O acesso remoto a credenciais permite às organizações armazenar certificados e chaves privadas nos Serviços de Domínio do Active Directory (AD DS), em separado das informações de configuração ou de estado da aplicação.

Modo de funcionamento do acesso itinerante a credenciais

O acesso remoto a credenciais utiliza mecanismos existentes de início de sessão e de inscrição automática para transferir de forma segura certificados e chaves para um computador local sempre que um utilizador iniciar sessão e, se pretendido, remove-os quando o utilizador terminar sessão. Além disso, a integridade destas credenciais é mantida sob quaisquer condições; por exemplo, quando os certificados são actualizados e quando os utilizadores iniciam sessão em mais do que um computador de uma só vez.

Os passos abaixo descrevem o modo de funcionamento do acesso itinerante a credenciais digitais.

  1. Um utilizador inicia sessão num computador cliente ligado a um domínio do Active Directory.

  2. Como parte do processo de início de sessão, a Política de Grupo de acesso remoto a credenciais é aplicada ao computador do utilizador.

  3. Se se trata da primeira vez que utiliza o acesso remoto a credenciais, os certificados no arquivo do utilizador no computador cliente são copiados para o AD DS.

  4. Se o utilizador já tiver certificados no AD DS, os certificados no arquivo de certificados do utilizador no computador cliente são comparados com os certificados armazenados para o utilizador AD DS.

  5. Se os certificados no arquivo de certificados do utilizador forem actuais, não ocorrerá mais nenhuma acção. No entanto, se existirem certificados mais recentes para o utilizador armazenados no AD DS, estas credenciais são copiadas para o computador cliente. Se existirem certificados mais recentes para o utilizador armazenados no computador cliente, estas credenciais serão copiadas para o AD DS.

  6. Se forem necessários certificados adicionais no computador cliente, serão processados pedidos pendentes de inscrição automática de certificados.

    Nota

    Os certificados acabados de emitir são armazenados no arquivo de certificados no computador cliente e replicados para o AD DS.

  7. Quando o utilizador iniciar sessão noutro computador cliente ligado ao domínio, será aplicada a mesma definição de Política de Grupo e as credenciais serão novamente replicadas a partir do AD DS. O acesso remoto a credenciais sincroniza e resolve qualquer conflito entre certificados e chaves privadas de qualquer número de computadores cliente nos quais o utilizador inicie sessão, bem como no AD DS.

    Importante

    Em ambientes de vários domínios e em domínios com vários controladores de domínio, as credenciais poderão não estar disponíveis imediatamente quando um utilizador inicia sessão na rede, utilizando um controlador de domínio pouco tempo depois da emissão de um certificado num computador que valida a identidade do utilizador relativamente a um controlador de domínio diferente. As credenciais só ficarão disponíveis após a replicação entre os dois domínios ou controladores de domínio ter sido concluída.

  8. Quando o certificado do utilizador expira, o certificado antigo é arquivado automaticamente no perfil do utilizador no computador e no AD DS.

O acesso remoto a credenciais é accionado sempre que uma chave privada ou um certificado no arquivo de certificados local do utilizador sofra alterações, sempre que o utilizador bloqueie ou desbloqueie o computador e sempre que a Política de Grupo seja actualizada.

Toda a comunicação relacionada com o certificado que seja efectuada entre componentes no computador local, e entre o computador local e o AD DS é assinada e encriptada.


Sumário