在 Workspace ONE Access Connector 上安装 Kerberos 身份验证服务后,您可以从 Workspace ONE Access 控制台启用并配置 Kerberos 身份验证方法。然后,添加 Workspace IDP 身份提供程序,并在身份提供程序中关联 Kerberos 身份验证方法。
前提条件
必须在 Workspace ONE Access Connector 中正确配置 Kerberos 身份验证服务。正确的配置包括以下内容。
- 安装了 Kerberos 身份验证服务的 Windows 计算机必须加入域。
- 在安装 Kerberos 身份验证服务期间,指定了用于运行服务的域用户帐户。此域用户属于安装了该服务的 Windows 计算机上的管理员组。
- 已上载由公用或内部 CA 签名的可信 SSL 证书。如果您部署了多个 Kerberos 身份验证服务实例以实现高可用性,则将由公用或内部 CA 签名的可信 SSL 证书上载到每个连接器。
- Kerberos 身份验证服务需要在端口 TCP 443 上建立到连接器的入站连接。
- 要为 Kerberos 身份验证设置高可用性,需要使用负载均衡器。负载均衡必须具有由公用或内部 CA 签名的可信 SSL 证书。有关配置信息,请参阅《安装 Workspace ONE Access Connector》指南。
过程
下一步做什么
在“身份提供程序”页面中,将 Workspace IDP 身份提供程序和关联的 Kerberos 身份验证方法添加到身份提供程序。请参阅在 Workspace ONE Access 中使用 Kerberos 身份验证配置 Workspace 身份提供程序实例。
在“资源”>“策略”页面中将身份验证方法添加到默认访问策略,然后编辑默认策略规则,以便将 Kerberos 身份验证方法按照正确的身份验证顺序添加到规则中,并将密码身份验证方法(云)配置为回退身份验证方法。请参阅在 Workspace ONE Access 服务中管理访问策略。
如果配置了高可用性,则在每个连接器上为 Kerberos 身份验证服务配置 Kerberos 身份验证方法。