Para fornecer o single sign-on de dispositivos Android gerenciados do Workspace ONE UEM, você pode configurar o SSO móvel para autenticação Android no provedor de identidade integrado do VMware Identity Manager.

Pré-requisitos

  • Obtenha o certificado raiz e os certificados intermediários da CA que assinou os certificados apresentados por seus usuários.

  • Lista de Identificadores de Objeto (OID) das políticas de certificado válidas para a autenticação de certificado.

  • Para a verificação de revogação, a localização do arquivo da CRL e a URL do servidor OCSP.

  • (Opcional) Local do arquivo de certificado de autenticação de resposta do OCSP.

Procedimento

  1. Na guia Gerenciamento de Identidade e Acesso do console do VMware Identity Manager, selecione Gerenciar > Métodos de Autenticação.
  2. Para habilitar e configurar o CertProxyAuthAdapter, clique no ícone de lápis de SSO móvel (para dispositivos Android).

    Opção

    Descrição

    Ative o adaptador de certificado

    Marque essa caixa de seleção para habilitar o SSO móvel para Android.

    Certificados de autoridade de certificação intermediária e raiz

    Selecione os arquivos de certificado a serem carregados. Você pode selecionar vários certificados de autoridade de certificação intermediária e de autoridade de certificação raiz codificados. O formato de arquivo pode ser PEM ou DER.

    Certificados de CA Enviados

    O conteúdo do arquivo de certificado carregado aparece aqui.

    Ordem de Pesquisa do Identificador do Usuário

    Selecione a ordem de pesquisa para localizar o identificador do usuário no certificado.

    • upn. O valor UserPrincipalName do Nome Alternativo da Entidade

    • email. O endereço de e-mail do Nome Alternativo da Entidade.

    • subject. O valor UID da Entidade.

    Validar Formato do UPN

    Habilite essa caixa de seleção para validar o formato do campo UserPrincipalName.

    Diretrizes de Certificado Aceitas

    Crie uma lista de identificadores de objeto que são aceitos nas extensões de políticas de certificado. Digite o número de identificação de objeto (OID) para a política de emissão de certificado. Clique em Adicionar outro valor para adicionar OIDs adicionais.

    Ativar revogação de cert

    Selecione a caixa de seleção para ativar a verificação de revogação de certificado. Isso impede a autenticação de usuários com certificados de usuário revogados.

    Usar CRL dos Certificados

    Marque a caixa de seleção para usar a lista de revogação de certificado (CRL) publicada pela autoridade de certificação que emitiu os certificados para validar o status de um certificado, de revogado ou não revogado.

    Local da CRL

    Digite o caminho do arquivo do servidor ou o caminho do arquivo local a partir do qual recuperar a CRL.

    Ativar a revogação do OCSP

    Marque essa caixa de seleção para usar o protocolo de validação de certificado do Protocolo de status de certificado online (OCSP) para obter o status de revogação de um certificado.

    Usar CRL em caso de falha do OCSP

    Se você configurar a CRL e o OCSP, poderá marcar esta caixa para fazer fallback por meio do uso da CRL se a verificação do OCSP não estiver disponível.

    Enviar nonce do OCSP

    Marque essa caixa de seleção se você desejar que o identificador único da solicitação de OCSP seja enviado na resposta.

    URL do OCSP

    Se você ativou a revogação do OCSP, digite o endereço do servidor do OCSP para a verificação de revogação.

    Origem da URL do OSCP

    Selecione a origem a ser usada para a verificação de revogação.

    • Somente Configuração. Realize a verificação de revogação de certificado usando a URL do OCSP fornecida na caixa de texto para validar toda a cadeia de certificados.

    • Somente Certificado (obrigatório). Realize a verificação de revogação de certificado usando a URL do OCSP que existe na extensão AIA de cada certificado na cadeia. Todos os certificados na cadeia devem ter uma URL do OCSP definida; caso contrário, a verificação de revogação de certificado apresentará falha.

    • Somente Certificado (opcional). Execute somente a verificação de revogação de certificado usando a URL do OCSP que existe na extensão AIA do certificado. Não verifique a revogação se a URL do OCSP não existir na extensão AIA do certificado.

    • Certificado com fallback para a configuração. Realize a verificação de revogação de certificado usando a URL do OCSP extraída da extensão AIA de cada certificado da cadeia, quando a URL do OCSP está disponível. Se a URL do OCSP não estiver na extensão AIA, verifique a revogação usando a URL do OCSP configurada na caixa de texto URL do OCSP. A caixa de texto URL do OCSP deve ser configurada com o endereço do servidor do OCSP.

    Certificado de autenticação do respondente do OCSP

    Digite o caminho para o certificado do OCSP para o respondente. Digite como /path/to/file.cer

    Certificados de Autenticação OCSP Carregados

    Os arquivos de certificado carregados são listados nesta seção.

    Habilitar Link de Cancelamento

    Quando a autenticação estiver demorando muito, se este link estiver ativado, os usuários poderão clicar em Cancelar para interromper a tentativa de autenticação e cancelar o login.

    Mensagem de Cancelamento

    Crie uma mensagem personalizada que aparece quando a autenticação está demorando muito. Se você não criar uma mensagem personalizada, a mensagem padrão é Attempting to authenticate your credentials.

  3. Clique em Salvar.
  4. Selecione Gerenciar > Provedores de Identidade e clique em Adicionar Provedor de Identidade.
  5. Selecione Criar IDP Integrado ou escolha um provedor de identidade integrado existente.

    Opção

    Descrição

    Nome do provedor de identidade

    Insira um nome para esta instância do provedor de identidade integrado.

    Usuários

    Os diretórios configurados são listados. Selecione o diretório de Usuário para autenticação.

    Rede

    Os intervalos de rede existente configurados no serviço são listados. O intervalo de rede que você usa na regra de políticas para SSO móvel para Android deve consistir apenas nos endereços IP usados para receber as solicitações provenientes do servidor proxy do VMware Tunnel.

    Métodos de autenticação

    Selecione SSO móvel (para Android).

    Exportação de Certificado KDC

    N/D

  6. Clique em Adicionar na página do provedor de identidade integrado.

O que Fazer Depois

Configure a regra de política de acesso padrão para o SSO móvel para o Android.