要从 AirWatch 管理的 Android 设备中提供单点登录功能,您需要在 VMware Identity Manager 内置身份提供程序中配置适用于 Android 的移动 SSO 身份验证。

关于此任务

有关配置证书身份验证方法的信息,请参阅配置用于 VMware Identity Manager 的证书或智能卡适配器

先决条件

  • 从对用户提供的证书进行签名的 CA 那里获取根证书和中间证书。

  • (可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。

  • 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。

  • (可选)OCSP 响应签名证书文件位置。

过程

  1. 在管理控制台的“身份和访问管理”选项卡中,选择管理 > 身份提供程序
  2. 单击标记为内置的身份提供程序。
  3. 确认内置身份提供程序中的用户和网络配置正确无误。

    如果不正确,请根据需要编辑“用户”和“网络”部分。

  4. 在“身份验证方法”部分中,单击移动 SSO (适用于 Android 设备) 齿轮图标。
  5. 在“CertProxyAuthAdapter”页面中,配置身份验证方法。

    选项

    描述

    启用证书适配器

    选中此复选框可启用适用于 Android 的移动 SSO。

    根 CA 证书和中间 CA 证书

    选择要上载的证书文件。您可以选择多个编码的根 CA 证书和中间 CA 证书。文件格式可以为 PEM 或 DER。

    已上载的 CA 证书主体 DN

    此处显示上载的证书文件的内容。

    证书中没有 UPN 时使用电子邮件

    如果用户主体名称 (User Principal Name, UPN) 在证书中不存在,选中此复选框可将 emailAddress 属性作为主体备用名称扩展以验证用户帐户。

    接受的证书策略

    创建在证书策略扩展中接受的对象标识符列表。输入证书颁发策略的对象 ID (Object ID, OID) 号。单击添加其他值以添加其他 OID。

    启用证书吊销

    选中此复选框可启用证书吊销检查。这可防止已吊销用户证书的用户进行身份验证。

    使用证书中的 CRL

    选中此复选框可使用由颁发证书的 CA 所发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态(吊销或未吊销)。

    CRL 位置

    输入从中检索 CRL 的服务器文件路径或本地文件路径。

    启用 OCSP 吊销

    选中此复选框可使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。

    OCSP 失败时使用 CRL

    如果同时配置了 CRL 和 OCSP,选中此复选框可在 OCSAP 检查不可用时改用 CRL。

    发送 OCSP 随机值

    如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中此复选框。

    OCSP URL

    如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。

    OCSP 响应者的签名证书

    输入响应者的 OCSP 证书路径。输入时应采用以下格式:/path/to/file.cer

  6. 单击保存
  7. 在内置身份提供程序页面单击保存

下一步做什么

为适用于 Android 的移动 SSO 配置默认访问策略规则。请参阅管理要应用于用户的身份验证方法

注:

在适用于 Android 的移动 SSO 的策略规则中使用的网络范围应仅包含用于接收来自 AirWatch Tunnel 代理服务器的请求的 IP 地址。