为了支持将 Kerberos 身份验证用于适用于 iOS 的移动 SSO,VMware Identity Manager 提供了云托管 KDC 服务。
在 Windows 环境中同时部署 VMware Identity Manager 服务和 Workspace ONE UEM 时,必须使用在云中托管的 KDC 服务。
要使用在 VMware Identity Manager 设备中管理的 KDC,请参阅《VMware Identity Manager 安装和配置指南》中的“准备在 iOS 设备上使用 Kerberos 身份验证”。
在配置适用于 iOS 的移动 SSO 身份验证时,您可以为云托管 KDC 服务配置领域名称。领域是保留身份验证数据的管理实体的名称。单击“保存”时,将在云托管 KDC 服务中注册 VMware Identity Manager 服务。存储在 KDC 服务中的数据基于适用于 iOS 的移动 SSO 身份验证方法配置,其中包括 CA 证书、OCSP 签名证书以及 OCSP 请求配置详细信息。
日志记录存储在云服务中。日志记录中的个人身份信息 (Personally Identifiable Information, PII) 包括用户的配置文件中的 Kerberos 主体名称、主体 DN 和 UPN 以及电子邮件 SAN 值、用户的证书中的设备 ID 以及用户访问的 IDM 服务的 FQDN。
要使用云托管 KDC 服务,必须按以下方式配置 VMware Identity Manager。
- 必须能够从 Internet 访问 VMware Identity Manager 服务的 FQDN。必须对 VMware Identity Manager 使用的 SSL/TLS 证书进行了公开签名。
- 必须能够从 VMware Identity Manager 服务中访问出站请求/响应端口 88 (UDP) 和端口 443 (HTTPS/TCP)。
- 如果启用 OCSP,必须能够从 Internet 中访问 OCSP 响应者。