为了支持将 Kerberos 身份验证用于适用于 iOS 的移动 SSO,Workspace ONE Access 提供了云托管 KDC 服务。
终止提供 (EoA) 用于混合部署的 Workspace ONE Access 云托管 KDC 服务
VMware 宣布终止提供 (End of Availability, EoA) 用于混合部署的 Workspace ONE Access 云托管 KDC 服务(也称为混合 KDC 服务)。EoA 将于 2023 年 12 月 15 日面向所有 Workspace ONE Access 客户生效。
使用云托管 KDC 服务的所有 Workspace ONE Access 内部部署客户都应计划迁移到云中的 Workspace ONE Access,或者为其内部部署 Workspace ONE Access 部署部署内置 KDC 服务。请参阅 为 Workspace ONE Access 使用内置 KDC。即日起至 2023 年 12 月 15 日,Workspace ONE Access 云托管 KDC 服务仍然可用且受支持。
支持期限将于 2023 年 12 月 15 日结束,云托管 KDC 服务将终止提供并终止支持。在此日期之后,用户将无法对云托管 KDC 服务进行身份验证。
在云中托管的 KDC 服务可以在 Workspace ONE Access 云托管部署中使用。
在配置适用于 iOS 的移动 SSO 身份验证时,您可以为云托管 KDC 服务配置领域名称。领域是保留身份验证数据的管理实体的名称。单击保存时,将在云托管 KDC 服务中注册 Workspace ONE Access 服务。将根据适用于 iOS 的移动 SSO 身份验证方法的配置在 KDC 服务中存储相应数据。这些数据包括 CA 证书、OCSP 签名证书和 OCSP 请求配置详细信息。
- 用户配置文件中的 Kerberos 主体名称
- 主体 DN、UPN 和电子邮件 SAN 值
- 用户证书中的设备 ID
- 用户正在访问的 IDM 服务的 FQDN
要使用云托管 KDC 服务,必须按以下方式配置 Workspace ONE Access。
- 必须能够从 Internet 访问 Workspace ONE Access 服务的 FQDN。必须对 Workspace ONE Access 使用的 SSL/TLS 证书进行了公开签名。
如果为 Workspace ONE Access 配置外部防火墙,请创建包含相应 IP 地址或 URL 的允许列表。请参阅向 Workspace ONE Access 服务的外部防火墙添加允许列表 IP 地址。
- 必须能够从该服务访问出站请求/响应端口 88 (UDP) 和端口 443 (HTTPS/TCP)。
- 如果启用 OCSP,必须能够从 Internet 中访问 OCSP 响应者。
