对于 VMware Workspace ONE™ UEM 管理的 iOS 设备上的适用于 iOS 的移动 SSO 身份验证,您可以使用内置的 KDC。从管理控制台中启用身份验证方法之前,您可以在设备中手动初始化密钥分发中心 (Key Distribution Center, KDC)。

注: 在 Windows 环境中将 VMware Identity Manager 与 Workspace ONE UEM 集成在一起时,请使用 VMware Identity Manager KDC 云托管服务,而不是内置 KDC。要在云中使用 KDC,需要从管理控制台的 iOS 身份验证适配器页面中选择相应的领域名称。请参阅《VMware Identity Manager 管理指南》。

VMware Identity Manager 中初始化 KDC 之前,请确定 KDC 服务器的领域名称,子域是否位于您的部署中,以及是否使用默认 KDC 服务器证书。

领域

领域是保存身份验证数据的管理实体的名称。为 Kerberos 身份验证领域选择一个描述性名称很重要。领域名称必须是企业可以配置的 DNS 域的一部分。

领域名称和用于访问 VMware Identity Manager 服务的完全限定域名 (FQDN) 是不相关的。企业必须从领域名称和 FQDN 两方面对 DNS 域进行控制。通常的做法是使领域名称与 VMware Identity Manager DNS 域名保持一致(以大写字母形式输入)。有时,领域名称和域名不同。例如,领域名称是 EXAMPLE.NET,而 idm.example.comVMware Identity Manager FQDN。在这种情况下,应定义 example.netexample.com 域的 DNS 条目。

领域名称由 Kerberos 客户端用于生成 DNS 名称。例如,如果名称为 EXAMPLE.COM,用于通过 TCP 连接到 KDC 的 Kerberos 相关名称是 _kerberos。_tcp.EXAMPLE.COM

使用子域

在内部部署环境中安装的 VMware Identity Manager 服务可以使用 VMware Identity Manager FQDN 子域。如果您的 VMware Identity Manager 站点访问多个 DNS 域,请按照以下格式配置域:location1.example.com; location2.example.com; location3.example.com。该例中的子域值是以小写字母形式键入的 example.com。要配置环境中的子域,请与服务支持团队协作完成。

使用 KDC 服务器证书

KDC 初始化后,默认会生成 KDC 服务器证书和自签名根证书。该证书用于颁发 KDC 服务器证书。该根证书包含在设备配置文件中,以便设备可以信任 KDC。

您可以使用企业根证书或中间证书手动生成 KDC 服务器证书。有关该功能的更多详细信息,请联系服务支持团队。

请从 VMware Identity Manager 管理控制台中下载 KDC 服务器根证书,以在 iOS 设备管理配置文件的 Workspace ONE UEM 配置中使用。