Para a autenticação SSO móvel para iOS em dispositivos iOS gerenciados pelo VMware Workspace ONE™ UEM, você pode usar o KDC integrado. Você inicializa manualmente o Centro de Distribuição de Chave (KDC) no appliance antes de habilitar o método de autenticação a partir do console de administração.

Observação: Quando você integrar o VMware Identity Manager ao Workspace ONE UEM em um ambiente do Windows, use o serviço hospedado na nuvem do KDC do VMware Identity Manager, não o KDC integrado. O uso do KDC na nuvem requer a seleção do nome de território apropriado na página do adaptador de autenticação do iOS a partir do console de administração. Veja o Guia de Administração do VMware Identity Manager.

Antes de inicializar o KDC no VMware Identity Manager, determine o nome do território para o servidor do KDC; se os subdomínios estão na sua implantação e se deseja usar o certificado do servidor do KDC padrão ou não.

Território

O território é o nome de uma entidade administrativa que mantém os dados de autenticação. É importante selecionar um nome descritivo para o território de autenticação Kerberos. O nome do território deve ser parte de um domínio DNS que a empresa pode configurar.

O nome do território e o nome de domínio totalmente qualificado (FQDN) que são usados para acessar o serviço do VMware Identity Manager são independentes. Sua empresa deve controlar os domínios DNS do nome do território e do FQDN. A convenção é fazer com que o nome do território seja o mesmo que o seu nome de domínio DNS do VMware Identity Manager, inserido em letras maiúsculas. Às vezes o nome do território e de domínio são diferentes. Por exemplo, um nome de território é EXEMPLO.NET, e idm.exemplo.com é o FQDN do VMware Identity Manager. Nesse caso, você pode definir as entradas DNS de ambos os domínios exemplo.net e exemplo.com.

O nome do território é usado por um cliente Kerberos para gerar nomes DNS. Por exemplo, quando o nome é EXEMPLO.COM, o nome relacionado do Kerberos para entrar em contato com o KDC por TCP é _kerberos._tcp.EXEMPLO.COM.

Usando subdomínios

O serviço do VMware Identity Manager instalado em um ambiente local pode usar o subdomínio do FQDN do VMware Identity Manager. Caso seu site do VMware Identity Manager acesse vários domínios DNS, configure os domínios como local1.exemplo.com; local2.exemplo.com; local3.exemplo.com. O do valor subdomínio nesse caso é exemplo.com, digitado em letras minúsculas. Para configurar um subdomínio no seu ambiente, trabalhe com a sua equipe de suporte ao serviço.

Usando certificados de servidor KDC

Quando o KDC é inicializado, por padrão, um certificado de servidor KDC e um certificado raiz autoassinado são gerados. O certificado é usado para emitir o certificado de servidor KDC. Esse certificado raiz é incluído no perfil do dispositivo de modo a que o dispositivo possa confiar no KDC.

Você pode gerar manualmente o certificado do servidor KDC usando um certificado raiz ou intermediário da empresa. Entre em contato com sua equipe de suporte ao serviço para obter mais detalhes sobre esse recurso.

Baixe o certificado raiz do servidor do KDC no console de administração do VMware Identity Manager a ser usado na configuração do Workspace ONE UEM do perfil de gerenciamento de dispositivos iOS.