Passer au contenu principal
Le connecteur AD/LDAP permet également aux utilisateurs de s’authentifier à l’aide d’un certificat installé sur leur ordinateur ou leur appareil.

Activer les certificats client

  1. Accédez à Auth0 Dashboard > Authentication > Enterprise > Active Directory/LDAP, puis sélectionnez la connexion que vous voulez configurer.
  2. Activez l’option Use client SSL certificate authentication dans les paramètres.
  3. Entrez les plages d’adresses IP dans le champ IP Ranges. Seuls les utilisateurs provenant des plages d’adresses IP indiquées seront invités à s’authentifier à l’aide de certificats client. Les utilisateurs provenant d’autres plages d’adresses IP seront invités à se connecter au moyen du formulaire de connexion avec nom d’utilisateur et mot de passe.

Configurer les certificats

Une fois la connexion AD/LDAP configurée dans Auth0, vous devrez configurer les certificats dans le connecteur AD/LDAP. Pour prendre en charge les certificats clients, vous aurez besoin des éléments suivants :
  • Un certificat SSL pour l’URL publique, puisque l’interaction entre l’utilisateur final et le connecteur devra se faire sur HTTPS.
  • Un ou plusieurs certificats d’AC.
  • Un certificat client signé par l’AC pour chaque utilisateur qui doit s’authentifier à l’aide de certificats clients.
  1. Avant de téléverser des certificats vers le connecteur AD/LDAP, convertissez les certificats X.509 en Base64. Utilisez Base64 ou Certutil sur Windows Server. Pour en savoir plus, consultez Base64 Decode sur le site Base64decode ou Certutil.exe dans la documentation Microsoft.
  2. Téléversez les certificats SSL et AC vers le connecteur AD/LDAP :
    Écran de configuration de l’authentification du connecteur AD/LDAP avec des certificats clients
  3. Pour tester, générez une AC autosignée et des certificats clients à l’aide de makecert.exe sous Windows, qui fait partie du SDK Windows : 
    SET ClientCertificateName=jon
    SET RootCertificateName=FabrikamRootCA
    "C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\Bin\makecert.exe" -sky exchange -r -n "CN=%RootCertificateName%" -pe -a sha1 -len 2048 -ss My "%RootCertificateName%.cer"
    "C:\Program Files (x86)\Microsoft SDKs\Windows\v7.1A\Bin\makecert.exe" -n "CN=%ClientCertificateName%" -pe -sky exchange -m 96 -ss My -in "%RootCertificateName%" -is my -a sha1
    Il est important que le sujet du certificat client soit au format CN=AD_USERNAME, par exemple CN=jon.
Dans une application, lorsqu’un utilisateur amorce le flux de connexion à l’aide d’une connexion AD/LDAP : 
auth.signin({
       popup: true,
       connection: 'FabrikamAD',
       scope: 'openid name email'
     }, onLoginSuccess, onLoginFailed);
Si l’adresse IP de l’utilisateur se trouve dans la plage d’adresses IP configurée, il sera invité à s’authentifier à l’aide d’un certificat client :
Configurer l’authentification du connecteur AD/LDAP avec des certificats clients : choisir un certificat client
Après avoir choisi le certificat, le connecteur AD/LDAP le validera et l’utilisateur sera connecté :
Configurer l’authentification du connecteur AD/LDAP avec des certificats clients : utilisateur connecté