Zur Ermöglichung der einmaligen Anmeldung (Single Sign-On, SSO) von Workspace ONE UEM-verwalteten Android-Geräten konfigurieren Sie Mobile SSO für Android-Authentifizierung im integrierten Identitätsanbieter von VMware Identity Manager.

Voraussetzungen

  • Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat.

  • OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatauthentifizierung.

  • Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.

  • (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.

Prozedur

  1. Wählen Sie in der VMware Identity Manager-Konsole auf der Registerkarte „Identitäts- und Zugriffsmanagement“ Verwalten > Authentifizierungsmethode aus.
  2. Zum Aktivieren und Konfigurieren von CertProxyAuthAdapter, klicken Sie auf das Stift-Symbol bei Mobile SSO (für Android-Geräte).

    Option

    Beschreibung

    Zertifikatsadapter aktivieren

    Aktivieren Sie dieses Kontrollkästchen, um die mobile SSO-Anmeldung für Android zu aktivieren.

    Root- und Zwischen-CA-Zertifikat

    Wählen Sie die hochzuladenden Zertifikatsdateien aus. Sie können mehrere Stamm- und Zwischenzertifikate von Zertifizierungsstellen auswählen, die codiert sind. Das Dateiformat kann PEM oder DER sein.

    Hochgeladene CA-Zertifikate

    Der Inhalt der hochgeladenen Zertifikatsdatei wird hier dargestellt.

    Suchreihenfolge für Benutzer-Bezeichner

    Wählen Sie die Suchreihenfolge aus, um die Benutzer-ID innerhalb des Zertifikats zu suchen.

    • UPN. Der Wert "UserPrincipalName" des Alternative Name für Betreff (Subject Alternative Name, SAN)

    • E-Mail. Die E-Mail-Adresse des Alternative Name für Betreff.

    • Betreff. Die UID-Wert aus dem Betreff.

    UPN-Format validieren

    Aktivieren Sie dieses Kontrollkästchen, um das Format des UserPrincipalName-Felds zu validieren.

    Zertifikatsrichtlinien wurden akzeptiert

    Erstellen Sie eine Liste mit Objektkennungen, die in den Erweiterungen der Zertifikatsrichtlinien akzeptiert werden. Geben Sie die Objekt-ID-Nummer (OID) für die Zertifikatausstellungsrichtlinie ein. Klicken Sie auf Weiteren Wert hinzufügen, um weitere OIDs hinzuzufügen.

    Zertifikatsperrung aktivieren

    Aktivieren Sie das Kontrollkästchen, um die Zertifikatsperrüberprüfung zu aktivieren. Dies verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen.

    CRL von Zertifikaten verwenden

    Aktivieren Sie das Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation List, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren.

    CRL-Speicherort

    Geben Sie den Serverdateipfad oder den lokalen Dateipfad ein, von dem die CRL geladen werden kann.

    OCSP-Sperrung aktivieren

    Aktivieren Sie dieses Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren.

    CRL im Falle eines OCSP-Fehlers verwenden

    Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist.

    OCSP-Nonce senden

    Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten.

    OCSP-URL

    Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein.

    OCSP-URL-Quelle

    Wählen Sie die Quelle für die Sperrüberprüfung.

    • Nur Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mit der OCSP-URL aus dem Textfeld aus, um die gesamte Zertifikatskette zu validieren.

    • Nur Zertifikat (erforderlich). Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL aus, die in der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette vorhanden ist. Für alle Zertifikate in der Kette muss eine OCSP-URL definiert sein, sonst schlägt die Zertifikatsperrüberprüfung fehl.

    • Nur Zertifikat (optional). Führen Sie die Zertifikatsperrüberprüfung nur mithilfe der OCSP-URL aus, die in der AIA-Erweiterung des Zertifikats vorhanden ist. Überprüfen Sie die Sperrung nicht, wenn die OCSP-URL in der AIA-Erweiterung des Zertifikats nicht vorhanden ist.

    • Zertifikat mit Fallback auf Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL aus, die aus der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette extrahiert wurde, wenn die OCSP-URL verfügbar ist. Wenn die OCSP-URL nicht in der AIA-Erweiterung vorhanden ist, überprüfen Sie die Sperrung mithilfe der OCSP-URL, die im OCSP-URL-Textfeld konfiguriert wurde. Das OCSP-URL-Textfeld muss mit der OCSP-Serveradresse konfiguriert werden.

    Signaturzertifikat des OCSP-Antwortdienstes

    Geben Sie den Pfad des OCSP-Zertifikats für den Antwortdienst ein. Geben Sie diesen in folgender Form ein: /path/to/file.cer.

    Hochgeladene OCSP-Signaturzertifikate

    In diesem Abschnitt werden die hochgeladenen Zertifikatdateien aufgelistet.

    Link „Abbrechen“ aktivieren

    Wenn die Authentifizierung zu lange dauert, können die Benutzer, falls dieser Link aktiviert ist, durch Klicken auf „Abbrechen“ den Authentifizierungsversuch anhalten und die Anmeldung abbrechen.

    Abbrechen-Meldung

    Erstellen Sie eine benutzerdefinierte Meldung, die angezeigt wird, wenn die Authentifizierung zu lange dauert. Wenn Sie keine benutzerdefinierte Meldung anlegen, wird als Standardmeldung Attempting to authenticate your credentials angezeigt.

  3. Klicken Sie auf Speichern.
  4. Wählen Sie Verwalten > Identitätsanbieter und klicken Sie auf Identitätsanbieter hinzufügen.
  5. Wählen Sie Integrierten Identitätsanbieter erstellen oder wählen Sie einen vorhandenen integrierten Identitätsanbieter.

    Option

    Beschreibung

    Name des Identitätsanbieters

    Geben Sie den Namen für diese Instanz des integrierten Identitätsanbieters ein.

    Benutzer

    Die konfigurierten Verzeichnisse werden angezeigt. Wählen Sie das zu authentifizierende Benutzerverzeichnis.

    Netzwerk

    Die im Dienst konfigurierten vorhandenen Netzwerkbereiche werden aufgeführt. Der Netzwerkbereich, den Sie in der Richtlinienregel für die Mobile SSO-Anmeldung für Android verwenden, darf nur die IP-Adressen umfassen, die zum Empfang von Anforderungen vom VMware Tunnel-Proxyserver verwendet werden.

    Authentifizierungsmethoden

    Wählen Sie Mobile SSO (für Android).

    KDC-Zertifikat exportieren

    N.V.
  6. Klicken Sie auf der Seite des integrierten Identitätsanbieters auf Hinzufügen.

Nächste Maßnahme

Konfigurieren Sie die Standardregel der Zugriffsrichtlinie für die mobile SSO-Anmeldung für Android.