di certificato) e selezionare Manage (Gestisci).
- Fare clic con il pulsante destro del mouse su Smartcard User (Utente Smartcard) e selezionare Properties (Proprietà).
-
Nella scheda Security (Sicurezza), verificare che in Domain Admins le autorizzazioni seguenti siano selezionate nel modo seguente:
- Emettere i certificati per le smart card. I passaggi dettagliati sono i seguenti:
- Fare clic con il pulsante destro del mouse su Certificate Templates (Modelli di certificato) e selezionare New > Template to Issue (Nuovo > Modello da emettere).
- Selezionare Copy of Enrollment Agent e Smartcard User.
- Fare clic su OK.
Passaggio 3: registrare i certificati per gli utenti di smart card
Su un computer Windows fisico aggiunto a un dominio, registrare i certificati per ogni smart card seguendo questi passaggi:
- Preparare un computer Windows fisico aggiunto al dominio per utilizzarlo nella registrazione:
- Verificare che il driver della smart card sia installato.
- Inserire una smart card nella macchina.
- Effettuare l’accesso alla macchina utilizzando l’account utente che si desidera assegnare alla smart card.
- Aggiungere lo snap-in Certificates sulla macchina che preparata nel passaggio 1. I passaggi dettagliati sono i seguenti:
- Aprire mmc.
- Fare clic su File, quindi su Add/Remove Snap-in (Aggiungi/rimuovi snap-in).
- Nella finestra Add or Remove Snap-ins visualizzata, selezionare Certificates, quindi fare clic su Add > (Aggiungi).
- Nella finestra di dialogo visualizzata, selezionare My user account (Il mio account utente) e fare clic su Finish (Fine).
-
Fare clic su OK.
(Aggiungi certificato)
- Richiedere nuovi certificati per lo snap-in Certificati. I passaggi dettagliati sono i seguenti:
-
Passare a Certificates - Current User > Personal (Certificati - Utente corrente > Personale), fare clic con il pulsante destro del mouse su Certificates, quindi selezionare All Tasks > Request New Certificate (Tutte le attività > Richiedi nuovo certificato).
-
Nella finestra di dialogo Request Certificates (Richiedi certificati) visualizzata, selezionare Copy of Enrollment Agent (Copia dell’agente di registrazione) e Smartcard User.
- Nella finestra di dialogo sopra riportata, fare clic su Details (Dettagli) per Smartcard User, quindi su Properties (Proprietà). Viene visualizzata la finestra di dialogo Certificate Properties (Proprietà del certificato).
- Nella scheda Private Key (Chiave privata), espandere Cryptographic Service Provider, deselezionare Microsoft Strong Cryptographic Provider (Encrption), selezionare solo Microsoft Base Smart Card Crypto Provider (Encryption), quindi fare clic su OK.
- Fare clic su Enroll (Registra).
- Nella finestra di dialogo Windows Security (Sicurezza di Windows) visualizzata, immettere il codice PIN della smart card e fare clic su OK. Al termine della registrazione, fare clic su Finish (Fine).
-
Una volta completata la registrazione, vengono visualizzati due certificati in Certificates - Current User -> Personal -> Certificates (Certificati - Utente corrente -> Personale -> Certificati), come illustrato nella schermata acquisita seguente.
Passaggio 4: configurare i server IIS di Web Studio
Su ciascun server Web Studio, seguire questi passaggi per configurare IIS per l’autenticazione con smart card:
-
Abilitare Client Certificate Mapping Authentication (Autenticazione di mappatura dei certificati client) per il computer con Web Studio**.
L’ elemento
<clientCertificateMappingAuthentication>
non è disponibile nell’installazione predefinita di IIS 7 e versioni successive. Per ulteriori informazioni sull’installazione e l’abilitazione, vedere questo articolo di Microsoft. - Avviare IIS Manager sul computer con Web Studio.
-
Abilitare Active Directory Client Certificate Authentication (Autenticazione del certificato client Active Directory) per il computer. I passaggi dettagliati sono i seguenti:
-
Selezionare la macchina nel riquadro a sinistra e fare doppio clic su Authentication (Autenticazione).
-
Abilitare Active Directory Client Certificate Authentication (Autenticazione del certificato del client Active Directory).
-
- Configurare il modulo back-end di Web Studio per un protocollo HTTPS più sicuro con autenticazione tramite certificato client:
-
Passare a Sites > Default Web Site > Studio > Backend > Smartcard (Siti > Sito Web predefinito > Studio > Back-end > Smartcard), quindi fare doppio clic su SSL Settings (Impostazioni SSL) nella sezione IIS.
-
Selezionare Require (Richiedi) alla voce Client certificates (Certificati client).
-
Tornare a Sites > Default Web Site > Studio > Backend > Smartcard (Siti > Sito Web predefinito > Studio > Backend > Smartcard), quindi fare doppio clic su Configuration Editor nella sezione IIS.
-
Assicurarsi che /clientCertificateMappingAuthentication sia abilitato.
-
-
(Solo Windows 2022) Disabilitare TLS 3.1 su TCP. I passaggi dettagliati sono i seguenti:
- Passare a Sites > Default Web Site (Siti > Sito Web predefinito).
