Я использую IIS 8.0 на Windows Server 2012. Это не подключенный к домену компьютер, поэтому Active Directory мне недоступен.
Я успешно настроил проверку подлинности сертификата. При доступе к веб-сайту пользователю предоставляется список сертификатов на выбор, а в списке доверенных сертификатов (CTL) на сервере есть те промежуточные и корневые центры сертификации, которым он доверяет.
У меня вопрос: как ограничить успешную аутентификацию только определенных пользователей? Например, если у нас есть сертификаты пяти пользователей, выпущенные одним и тем же центром сертификации, но я все равно хочу ограничить доступ к сайту только трем из пяти человек. Это может быть список доступа на основе любого уникального идентификатора, находящегося в сертификатах X.509 (например, электронная почта, идентификатор ключа, отпечаток).
Я не уверен, как добиться такого поведения. Я нашел это, но не уверен, что это правильный путь вниз ...: http://www.iis.net/configreference/system.webserver/security/authentication/iisclientcertificatemappingauthentication
Может кто-то указать мне верное направление?
Вы думаете об этом не в том направлении. Аутентификация сертификата - это замена или улучшение аутентификации по имени пользователя / паролю или AD. Когда пользователь подключается к вашему сайту и представляет сертификат, он входит в систему как пользователь, которому сопоставлен сертификат.
Итак, если у вас есть 3 пользователя, которых вы хотите использовать на своем сайте, либо ваше веб-приложение должно принять решение (точно так же, как если бы оно использовало аутентификацию по имени пользователя и паролю), либо вы можете создать группу AD и поместить 3 людей в нем и установите безопасность для папки, чтобы разрешить только эту группу.