Saltar al contenido principal
El conector AD/LDAP también permite a los usuarios autenticarse con un certificado instalado en su equipo o dispositivo.

Habilitar certificados de cliente

  1. Vaya a Auth0 Dashboard > Authentication > Enterprise > Active Directory/LDAP y seleccione la conexión que desea configurar.
  2. Active la opción Use client SSL certificate authentication en la configuración.
  3. Introduzca los rangos de direcciones IP en el campo IP Ranges. Solo se solicitará autenticación mediante certificados de cliente a los usuarios que provengan de los rangos de IP indicados. A los usuarios que provengan de otros rangos de IP se les solicitará iniciar sesión mediante el formulario de inicio de sesión con username y contraseña.

Configurar certificados

Una vez configurada la conexión AD/LDAP en Auth0, deberá configurar los certificados en el Conector AD/LDAP. La compatibilidad con certificados de cliente requiere lo siguiente:
  • Un certificado SSL para la URL pública, ya que la interacción entre el usuario final y el Conector deberá realizarse a través de HTTPS.
  • Uno o más certificados de CA.
  • Un certificado de cliente firmado por la CA para cada usuario que deba autenticarse mediante certificados de cliente.
  1. Antes de cargar los certificados en el conector AD/LDAP, convierta los certificados X.509 a Base64. Use Base64 o Certutil en Windows Server. Para obtener más información, consulte Base64 Decode en Base64decode o Certutil.exe en la documentación de Microsoft.
  2. Cargue los certificados SSL y CA en el Conector AD/LDAP:
    Pantalla de configuración de la autenticación del Conector AD/LDAP con certificados de cliente
  3. Para hacer pruebas, genere una CA autofirmada y certificados de cliente con makecert.exe en Windows, que forma parte del SDK de Windows: 
    SET ClientCertificateName=jon
    SET RootCertificateName=FabrikamRootCA
    "C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\Bin\makecert.exe" -sky exchange -r -n "CN=%RootCertificateName%" -pe -a sha1 -len 2048 -ss My "%RootCertificateName%.cer"
    "C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\Bin\makecert.exe" -n "CN=%ClientCertificateName%" -pe -sky exchange -m 96 -ss My -in "%RootCertificateName%" -is my -a sha1
    Es importante que el asunto del certificado de cliente tenga el formato CN=AD_USERNAME, por ejemplo, CN=jon.
En una aplicación, cuando un usuario inicia el flujo de inicio de sesión mediante una conexión AD/LDAP: 
auth.signin({
       popup: true,
       connection: 'FabrikamAD',
       scope: 'openid name email'
     }, onLoginSuccess, onLoginFailed);
Si la dirección IP del usuario se encuentra dentro del rango de IP configurado, se le pedirá que se autentique con un certificado de cliente:
Configurar la autenticación del conector AD/LDAP con certificados de cliente: elegir certificado de cliente
Después de elegir el certificado, el conector AD/LDAP lo validará y se iniciará la sesión del usuario:
Configurar la autenticación del conector AD/LDAP con certificados de cliente: usuario con sesión iniciada