对于 VMware Workspace ONE™ UEM 管理的 iOS 设备上的适用于 iOS 的移动 SSO 身份验证,您可以使用内置 KDC。从管理控制台中启用身份验证方法之前,您可以在设备中手动初始化密钥分发中心 (Key Distribution Center, KDC)。
在 VMware Identity Manager 中初始化 KDC 之前,请确定 KDC 服务器的领域名称,子域是否位于您的部署中以及是否使用默认 KDC 服务器证书。
领域
领域是保存身份验证数据的管理实体的名称。为 Kerberos 身份验证领域选择一个描述性名称很重要。领域名称必须是企业可以配置的 DNS 域的一部分。
领域名称和用于访问 VMware Identity Manager 服务的完全限定域名 (FQDN) 是不相关的。企业必须从领域名称和 FQDN 两方面对 DNS 域进行控制。通常的做法是领域名称以大写字母形式输入,和域名保持一致。有时,领域名称和域名不同。例如,领域名称是 EXAMPLE.NET,而 idm.example.com 是 VMware Identity Manager FQDN。在这种情况下,应定义 example.net 和 example.com 域的 DNS 条目。
领域名称由 Kerberos 客户端用于生成 DNS 名称。例如,当名称是 example.com 时,用于通过 TCP 连接 KDC 的 Kerberos 相关名称是 _kerberos._tcp.EXAMPLE.COM。
使用子域
在内部部署环境中安装的 VMware Identity Manager 服务可以使用 VMware Identity Manager FQDN 子域。如果您的 VMware Identity Manager 站点访问多个 DNS 域,请按照以下格式配置域:location1.example.com; location2.example.com; location3.example.com。该例中的子域值是以小写字母形式键入的 example.com。要配置环境中的子域,请与服务支持团队协作完成。
使用 KDC 服务器证书
KDC 初始化后,默认会生成 KDC 服务器证书和自签名根证书。该证书用于颁发 KDC 服务器证书。该根证书包含在设备配置文件中,以便设备可以信任 KDC。
您可以使用企业根证书或中间证书手动生成 KDC 服务器证书。有关该功能的更多详细信息,请联系服务支持团队。
请从 VMware Identity Manager 管理控制台中下载 KDC 服务器根证书,以在 iOS 设备管理配置文件的 Workspace ONE UEM 配置中使用。
