Workspace ONE Access Connector 上安装 Kerberos 身份验证服务后,您可以从 Workspace ONE Access 控制台启用并配置 Kerberos 身份验证方法。然后,添加 Workspace IDP 身份提供程序,并在身份提供程序中关联 Kerberos 身份验证方法。

前提条件

必须在 Workspace ONE Access Connector 中正确配置 Kerberos 身份验证服务。正确的配置包括以下内容。

  • 安装了 Kerberos 身份验证服务的 Windows 计算机必须加入域。
  • 在安装 Kerberos 身份验证服务期间,指定了用于运行服务的域用户帐户。此域用户属于安装了该服务的 Windows 计算机上的管理员组。
  • 已上载由公用或内部 CA 签名的可信 SSL 证书。如果您部署了多个 Kerberos 身份验证服务实例以实现高可用性,则将由公用或内部 CA 签名的可信 SSL 证书上载到每个连接器。
  • Kerberos 身份验证服务需要在端口 TCP 443 上建立到连接器的入站连接。
  • 要为 Kerberos 身份验证设置高可用性,需要使用负载均衡器。负载均衡必须具有由公用或内部 CA 签名的可信 SSL 证书。有关配置信息,请参阅《安装 Workspace ONE Access Connector》指南。

过程

  1. Workspace ONE Access 控制台的集成 > 连接器身份验证方法页面中,单击新建,然后选择 Kerberos
  2. 选择要通过此身份验证方法配置的目录服务主机
  3. 配置 Kerberos 身份验证方法设置。
    选项 描述
    目录 UID 属性 输入包含用户名的帐户属性。
    启用重定向 如果启用了重定向,则会显示启用重定向,因为您正在部署的多个连接器配置了 Kerberos 身份验证服务,以通过负载均衡器实现高可用性。
  4. 单击下一步以查看配置,然后单击保存

下一步做什么

在“身份提供程序”页面中,将 Workspace IDP 身份提供程序和关联的 Kerberos 身份验证方法添加到身份提供程序。请参阅在 Workspace ONE Access 中使用 Kerberos 身份验证配置 Workspace 身份提供程序实例

在“资源”>“策略”页面中将身份验证方法添加到默认访问策略,然后编辑默认策略规则,以便将 Kerberos 身份验证方法按照正确的身份验证顺序添加到规则中,并将密码身份验证方法(云)配置为回退身份验证方法。请参阅在 Workspace ONE Access 服务中管理访问策略

如果配置了高可用性,则在每个连接器上为 Kerberos 身份验证服务配置 Kerberos 身份验证方法。