您可以从管理控制台的“身份验证方法”页面中配置适用于 iOS 的移动 SSO 身份验证方法,然后在内置身份提供程序中选择要使用的移动 SSO(适用于 iOS)身份验证方法。
先决条件
具备用于向 AirWatch 租户中的用户颁发证书的证书颁发机构 PEM 或 DER 文件。
对于吊销检查,具备 OCSP 响应者的签名证书。
对于 KDC 服务选择,具备 KDC 服务的领域名称。如果使用内置 KDC 服务,则应初始化 KDC。有关内置 KDC 的详细信息,请参阅《安装和配置 VMware Identity Manager》。
过程
- 在“身份和访问管理”选项卡中,转到 。
- 单击移动 SSO (适用于 iOS) 配置列中的图标。
- 配置 Kerberos 身份验证方法。
选项
描述
启用 KDC 身份验证
选中此复选框可允许用户使用支持 Kerberos 身份验证的 iOS 设备进行登录。
领域
如果您使用云托管 KDC,请输入为您提供的预定义支持的领域名称。必须以全部大写形式输入该参数中的文本。例如,OP.VMWAREIDENTITY.COM。
如果使用内置 KDC,将显示在初始化 KDC 时配置的领域名称。
根 CA 证书和中间 CA 证书
上载证书颁发机构颁发者证书文件。文件格式可以为 PEM 或 DER。
已上载的 CA 证书主体 DN
此处显示了上载的证书文件的内容。可上载多个文件,且包含的任何证书均会被添加到列表。
启用 OCSP
选中此复选框可使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。
发送 OCSP 随机值
如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中此复选框。
OCSP 响应者的签名证书
上载响应者的 OCSP 证书。
在使用 AirWatch 证书颁发机构时,颁发者证书用作 OCSP 证书。另外在此处上载 AirWatch 证书。
OCSP 响应者的签名证书主体 DN
此处列出上载的 OCSP 证书文件。
启用取消链接
当身份验证所用的时间过长时,允许用户通过单击“取消”来停止身份验证尝试并取消登录。
启用“取消”链接后,出现的身份验证错误消息末尾便会显示取消。
取消消息
创建一条自定义消息,当 Kerberos 身份验证所用的时间过长时显示该消息。如果您不创建自定义消息,则默认消息为:正在尝试验证您的凭据 (
Attempting to authenticate your credentials
)。 - 单击保存。
下一步做什么
在内置身份提供程序中关联移动 SSO(适用于 iOS)身份验证方法。
在“KDC 证书导出”部分中,单击下载证书。将该证书保存至可以从 AirWatch 管理控制台访问的文件中。在 AirWatch 中配置 iOS 设备配置文件时,上载该证书。
为 iOS 设备的 Kerberos 身份验证配置默认访问策略规则。请确保此身份验证方法是在规则中设置的第一种方法。
转到 AirWatch 管理控制台,在 AirWatch 中配置 iOS 设备配置文件,并从 Identity Manager 中添加 KDC 服务器证书颁发者证书。