为了支持将 Kerberos 身份验证用于适用于 iOS 的移动 SSO,Workspace ONE Access 提供了云托管 KDC 服务。
在 Windows 环境中同时部署 Workspace ONE Access 服务和 Workspace ONE UEM 时,必须使用在云中托管的 KDC 服务。在云中托管的 KDC 服务也可以在云托管的 Workspace ONE Access 部署中使用。
在配置适用于 iOS 的移动 SSO 身份验证时,您可以为云托管 KDC 服务配置领域名称。领域是保留身份验证数据的管理实体的名称。单击保存时,将在云托管 KDC 服务中注册 Workspace ONE Access 服务。将根据适用于 iOS 的移动 SSO 身份验证方法的配置在 KDC 服务中存储相应数据。这些数据包括 CA 证书、OCSP 签名证书和 OCSP 请求配置详细信息。
日志记录存储在云服务中。日志记录中的个人身份信息 (Personally Identifiable Information, PII) 包括以下内容。
- 用户配置文件中的 Kerberos 主体名称
- 主体 DN、UPN 和电子邮件 SAN 值
- 用户证书中的设备 ID
- 用户正在访问的 IDM 服务的 FQDN
要使用云托管 KDC 服务,必须按以下方式配置 Workspace ONE Access。
- 必须能够从 Internet 访问 Workspace ONE Access 服务的 FQDN。必须对 Workspace ONE Access 使用的 SSL/TLS 证书进行了公开签名。
如果为 Workspace ONE Access 配置外部防火墙,请将相应的 IP 地址或 URL 加入白名单。
- 必须能够从该服务访问出站请求/响应端口 88 (UDP) 和端口 443 (HTTPS/TCP)。
- 如果启用 OCSP,必须能够从 Internet 访问 OCSP 响应者。
