Para fornecer o single sign-on de dispositivos Android gerenciados do Workspace ONE UEM, você pode configurar o SSO móvel para autenticação Android no provedor de identidade integrado do Workspace ONE Access.

O Single Sign-On (SSO) Móvel para Android é uma implementação do método de autenticação de certificados para dispositivos Android gerenciados pelo VMware Workspace ONE® UEM. Com o Single Sign-On móvel, os usuários podem entrar no seu dispositivo e acessar com segurança seus aplicativos por meio do aplicativo Workspace ONE Intelligent Hub sem precisar reinserir uma senha.

Consulte o guia Implementação de autenticação de Single Sign-On Móvel para dispositivos Android gerenciados pelo Workspace ONE UEM para obter instruções de instalação e configuração.

Pré-requisitos

  • Obtenha o certificado raiz e os certificados intermediários da CA que assinou os certificados apresentados por seus usuários.
  • Faça uma lista dos Identificadores de Objeto (OIDs) das políticas de certificado válidas para autenticação por certificado.
  • Para a verificação de revogação, a localização do arquivo da CRL e a URL do servidor OCSP.
  • (Opcional) Local do arquivo de certificado de autenticação de resposta do OCSP.

Procedimento

  1. No console do Workspace ONE Access, acesse a página Integrações > Métodos de Autenticação e selecione SSO Móvel (para Android).
  2. Clique em SSO Móvel (para Android) e defina as configurações de autenticação de SSO Móvel para Android.
    Opção Descrição
    Ative o adaptador de certificado Marque essa caixa de seleção para habilitar o SSO móvel para Android.
    Certificados de autoridade de certificação intermediária e raiz Selecione os arquivos de certificado a serem carregados. Você pode selecionar vários certificados de autoridade de certificação intermediária e de autoridade de certificação raiz codificados. O formato de arquivo pode ser PEM ou DER.
    Certificados de CA Enviados O conteúdo do arquivo de certificado carregado aparece aqui.
    Ordem de Pesquisa do Identificador do Usuário

    Selecione a ordem de pesquisa usada para localizar o identificador do usuário no certificado.

    • upn. O valor UserPrincipalName do Nome Alternativo da Entidade
    • email. O endereço de e-mail do Nome Alternativo da Entidade.
    • subject. O valor UID da Entidade.
    Importante: Para a autenticação SSO Móvel para Android, o valor do atributo de identificador deve ser o mesmo valor nos serviços do Workspace ONE Access e Workspace ONE UEM. Caso contrário, o SSO do Android falhará.
    Observação:
    • Se uma autoridade de certificação do Workspace ONE UEM for usada para a geração de certificado de cliente do Tunnel, a Ordem de Pesquisa do Identificador do Usuário deverá ser UPN | Assunto.
    • Se uma autoridade de certificação empresarial de terceiros for usada, a Ordem de pesquisa do identificador de usuário deverá ser UPN | E-mail | Assunto e o modelo de certificado deve conter o nome da entidade CN={DeviceUid}:{EnrollmentUser}. Certifique-se de incluir os dois pontos (:).

    Validar Formato do UPN Habilite essa caixa de seleção para validar o formato do campo UserPrincipalName.
    Diretrizes de Certificado Aceitas Crie uma lista de identificadores de objeto que são aceitos nas extensões de políticas de certificado. Digite o número de identificação de objeto (OID) para a política de emissão de certificado. Clique em Adicionar outro valor para adicionar OIDs adicionais.
    Ativar revogação de cert Selecione a caixa de seleção para ativar a verificação de revogação de certificado. A revogação de certificado impede a autenticação de usuários com certificados de usuário revogados.
    Usar CRL dos Certificados Marque a caixa de seleção para usar a lista de revogação de certificado (CRL) publicada pela autoridade de certificação que emitiu os certificados para validar o status de um certificado, de revogado ou não revogado.
    Local da CRL Digite o caminho do arquivo do servidor ou o caminho do arquivo local a partir do qual recuperar a CRL.
    Ativar a revogação do OCSP Marque essa caixa de seleção para usar o protocolo de validação de certificado do Protocolo de status de certificado online (OCSP) para obter o status de revogação de um certificado.
    Usar CRL em caso de falha do OCSP Se você configurar a CRL e o OCSP, poderá marcar esta caixa para fazer fallback por meio do uso da CRL se a verificação do OCSP não estiver disponível.
    Enviar nonce do OCSP Marque essa caixa de seleção se você desejar que o identificador único da solicitação de OCSP seja enviado na resposta.
    URL do OCSP Se você ativou a revogação do OCSP, digite o endereço do servidor do OCSP para a verificação de revogação.
    Fonte da URL OCSP Selecione a origem a ser usada para a verificação de revogação.
    • Somente Configuração. Realize a verificação de revogação de certificado usando a URL do OCSP fornecida na caixa de texto para validar toda a cadeia de certificados.
    • Somente Certificado (obrigatório). Realize a verificação de revogação de certificado usando a URL do OCSP que existe na extensão AIA de cada certificado na cadeia. Todos os certificados na cadeia devem ter uma URL do OCSP definida; caso contrário, a verificação de revogação de certificado apresentará falha.
    • Somente Certificado (opcional). Execute somente a verificação de revogação de certificado usando a URL do OCSP que existe na extensão AIA do certificado. Não verifique a revogação se a URL do OCSP não existir na extensão AIA do certificado.
    • Certificado com fallback para a configuração. Realize a verificação de revogação de certificado usando a URL do OCSP extraída da extensão AIA de cada certificado da cadeia, quando a URL do OCSP está disponível. Se a URL do OCSP não estiver na extensão AIA, verifique a revogação usando a URL do OCSP configurada na caixa de texto URL do OCSP. A caixa de texto URL do OCSP deve ser configurada com o endereço do servidor do OCSP.
    Certificado de autenticação do respondente do OCSP Digite o caminho para o certificado do OCSP para o respondente. Digite como /path/to/file.cer
    Certificados de Autenticação OCSP Carregados Os arquivos de certificado carregados são listados nesta seção.
    Habilitar Link de Cancelamento Quando a autenticação estiver demorando muito, se este link estiver ativado, os usuários poderão clicar em Cancelar para interromper a tentativa de autenticação e cancelar o login.
    Mensagem de Cancelamento Crie uma mensagem personalizada que aparece quando a autenticação está demorando muito. Se você não criar uma mensagem personalizada, a mensagem padrão é Attempting to authenticate your credentials.
  3. Clique em Salvar.

O que Fazer Depois

Associe o método de autenticação de SSO móvel (para Android) no provedor de identidade integrado.

Configure a regra de política de acesso padrão para o SSO móvel (para Android).