Zur Ermöglichung der einmaligen Anmeldung (SSO, Single Sign-On) von AirWatch-verwalteten Android-Geräten konfigurieren Sie die mobile SSO-Authentifizierung für Android im integrierten Identitätsanbieter von VMware Identity Manager.

Voraussetzungen

  • Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat.

  • (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.

  • Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.

  • (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.

Prozedur

  1. Wählen Sie in der Verwaltungskonsole in der Registerkarte „Identitäts- und Zugriffsmanagement“ Manager > Identitätsanbieter.
  2. Klicken Sie auf den mit Integriert gekennzeichneten Identitätsanbieter.
  3. Prüfen Sie, ob die Benutzer- und Netzwerkkonfiguration im integrierten Identitätsanbieter richtig ist.

    Andernfalls bearbeiten Sie bei Bedarf die Angaben in den Abschnitten „Benutzer“ und „Netzwerk“.

    Anmerkung:

    Der Netzwerkbereich, den Sie in der Richtlinienregel für die mobile SSO-Anmeldung für Android verwenden, sollte nur die IP-Adressen umfassen, die zum Empfang von Anforderungen vom VMware Tunnel-Proxyserver verwendet werden.

  4. Klicken Sie im Abschnitt „Authentifizierungsmethoden“ auf das Zahnrad-Symbol Mobile SSO (für Android-Geräte).
  5. Auf der Seite „CertProxyAuthAdapter“ konfigurieren Sie die Authentifizierungsmethode.

    Option

    Beschreibung

    Zertifikatsadapter aktivieren

    Aktivieren Sie dieses Kontrollkästchen, um die mobile SSO-Anmeldung für Android zu aktivieren.

    Root- und Zwischen-CA-Zertifikat

    Wählen Sie die hochzuladenden Zertifikatsdateien aus. Sie können mehrere Stamm- und Zwischenzertifikate von Zertifizierungsstellen auswählen, die codiert sind. Das Dateiformat kann PEM oder DER sein.

    Hochgeladene CA-Zertifikatantragsteller-DNs

    Der Inhalt der hochgeladenen Zertifikatsdatei wird hier dargestellt.

    E-Mail verwenden, wenn kein UPN im Zertifikat vorhanden ist

    Wenn der Benutzer-Prinzipalname (User Principal Name, UPN) nicht im Zertifikat vorhanden ist, aktivieren Sie dieses Kontrollkästchen, um das Attribut „emailAddress“ als Erweiterung des Alternativen Antragstellernamens für die Validierung der Benutzerkonten zu verwenden.

    Zertifikatsrichtlinien wurden akzeptiert

    Erstellen Sie eine Liste mit Objektkennungen, die in den Erweiterungen der Zertifikatsrichtlinien akzeptiert werden. Geben Sie die Objekt-ID-Nummer (OID) für die Zertifikatausstellungsrichtlinie ein. Klicken Sie auf Weiteren Wert hinzufügen, um weitere OIDs hinzuzufügen.

    Zertifikatsperrung aktivieren

    Aktivieren Sie das Kontrollkästchen, um die Zertifikatsperrüberprüfung zu aktivieren. Dies verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen.

    CRL von Zertifikaten verwenden

    Aktivieren Sie das Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation List, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren.

    CRL-Speicherort

    Geben Sie den Serverdateipfad oder den lokalen Dateipfad ein, von dem die CRL geladen werden kann.

    OCSP-Sperrung aktivieren

    Aktivieren Sie dieses Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren.

    CRL im Falle eines OCSP-Fehlers verwenden

    Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist.

    OCSP-Nonce senden

    Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten.

    OCSP-URL

    Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein.

    Signaturzertifikat des OCSP-Antwortdienstes

    Geben Sie den Pfad des OCSP-Zertifikats für den Antwortdienst ein. Geben Sie diesen in folgender Form ein: /path/to/file.cer.

    Link „Abbrechen“ aktivieren

    Wenn die Authentifizierung zu lange dauert, können die Benutzer, falls dieser Link aktiviert ist, durch Klicken auf „Abbrechen“ den Authentifizierungsversuch anhalten und die Anmeldung abbrechen.

    Abbrechen-Meldung

    Erstellen Sie eine benutzerdefinierte Meldung, die angezeigt wird, wenn die Authentifizierung zu lange dauert. Wenn Sie keine benutzerdefinierte Meldung anlegen, wird als Standardmeldung Attempting to authenticate your credentials angezeigt.

  6. Klicken Sie auf Speichern.
  7. Klicken Sie auf der Seite des integrierten Identitätsanbieters auf Speichern.

Nächste Maßnahme

Konfigurieren Sie die Standardregel der Zugriffsrichtlinie für die mobile SSO-Anmeldung für Android.