Zur Ermöglichung der einmaligen Anmeldung (SSO, Single Sign-On) von AirWatch-verwalteten Android-Geräten konfigurieren Sie die mobile SSO-Authentifizierung für Android im integrierten Identitätsanbieter von VMware Identity Manager.

Warum und wann dieser Vorgang ausgeführt wird

Informationen zum Konfigurieren der Zertifikat-Authentifizierungsmethode finden Sie unter Konfigurieren eines Zertifikats oder Smartcard-Adapters zur Verwendung mit VMware Identity Manager.

Voraussetzungen

  • Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat.

  • (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.

  • Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.

  • (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.

Prozedur

  1. Wählen Sie in der Verwaltungskonsole in der Registerkarte „Identitäts- und Zugriffsmanagement“ Manager > Identitätsanbieter.
  2. Klicken Sie auf den mit Integriert gekennzeichneten Identitätsanbieter.
  3. Prüfen Sie, ob die Benutzer- und Netzwerkkonfiguration im integrierten Identitätsanbieter richtig ist.

    Andernfalls bearbeiten Sie bei Bedarf die Angaben in den Abschnitten „Benutzer“ und „Netzwerk“.

  4. Klicken Sie im Abschnitt „Authentifizierungsmethoden“ auf das Zahnrad-Symbol Mobile SSO (für Android-Geräte).
  5. Auf der Seite „CertProxyAuthAdapter“ konfigurieren Sie die Authentifizierungsmethode.

    Option

    Beschreibung

    Zertifikatsadapter aktivieren

    Aktivieren Sie dieses Kontrollkästchen, um die mobile SSO-Anmeldung für Android zu aktivieren.

    Root- und Zwischen-CA-Zertifikat

    Wählen Sie die hochzuladenden Zertifikatsdateien aus. Sie können mehrere Stamm- und Zwischenzertifikate von Zertifizierungsstellen auswählen, die codiert sind. Das Dateiformat kann PEM oder DER sein.

    Hochgeladene CA-Zertifikatantragsteller-DNs

    Der Inhalt der hochgeladenen Zertifikatsdatei wird hier dargestellt.

    E-Mail verwenden, wenn kein UPN im Zertifikat vorhanden ist

    Wenn der Benutzer-Prinzipalname (User Principal Name, UPN) nicht im Zertifikat vorhanden ist, aktivieren Sie dieses Kontrollkästchen, um das Attribut „emailAddress“ als Erweiterung des Alternativen Antragstellernamens für die Validierung der Benutzerkonten zu verwenden.

    Zertifikatsrichtlinien wurden akzeptiert

    Erstellen Sie eine Liste mit Objektkennungen, die in den Erweiterungen der Zertifikatsrichtlinien akzeptiert werden. Geben Sie die Objekt-ID-Nummer (OID) für die Zertifikatausstellungsrichtlinie ein. Klicken Sie auf Weiteren Wert hinzufügen, um weitere OIDs hinzuzufügen.

    Zertifikatsperrung aktivieren

    Aktivieren Sie das Kontrollkästchen, um die Zertifikatsperrüberprüfung zu aktivieren. Dies verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen.

    CRL von Zertifikaten verwenden

    Aktivieren Sie das Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation List, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren.

    CRL-Speicherort

    Geben Sie den Serverdateipfad oder den lokalen Dateipfad ein, von dem die CRL geladen werden kann.

    OCSP-Sperrung aktivieren

    Aktivieren Sie dieses Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren.

    CRL im Falle eines OCSP-Fehlers verwenden

    Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist.

    OCSP-Nonce senden

    Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten.

    OCSP-URL

    Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein.

    Signaturzertifikat des OCSP-Antwortdienstes

    Geben Sie den Pfad des OCSP-Zertifikats für den Antwortdienst ein. Geben Sie diesen in folgender Form ein: /path/to/file.cer.
  6. Klicken Sie auf Speichern.
  7. Klicken Sie auf der Seite des integrierten Identitätsanbieters auf Speichern.

Nächste Maßnahme

Konfigurieren Sie die Standardregel der Zugriffsrichtlinie für die mobile SSO-Anmeldung für Android. Weitere Informationen hierzu finden Sie unter Verwalten der auf Benutzer anzuwendenden Authentifizierungsmethoden

Anmerkung:

Der Netzwerkbereich, den Sie in der Regel der Zugriffsrichtlinie für die mobile SSO-Anmeldung für Android verwenden, sollte nur die IP-Adressen umfassen, die zum Empfang von Anforderungen vom AirWatch Tunnel-Proxyserver verwendet werden.