Verwenden des integrierten KDC für Workspace ONE Access

Für Mobile SSO zur iOS-Authentifizierung auf von VMware Workspace ONE™ UEM verwalteten iOS-Geräten können Sie den integrierten KDC verwenden. Sie müssen das Key Distribution Center (KDC, Schlüsselverteilungscenter) manuell in der Appliance initialisieren, bevor Sie die Authentifizierungsmethode in der Verwaltungskonsole aktivieren.

Bevor Sie KDC in Workspace ONE Access initialisieren, legen Sie den Bereichsnamen für den KDC-Server fest, unabhängig davon, ob Sie in Ihrer Bereitstellung Unterdomänen oder das Standard-KDC-Serverzertifikat verwenden.

Bereich

Der Bereich ist der Name einer administrativen Einheit, die Authentifizierungsdaten verwaltet. Für den Bereich der Kerberos-Authentifizierung sollte unbedingt ein beschreibender Name ausgewählt werden. Der Bereichsname muss ein Teil der DNS-Domäne sein, die das Unternehmen konfigurieren kann.

Der Bereichsname und der voll qualifizierte Domänenname (FQDN), der für den Zugriff auf den Workspace ONE Access-Dienst verwendet wird, sind unabhängig. Ihr Unternehmen muss die DNS-Domänen sowohl für den Bereichsnamen als auch für den FQDN steuern. Der Bereichsname sollte grundsätzlich derselbe sein wie der Name Ihrer Workspace ONE AccessDNS-Domäne (in Großbuchstaben eingegeben). Manchmal können Bereichsname und Domänenname unterschiedlich sein. So ist beispielsweise EXAMPLE.NET ein Bereichsname und idm.example.com der Workspace ONE Access-FQDN (vollqualifizierter Domänenname). In diesem Fall definieren Sie DNS-Einträge für beide Domänen, für example.net und example.com.

Der Bereichsname wird von einem Kerberos-Client zum Generieren der DNS-Namen verwendet. Wenn der Name beispielsweise EXAMPLE.COM ist, lautet der Kerberos-spezifische Name zur Kontaktaufnahme mit dem KDC über TCP _kerberos._tcp.EXAMPLE.COM.

Verwenden von Unterdomänen

Der in einer lokalen Umgebung installierte Workspace ONE Access-Dienst kann die Workspace ONE Access-FQDN-Unterdomäne verwenden. Wenn Ihre Workspace ONE Access-Site auf mehrere DNS-Domänen zugreift, konfigurieren Sie die Domänen als location1.example.com; location2.example.com; location3.example.com. Der Unterdomänenwert ist in diesem Fall „example.com“ (eingegeben in Kleinbuchstaben). Bei der Konfiguration einer Unterdomäne in Ihrer Umgebung sollten Sie eng mit Ihrem Service-Supportteam zusammenarbeiten.

Verwenden von KDC-Serverzertifikaten

Wenn KDC initialisiert ist, werden standardmäßig ein KDC-Serverzertifikat und ein selbstsigniertes Stammzertifikat generiert. Das Zertifikat wird zur Ausstellung des KDC-Serverzertifikats verwendet. Dieses Stammzertifikat ist im Geräteprofil enthalten, damit das KDC für das Gerät als vertrauenswürdig gilt.

Sie können das KDC-Serverzertifikat manuell generieren, indem Sie ein Unternehmens-Stamm- oder Zwischenzertifikat verwenden. Weitere Details zu dieser Funktion erhalten Sie von Ihrem Service-Supportteam.

Laden Sie das KDC-Serverstammzertifikat von der Workspace ONE Access-Verwaltungskonsole für die Verwendung in der Workspace ONE UEM-Konfiguration des iOS-Geräteverwaltungsprofils herunter.