Workspace ONE Access Connector 上安装 Kerberos 身份验证服务后,您可以从 Workspace ONE Access 控制台启用并配置 Kerberos 身份验证方法。然后,添加 Workspace ONE Access 身份提供程序,并在身份提供程序中关联 Kerberos 身份验证方法。

前提条件

必须在 Workspace ONE Access Connector 中正确配置 Kerberos 身份验证服务。正确的配置包括以下内容。

  • 安装了 Kerberos 身份验证服务的 Windows 计算机必须加入域。
  • 在安装 Kerberos 身份验证服务期间,指定了用于运行服务的域用户帐户。此域用户属于安装了该服务的 Windows 计算机上的管理员组。
  • 已上载由公用或内部 CA 签名的可信 SSL 证书。如果您部署了多个 Kerberos 身份验证服务实例以实现高可用性,则将由公用或内部 CA 签名的可信 SSL 证书上载到每个连接器。
  • 要为 Kerberos 身份验证设置高可用性,需要使用负载平衡器。负载平衡必须具有由公用或内部 CA 签名的可信 SSL 证书。有关配置信息,请参阅《安装 Workspace ONE Access Connector》指南。

过程

  1. Workspace ONE Access 控制台的“身份和访问管理”选项卡中,选择管理 > 企业身份验证方法
  2. 单击新建,然后选择 Kerberos。
  3. 选择要通过此身份验证方法配置的目录和服务主机。
  4. 配置 Kerberos 身份验证方法。
    选项 描述
    目录 UID 属性 输入包含用户名的帐户属性。
    启用重定向 如果启用了重定向,则会显示启用重定向,因为您正在部署的多个连接器配置了 Kerberos 身份验证服务,以通过负载平衡器实现高可用性。
  5. 单击下一步以查看配置,然后单击保存

后续步骤

在“身份提供程序”页面中,将 Workspace ONE Access 身份提供程序和关联的 Kerberos 身份验证方法添加到身份提供程序。请参阅使用 Kerberos 身份验证配置 Workspace ONE Access 身份提供程序实例

将该身份验证方法添加到默认访问策略。转到“身份和访问管理”>“管理”>“策略”页面,然后编辑默认策略规则,以便将 Kerberos 身份验证方法按照正确的身份验证顺序添加到规则中,并将密码身份验证方法(云)配置为回退身份验证方法。请参阅管理访问策略

如果配置了高可用性,则在每个连接器上为 Kerberos 身份验证服务配置 Kerberos 身份验证方法。