您可以从管理控制台的“身份验证方法”页中配置适用于 iOS 的移动 SSO 身份验证方法,然后在内置身份提供程序中选择要使用的移动 SSO(适用于 iOS)身份验证方法。
前提条件
- 具备用于向 AirWatch 租户中的用户颁发证书的证书颁发机构 PEM 或 DER 文件。
- 对于吊销检查,具备 OCSP 响应者的签名证书。
- 对于 KDC 服务选择,具备 KDC 服务的领域名称。如果使用内置 KDC 服务,则应初始化 KDC。有关内置 KDC 的详细信息,请参阅《安装和配置 VMware Identity Manager》。
过程
- 在“身份和访问管理”选项卡中,转到 。
- 单击移动 SSO (适用于 iOS) 配置列中的图标。
- 配置 Kerberos 身份验证方法。
选项 描述 启用 KDC 身份验证 选中此复选框可允许用户使用支持 Kerberos 身份验证的 iOS 设备进行登录。 领域 如果您使用云托管 KDC,请输入为您提供的预定义支持的领域名称。必须以全部大写形式输入该参数中的文本。例如,OP.VMWAREIDENTITY.COM。
如果使用内置 KDC,将显示在初始化 KDC 时配置的领域名称。
根 CA 证书和中间 CA 证书 上载证书颁发机构颁发者证书文件。文件格式可以为 PEM 或 DER。 已上载的 CA 证书主体 DN 此处显示了上载的证书文件的内容。可上载多个文件,且包含的任何证书均会被添加到列表。 启用 OCSP 选中此复选框可使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。 发送 OCSP 随机值 如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中此复选框。 OCSP 响应者的签名证书 上载响应者的 OCSP 证书。 在使用 AirWatch 证书颁发机构时,颁发者证书用作 OCSP 证书。另外在此处上载 AirWatch 证书。
OCSP 响应者的签名证书主体 DN 此处列出上载的 OCSP 证书文件。 取消消息 创建在身份验证所需的时间太长时显示的自定义登录消息。如果您不创建自定义消息,则默认消息为:正在尝试验证您的凭据 ( Attempting to authenticate your credentials
)。启用取消链接 如果身份验证所需的时间太长,则用户可以单击“取消”以停止身份验证尝试并取消登录。 如果启用了“取消”链接,将在显示的身份验证错误消息末尾显示“取消”。
企业设备管理服务器 URL 输入在以下情况下将用户重定向到的移动设备管理 (Mobile Device Management, MDM) 服务器 URL:由于未在 AirWatch 中注册设备以进行 MDM 管理而被拒绝访问。将在身份验证失败错误消息中显示该 URL。如果未在此处输入 URL,将显示常规“访问被拒绝”消息。 - 单击保存。
后续步骤
-
在内置身份提供程序中关联移动 SSO(适用于 iOS)身份验证方法。
- 为 iOS 设备的 Kerberos 身份验证配置默认访问策略规则。请确保此身份验证方法是在规则中设置的第一种方法。
- 转到 AirWatch 管理控制台,在 AirWatch 中配置 iOS 设备配置文件,并从 VMware Identity Manager 中添加 KDC 服务器证书颁发者证书。