Zur Unterstützung der Kerberos-Authentifizierung für die mobile SSO-Anmeldung für iOS bietet Workspace ONE Access einen Cloud-gehosteten KDC-Dienst.
Der in der Cloud gehostete KDC-Dienst muss verwendet werden, wenn der Workspace ONE Access-Dienst mit Workspace ONE UEM in einer Windows-Umgebung bereitgestellt wird. Der in der Cloud gehostete KDC-Dienst kann auch in einer Cloud-gehosteten Workspace ONE Access-Bereitstellung verwendet werden.
Wenn Sie die mobile SSO-Authentifizierung für iOS konfigurieren, konfigurieren Sie den Bereichsnamen für den Cloud-gehosteten KDC-Dienst. Der Bereich ist der Name der administrativen Einheit, die Authentifizierungsdaten verwaltet. Wenn Sie auf Speichern klicken, wird der Workspace ONE Access-Dienst mit dem Cloud-gehosteten KDC-Dienst registriert. Die im KDC-Dienst gespeicherten Daten basieren auf der Konfiguration der Authentifizierungsmethode „Mobiles SSO für iOS“. Die Daten umfassen das CA-Zertifikat, das OCSP-Signaturzertifikat sowie die Details der OCSP-Anforderungskonfiguration.
- Den Kerberos-Prinzipalnamen aus dem Profil des Benutzers
- Die Werte für Betreff-DN, UPN und E-Mail-SAN
- Die Geräte-ID aus dem Zertifikat des Benutzers
- Den FQDN des IDM-Diensts, auf den der Benutzer zugreift
Um den Cloud-gehosteten KDC-Dienst verwenden zu können, muss Workspace ONE Access wie im Folgenden beschrieben konfiguriert werden.
- Der FQDN des Workspace ONE Access-Dienstes muss über das Internet erreichbar sein. Das vom Workspace ONE Access verwendete SSL/TLS-Zertifikat muss öffentlich signiert sein.
Wenn Sie Workspace ONE Access mit einer externen Firewall konfigurieren, setzen Sie die entsprechenden IP-Adressen oder URLs auf die Whitelist.
- Vom Dienst muss auf einen ausgehenden Anforderungs-/Antwort-Port 88 (UDP) und einen Port 443 (HTTPS/TCP) zugegriffen werden können.
- Wenn Sie OCSP aktivieren, muss der OCSP-Antwortdienst über das Internet erreichbar sein.
