要从 Workspace ONE UEM 管理的 Android 设备中提供单点登录功能,您需要在 Workspace ONE Access 内置身份提供程序中配置适用于 Android 的移动 SSO 身份验证。
适用于 Android 的移动单点登录 (Single Sign-On, SSO) 是为 VMware Workspace ONE® UEM 管理的 Android 设备实施的证书身份验证方法。利用移动单点登录,用户可以登录到他们的设备并通过 Workspace ONE Intelligent Hub 应用安全地访问其应用程序,而无需重新输入密码。
有关安装和配置说明,请参阅为 Workspace ONE UEM 管理的 Android 设备实施移动单点登录身份验证指南。
前提条件
- 从对用户提供的证书进行签名的 CA 那里获取根证书和中间证书。
- 制作用于证书身份验证的有效证书策略的对象标识符 (OID) 列表。
- 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。
- (可选)OCSP 响应签名证书文件位置。
过程
- 在 Workspace ONE Access 控制台中,转到 页面,然后选择移动 SSO(适用于 Android)。
- 单击移动 SSO(适用于 Android)并配置适用于 Android 的移动 SSO 身份验证设置。
选项 描述 启用证书适配器 选中此复选框可启用适用于 Android 的移动 SSO。 根 CA 证书和中间 CA 证书 选择要上载的证书文件。您可以选择多个编码的根 CA 证书和中间 CA 证书。文件格式可以为 PEM 或 DER。 上载的 CA 证书 此处显示上载的证书文件的内容。 用户标识符搜索顺序 选择用于在证书中查找用户标识符的搜索顺序。
- UPN。主体备用名称的 UserPrincipalName 值
- 电子邮件。主体备用名称中的电子邮件地址。
- 主体。主体中的 UID 值。
重要说明: 对于适用于 Android 的移动 SSO 身份验证,标识符属性的值在 Workspace ONE Access 和 Workspace ONE UEM 服务上必须相同。否则,Android SSO 将失败。注:- 如果使用 Workspace ONE UEM CA 来生成 Tunnel 客户端证书,则用户标识符搜索顺序必须为 UPN | 主体。
-
如果使用第三方企业 CA,则用户标识符搜索顺序必须为 UPN | 电子邮件 | 主体,并且证书模板必须包含主体名称 CN={DeviceUid}:{EnrollmentUser}。请确保包含冒号 (:)。
验证 UPN 格式 启用此复选框,可验证 UserPrincipalName 字段的格式。 接受的证书策略 创建在证书策略扩展中接受的对象标识符列表。输入证书颁发策略的对象 ID (Object ID, OID) 号。单击添加其他值以添加其他 OID。 启用证书吊销 选中此复选框可启用证书吊销检查。证书吊销可防止已吊销用户证书的用户进行身份验证。 使用证书中的 CRL 选中此复选框可使用由颁发证书的 CA 所发布的证书吊销列表 (Certificate Revocation List, CRL) 验证证书的状态(吊销或未吊销)。 CRL 位置 输入从中检索 CRL 的服务器文件路径或本地文件路径。 启用 OCSP 吊销 选中此复选框可使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态。 OCSP 失败时使用 CRL 如果配置 CRL 和 OCSP,您可以选中此框以在 OCSP 检查不可用时改用 CRL。 发送 OCSP 随机值 如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中此复选框。 OCSP URL 如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。 OCSP URL 源 选择要用于吊销检查的源。 - 仅限配置。使用文本框中提供的 OCSP URL 执行证书吊销检查,以验证整个证书链。
- 仅限证书 (必需)。使用证书链中每个证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。证书链中的每个证书都必须定义 OCSP URL,否则证书吊销检查会失败。
- 仅限证书 (可选)。仅使用证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。如果证书 AIA 扩展中不存在 OCSP URL,则不检查吊销。
- 可回退到配置的证书。当 OCSP URL 可用时,使用从证书链中每个证书的 AIA 扩展中提取的 OCSP URL 执行证书吊销检查。如果 AIA 扩展中没有 OCSP URL,则使用“OCSP URL”文本框中配置的 OCSP URL 检查吊销。“OCSP URL”文本框中必须配置 OCSP 服务器地址。
OCSP 响应者的签名证书 输入响应者的 OCSP 证书路径。输入时应采用以下格式: /path/to/file.cer
上载的 OCSP 签名证书 此部分列出了上载的证书文件。 启用取消链接 如果身份验证所需的时间太长,并且启用了该链接,则用户可以单击“取消”以停止身份验证尝试并取消登录。 取消消息 创建在身份验证所需的时间太长时显示的自定义消息。如果您不创建自定义消息,则默认消息为:正在尝试验证您的凭据 ( Attempting to authenticate your credentials
)。 - 单击保存。
下一步做什么
在内置身份提供程序中关联移动 SSO(适用于 Android)身份验证方法。
为移动 SSO(适用于 Android)配置默认访问策略规则。