- Fare clic su Edit Site > Binding (Modifica sito > Associazione).
-
Nella finestra di dialogo Site Bindings visualizzata, selezionare il record https, quindi fare clic su Edit (Modifica).
-
Nella finestra di dialogo Edit Site Binding (Modifica associazione sito) visualizzata, selezionare Disable TLS 1.3 over TCP (Disabilita TLS 1.3 su TCP) e quindi fare clic su OK.
Buono a sapersi:
Il back-end di Web Studio è un modulo di Web Studio che fornisce le seguenti funzioni:
- Autenticazione con smart card.
- Recupero dei token di connessione FMA dal servizio Orchestration mediante l’autenticazione Windows integrata.
Passaggio 5 (facoltativo): configurare le deleghe di autenticazione per Web Studio
Quando Web Studio e i Delivery Controller sono installati su server diversi, è necessario configurare le deleghe per ciascun server Web Studio ai Delivery Controller per i servizi HOST e HTTPS.
Seguire questi passaggi per completare l’attività per ogni server Web Studio:
- Importare il certificato HTTPS di Delivery Controller Orchestration
- Configurare la delega per il server Web Studio
- Configurare la delega per l’account di servizio del server IIS di Web Studio
Importare il certificato HTTPS di Delivery Controller Orchestration
Sul server Web Studio, importare il certificato Delivery Controller Orchestration HTTPS nelle Trusted Root Certification Authorities (Autorità del certificato radice di attendibilità). I passaggi dettagliati sono i seguenti:
- Avviare Settings > Manage computer certificates (Impostazioni > Gestisci i certificati del computer).
-
Fare clic con il pulsante destro del mouse su Trusted Root Certification Authorities > Certificates (Autorità del certificato radice di attendibilità > Certificati) e selezionare All Tasks > Import (Tutte le attività > Importa).
- Seguire le istruzioni sullo schermo per importare il certificato Delivery Controller Orchestration HTTPS.
Configurare la delega per il server Web Studio
Sul controller di dominio, configurare la delega del server Web Studio al Delivery Controller per i servizi HOST e HTTP. Seguire questi passaggi per completare l’attività:
- Sul controller di dominio, avviare Active Directory Administrative Center.
- Individuare l’account computer del Web Studio Server da configurare per la delega (ad esempio, Dan002).
-
Fare clic con il pulsante destro del mouse sull’account e selezionare Properties (Proprietà).
-
Passare alla scheda Delegation (Delega).
- Selezionare l’opzione Trust this user for delegation to specified services only > Use any authentication protocol (Utente attendibile per la delega solo ai servizi specificati > Utilizza qualsiasi protocollo di autenticazione).
- Fare clic su Add (Aggiungi) per specificare a quali servizi può essere delegato questo account computer.
- Nella finestra di dialogo Add Service (Aggiungi servizio) visualizzata, fare clic su Add Users or Computers (Aggiungi utenti o computer) per individuare il nome del computer del Delivery Controller (ad esempio, Dan001).
- Selezionare i servizi HOST e HTTP, quindi fare clic su OK.
-
I risultati della configurazione sono illustrati nella schermata seguente.
Configurare la delega per l’account di servizio del server IIS di Web Studio
Se si è configurato un account di servizio per il server IIS di Web Studio, è necessario configurare anche la delega di questo account di servizio al Delivery Controller per i servizi HOST e HTTP. Una volta stabilita questa delega, il server Web Studio può utilizzare il suo account di servizio per impersonare l’attuale utente della smart card per accedere ai servizi HOST e HTTP del Delivery Group. Seguire questi passaggi per completare la configurazione:
- Sul controller di dominio, avviare Active Directory Administrative Center.
- Individuare l’account utente che si desidera configurare per la delega (ad esempio, svr-stud-002).
- Fare clic con il pulsante destro del mouse sull’account e selezionare Properties (Proprietà).
- Seguire la procedura descritta nel passaggio 2 per delegare l’account del servizio IIS di Web Studio ai servizi HOST e HTTP del Delivery Controller.
I risultati della configurazione sono illustrati nella schermata seguente.
Passaggio 6: abilitare l’autenticazione tramite smart card per Web Studio
Seguire questi passaggi per abilitare l’autenticazione con smart card per Web Studio:
- Accedere a Web Studio e selezionare Settings nel riquadro a sinistra.
- Selezionare Smart card authentication (Autenticazione con smart card) o Domain credentials + Smart card authentication (Credenziali di dominio + Autenticazione con smart card), come necessario.
- Selezionare Smart card authentication (Autenticazione con smart card) o Domain credentials or Smart card authentication (Credenziali di dominio o Autenticazione con smart card), come necessario.
-
Fare clic su Applica.
In questo articolo
- Passaggio 1: installare il driver della smart card
- Passaggio 2: emissione di certificati per gli utenti di smart card
- Passaggio 3: registrare i certificati per gli utenti di smart card
- Passaggio 4: configurare i server IIS di Web Studio
- Passaggio 5 (facoltativo): configurare le deleghe di autenticazione per Web Studio
- Passaggio 6: abilitare l’autenticazione tramite smart card per Web Studio