需依次完成五步配置:一、安装Aperture组件;二、注册DLL并配置注册表CLSID;三、通过组策略启用该提供程序;四、配置config.json中的API地址、租户ID和密钥;五、重启Winlogon服务并验证事件日志加载成功。
如果您希望在Windows Server上启用Aperture Credential Provider以实现双因素认证,则需要正确安装、注册并配置该凭证提供程序,使其能够与Windows登录流程集成。以下是完成此配置的具体步骤:
一、安装Aperture Credential Provider组件
该步骤确保系统具备运行Aperture Credential Provider所需的运行时依赖和核心模块。未安装对应组件将导致后续注册失败或登录时无法加载提供程序。
1、以管理员身份运行PowerShell。
2、执行命令下载并解压Aperture官方提供的Windows Server兼容安装包(例如:aperture-cp-win-server-x64.zip)到C:\ApertureCP\目录。
3、进入解压目录,运行install.ps1脚本:.\install.ps1 -InstallPath "C:\ApertureCP"。
4、确认脚本输出中包含“Installation completed successfully”提示信息。
二、注册Credential Provider为COM对象
Windows登录界面通过COM接口调用Credential Provider,因此必须将其正确注册到系统注册表并标记为支持交互式登录。
1、在PowerShell中执行命令注册DLL:regsvr32 "C:\ApertureCP\ApertureCredentialProvider.dll"。
2、使用regedit打开注册表编辑器,导航至HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Credential Providers。
3、在Credential Providers项下新建子项,命名为{A1B2C3D4-E5F6-7890-G1H2-I3J4K5L6M7N8}(该GUID需与Aperture文档中指定的CLSID一致)。
4、在新建项中创建字符串值“Class”,其数据设为Aperture.CredentialProvider。
三、配置组策略启用自定义凭证提供程序
默认情况下,Windows Server禁用第三方Credential Provider。需通过本地组策略明确允许其参与登录流程。
1、运行gpedit.msc启动本地组策略编辑器。
2、导航至计算机配置 → 管理模板 → 系统 → 登录 → “允许Credential Providers”。
3、双击该项,选择“已启用”,并在下方文本框中输入{A1B2C3D4-E5F6-7890-G1H2-I3J4K5L6M7N8}。
4、点击“确定”,然后执行gpupdate /force刷新策略。
四、配置Aperture服务端连接参数
Credential Provider需与Aperture后端服务通信以验证第二因素,因此必须配置有效的API端点、租户ID及客户端密钥。
1、编辑C:\ApertureCP\config.json文件。
2、设置"api_url"字段为Aperture管理控制台中显示的HTTPS地址,例如:"https://auth.yourdomain.com/v1"。
3、填入"tenant_id"字段,值为Aperture控制台中“Settings → Tenant”页显示的十六进制字符串ID。
4、在"client_secret"字段中粘贴从Aperture控制台“Applications → Default Client”复制的Base64编码密钥。
五、重启Winlogon服务并验证加载状态
修改注册表和策略后,必须重启登录管理服务以使新Credential Provider生效,并可通过事件日志确认是否成功加载。
1、在PowerShell中执行:Stop-Service winlogon -Force。
2、等待约5秒后执行:Start-Service winlogon。
3、查看Windows事件查看器 → Windows日志 → System,筛选来源为“Winlogon”,查找含“ApertureCredentialProvider”的信息级事件。
4、若出现事件ID 500且描述为“Loaded credential provider {A1B2C3D4-E5F6-7890-G1H2-I3J4K5L6M7N8}”,则表示加载成功。
