要从 AirWatch 管理的 Android 设备中提供单点登录功能,您需要在 VMware Identity Manager 内置身份提供程序中配置适用于 Android 的移动 SSO 身份验证。
前提条件
- 从对用户提供的证书进行签名的 CA 那里获取根证书和中间证书。
- (可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
- 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。
- (可选)OCSP 响应签名证书文件位置。
过程
- 在管理控制台的“身份和访问管理”选项卡中,选择。
- 单击标记为内置的身份提供程序。
- 确认内置身份提供程序中的用户和网络配置正确无误。
如果不正确,请根据需要编辑“用户”和“网络”部分。
注: 在适用于 Android 的移动 SSO 的策略规则中使用的网络范围应仅包含用于接收来自 VMware Tunnel 代理服务器的请求的 IP 地址。
- 在“身份验证方法”部分中,单击移动 SSO (适用于 Android 设备) 齿轮图标。
- 在“CertProxyAuthAdapter”页面中,配置身份验证方法。
| 选项 |
描述 |
| 启用证书适配器 |
选中此复选框可启用适用于 Android 的移动 SSO。 |
| 根 CA 证书和中间 CA 证书 |
选择要上载的证书文件。您可以选择多个编码的根 CA 证书和中间 CA 证书。文件格式可以为 PEM 或 DER。 |
| 已上载的 CA 证书主体 DN |
此处显示上载的证书文件的内容。 |
| 证书中没有 UPN 时使用电子邮件 |
如果用户主体名称 (User Principal Name, UPN) 在证书中不存在,选中此复选框可将 emailAddress 属性作为主体备用名称扩展以验证用户帐户。 |
| 接受的证书策略 |
创建在证书策略扩展中接受的对象标识符列表。输入证书颁发策略的对象 ID (Object ID, OID) 号。单击添加其他值以添加其他 OID。 |
| 启用证书吊销 |
选中此复选框可启用证书吊销检查。这可防止已吊销用户证书的用户进行身份验证。 |
| 使用证书中的 CRL |
选中此复选框可使用由颁发证书的 CA 所发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态(吊销或未吊销)。 |
| CRL 位置 |
输入从中检索 CRL 的服务器文件路径或本地文件路径。 |
| 启用 OCSP 吊销 |
选中此复选框可使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。 |
| OCSP 失败时使用 CRL |
如果配置 CRL 和 OCSP,您可以选中该框以在 OCSAP 检查不可用时改用 CRL。 |
| 发送 OCSP 随机值 |
如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中此复选框。 |
| OCSP URL |
如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。 |
| OCSP 响应者的签名证书 |
输入响应者的 OCSP 证书路径。输入时应采用以下格式:/path/to/file.cer |
| 启用取消链接 |
如果身份验证所需的时间太长,并且启用了该链接,则用户可以单击“取消”以停止身份验证尝试并取消登录。 |
| 取消消息 |
创建在身份验证所需的时间太长时显示的自定义消息。如果您不创建自定义消息,则默认消息为:正在尝试验证您的凭据 (Attempting to authenticate your credentials)。 |
- 单击保存。
- 在内置身份提供程序页面单击保存。
后续步骤
为适用于 Android 的移动 SSO 配置默认访问策略规则。
