Med centrala autentiseringsuppgifter kan företag lagra certifikat och privata nycklar i AD DS (Active Directory Domain Services), skilt från information om användningsstatus och konfiguration.
Så fungerar centrala autentiseringsuppgifter
Med centrala autentiseringsuppgifter används befintliga mekanismer för inloggning och automatisk registrering för att med hög säkerhet hämta certifikat och nycklar till en lokal dator när användaren loggar in, och vid behov ta bort dem när användaren loggar ut. Integriteten hos autentiseringsuppgifterna bibehålls under alla omständigheter, till exempel när certifikaten uppdateras och när användaren loggar in på flera datorer samtidigt.
Följande steg beskriver hur centrala autentiseringsuppgifter fungerar.
-
Användaren loggar in på en klientdator som är ansluten till en Active Directory-domän.
-
Grupprincipen för centrala autentiseringsuppgifter används på användarens dator, som en del av inloggningen.
-
När centrala autentiseringsuppgifter används första gången, kopieras certifikaten i användarens arkiv på klientdatorn till AD DS.
-
Om användaren redan har certifikat i AD DS, jämförs certifikaten i användarens certifikatarkiv på klientdatorn med certifikaten som har lagrats i AD DS.
-
Om certifikaten i användarens certifikatarkiv är aktuella sker ingen ytterligare åtgärd. Om AD DS innehåller nyare certifikat för användaren, kopieras denna information till klientdatorn. Om klientdatorn innehåller nyare certifikat för användaren, kopieras denna information till AD DS.
-
Om det behövs fler certifikat på klientdatorn, bearbetas automatiskt registrerade begäranden om dessa certifikat.
OBS Nyligen utfärdade certifikat lagras i certifikatarkivet på klientdatorn och replikeras till AD DS.
-
När användaren vid ett senare tillfälle loggar in på en annan klientdator som är ansluten till domänen, används samma inställning för grupprincipen och autentiseringsuppgifterna replikeras åter från AD DS. Med centrala autentiseringsuppgifter synkroniseras och åtgärdas eventuella konflikter mellan certifikat och privata nycklar från alla klientdatorer som användaren loggar in på samt i AD DS.
Viktigt! I miljöer med flera domäner och domäner med flera domänkontrollanter, kan det hända att autentiseringsuppgifterna inte blir tillgängliga omedelbart när användaren loggar in i nätverket via en domänkontrollant efter att nyss ha fått ett certifikat på en dator som kontrollerar användarens identitet mot en annan domänkontrollant. Autentiseringsuppgifterna blir tillgängliga först när replikeringen är klar mellan de båda domänerna eller domänkontrollanterna.
-
När användarens certifikat förfaller arkiveras det gamla certifikatet automatiskt i användarens profil på datorn och i AD DS.
Funktionen för centrala autentiseringsuppgifter aktiveras så fort en privat nyckel eller ett certifikat i användarens lokala certifikatarkiv ändras, så fort användaren låser eller låser upp datorn och så fort grupprincipen uppdateras.
All certifikatrelaterad kommunikation mellan komponenter på den lokala datorn och mellan den lokala datorn och AD DS, signeras och krypteras.