Für Mobile SSO zur iOS-Authentifizierung auf von VMware Workspace ONE™ UEM verwalteten iOS-Geräten können Sie den integrierten KDC verwenden Sie müssen das Key Distribution Center (KDC, Schlüsselverteilungscenter) manuell in der Appliance initialisieren, bevor Sie die Authentifizierungsmethode in der Verwaltungskonsole aktivieren.

Hinweis: Wenn Sie VMware Identity Manager in Workspace ONE UEM in einer Windows-Umgebung integrieren, verwenden Sie den Cloud-gehosteten KDC-Dienst von VMware Identity Manager und nicht das integrierte KDC. Bei Verwendung des KDC in der Cloud müssen Sie den entsprechenden Bereichsnamen auf der Seite des iOS-Authentifizierungsadapters in der Verwaltungskonsole auswählen. Weitere Informationen erhalten Sie im Administratorhandbuch für VMware Identity Manager.

Bevor Sie KDC in VMware Identity Manager initialisieren, legen Sie den Bereichsnamen für den KDC-Server fest, unabhängig davon, ob Sie in Ihrer Bereitstellung Unterdomänen oder ein Standard-KDC-Serverzertifikat verwenden.

Bereich

Der Bereich ist der Name einer administrativen Einheit, die Authentifizierungsdaten verwaltet. Für den Bereich der Kerberos-Authentifizierung sollte unbedingt ein beschreibender Name ausgewählt werden. Der Bereichsname muss ein Teil der DNS-Domäne sein, die das Unternehmen konfigurieren kann.

Der Bereichsname und der voll qualifizierte Domänenname (FQDN), der für den Zugriff auf den VMware Identity Manager-Dienst verwendet wird, sind unabhängig. Ihr Unternehmen muss die DNS-Domänen sowohl für den Bereichsnamen als auch für den FQDN steuern. Der Bereichsname sollte grundsätzlich ebenso benannt werden wie Ihr Domänenname (in Großbuchstaben eingegeben). Manchmal können Bereichsname und Domänenname unterschiedlich sein. So ist beispielsweise EXAMPLE.NET ein Bereichsname und idm.example.com der VMware Identity Manager-FQDN (vollqualifizierter Domänenname). In diesem Fall definieren Sie DNS-Einträge für beide Domänen, für example.net und example.com.

Der Bereichsname wird von einem Kerberos-Client zum Generieren der DNS-Namen verwendet. Wenn der Name beispielsweise example.com ist, lautet der Kerberos-spezifische Name zur Kontaktaufnahme mit dem KDC über TCP _kerberos._tcp.EXAMPLE.COM.

Verwenden von Subdomänen

Der in einer lokalen Umgebung installierte VMware Identity Manager-Dienst kann die VMware Identity Manager-FQDN-Unterdomäne verwenden. Wenn Ihre VMware Identity Manager-Site auf mehrere DNS-Domänen zugreift, konfigurieren Sie die Domänen als location1.example.com; location2.example.com; location3.example.com. Der Subdomänenwert ist in diesem Fall „example.com“ (eingegeben in Kleinbuchstaben). Bei der Konfiguration einer Unterdomäne in Ihrer Umgebung sollten Sie eng mit Ihrem Service-Supportteam zusammenarbeiten.

Verwenden von KDC-Serverzertifikaten

Wenn KDC initialisiert ist, werden standardmäßig ein KDC-Serverzertifikat und ein selbstsigniertes Stammzertifikat generiert. Das Zertifikat wird zur Ausstellung des KDC-Serverzertifikats verwendet. Dieses Stammzertifikat ist im Geräteprofil enthalten, damit das KDC für das Gerät als vertrauenswürdig gilt.

Sie können das KDC-Serverzertifikat manuell generieren, indem Sie ein Unternehmens-Stamm- oder Zwischenzertifikat verwenden. Weitere Details zu dieser Funktion erhalten Sie von Ihrem Service-Supportteam.

Laden Sie das KDC-Serverstammzertifikat von der VMware Identity Manager-Verwaltungskonsole für die Verwendung in der Workspace ONE UEM-Konfiguration des iOS-Geräteverwaltungsprofils herunter.