要从 Workspace ONE UEM 管理的 Android 设备中提供单点登录功能,您需要在 VMware Identity Manager 内置身份提供程序中配置适用于 Android 的移动 SSO 身份验证。

前提条件

  • 从对用户提供的证书进行签名的 CA 那里获取根证书和中间证书。
  • 用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
  • 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。
  • (可选)OCSP 响应签名证书文件位置。

过程

  1. VMware Identity Manager 控制台的“身份和访问管理”选项卡中,选择管理 > 身份验证方法
  2. 要启用并配置 CertProxyAuthAdapter,请单击移动 SSO (适用于 Android 设备) 铅笔图标。
    选项 描述
    启用证书适配器 选中此复选框可启用适用于 Android 的移动 SSO。
    根 CA 证书和中间 CA 证书 选择要上载的证书文件。您可以选择多个编码的根 CA 证书和中间 CA 证书。文件格式可以为 PEM 或 DER。
    上载的 CA 证书 此处显示上载的证书文件的内容。
    用户标识符搜索顺序

    选择要在证书中查找用户标识符的搜索顺序。

    • UPN。主体备用名称的 UserPrincipalName 值
    • 电子邮件。主体备用名称中的电子邮件地址。
    • 主体。主体中的 UID 值。
    验证 UPN 格式 启用此复选框,可验证 UserPrincipalName 字段的格式。
    接受的证书策略 创建在证书策略扩展中接受的对象标识符列表。输入证书颁发策略的对象 ID (Object ID, OID) 号。单击添加其他值以添加其他 OID。
    启用证书吊销 选中此复选框可启用证书吊销检查。这可防止已吊销用户证书的用户进行身份验证。
    使用证书中的 CRL 选中此复选框可使用由颁发证书的 CA 所发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态(吊销或未吊销)。
    CRL 位置 输入从中检索 CRL 的服务器文件路径或本地文件路径。
    启用 OCSP 吊销 选中此复选框可使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。
    OCSP 失败时使用 CRL 如果配置 CRL 和 OCSP,您可以选中此框以在 OCSP 检查不可用时改用 CRL。
    发送 OCSP 随机值 如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中此复选框。
    OCSP URL 如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。
    OSCP URL 源 选择要用于吊销检查的源。
    • 仅限配置。使用文本框中提供的 OCSP URL 执行证书吊销检查,以验证整个证书链。
    • 仅限证书 (必需)。使用证书链中每个证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。证书链中的每个证书都必须定义 OCSP URL,否则证书吊销检查会失败。
    • 仅限证书 (可选)。仅使用证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。如果证书 AIA 扩展中不存在 OCSP URL,则不检查吊销。
    • 可回退到配置的证书。当 OCSP URL 可用时,使用从证书链中每个证书的 AIA 扩展中提取的 OCSP URL 执行证书吊销检查。如果 AIA 扩展中没有 OCSP URL,则使用“OCSP URL”文本框中配置的 OCSP URL 检查吊销。“OCSP URL”文本框中必须配置 OCSP 服务器地址。
    OCSP 响应者的签名证书 输入响应者的 OCSP 证书路径。输入时应采用以下格式:/path/to/file.cer
    上载的 OCSP 签名证书 此部分列出了上载的证书文件。
    启用取消链接 如果身份验证所需的时间太长,并且启用了该链接,则用户可以单击“取消”以停止身份验证尝试并取消登录。
    取消消息 创建在身份验证所需的时间太长时显示的自定义消息。如果您不创建自定义消息,则默认消息为:正在尝试验证您的凭据 (Attempting to authenticate your credentials)。
  3. 单击保存
  4. 选择管理 > 身份提供程序,然后单击添加身份提供程序
  5. 选择创建内置 IDP 或选择现有的内置身份提供程序。
    选项 描述
    身份提供程序名称 输入此内置身份提供程序实例的名称。
    用户 此处列出了已配置的目录。选择要进行身份验证的用户目录。
    网络 此处列出了在服务中配置的现有网络范围。在适用于 Android 的移动 SSO 的策略规则中使用的网络范围必须仅包含用于接收来自 VMware Tunnel 代理服务器的请求的 IP 地址。
    身份验证方法 选择移动 SSO (适用于 Android)
    KDC 证书导出 不适用
  6. 单击内置身份提供程序页面上的添加

后续步骤

为适用于 Android 的移动 SSO 配置默认访问策略规则。