Zur Unterstützung der Kerberos-Authentifizierung für die mobile SSO-Anmeldung für iOS bietet Workspace ONE Access einen Cloud-gehosteten KDC-Dienst.

Wichtig:

Ende der Verfügbarkeit (EoA) für den Cloud-gehosteten KDC-Dienst von Workspace ONE Access für hybride Bereitstellung

VMware kündigt das Ende der Verfügbarkeit (EoA) für den Cloud-gehosteten KDC-Dienst von Workspace ONE Access (auch bekannt als Hybrid-KDC-Dienst) für hybride Bereitstellungen an. Das EoA wird am 15. Dezember 2023 für alle Workspace ONE Access-Kunden wirksam.

Alle lokalen Workspace ONE Access-Kunden, die den Cloud-gehosteten KDC-Dienst nutzen, sollten eine Migration zu Workspace ONE Access in der Cloud oder die Bereitstellung des integrierten KDC-Diensts für ihre lokalen Workspace ONE Access-Bereitstellungen planen. Weitere Informationen finden Sie unter Verwenden des integrierten KDC für Workspace ONE Access.

Der Cloud-gehostete KDC-Dienst von Workspace ONE Access ist noch bis zum 15. Dezember 2023 verfügbar und wird weiterhin unterstützt.

Der Supportzeitraum endet am 15. Dezember 2023, und der Cloud-gehostete KDC-Dienst erreicht dann das Ende der Verfügbarkeit und das Ende der Supportdauer. Nach diesem Datum können sich Benutzer nicht mehr beim Cloud-gehosteten KDC-Dienst authentifizieren.

Weitere Informationen finden Sie im KB-Artikel Ende der Verfügbarkeit (EOA) für Workspace ONE Access Cloud-gehosteten KDC-Dienst für hybride Bereitstellung.

Der in der Cloud gehostete KDC-Dienst kann in einer Cloud-gehosteten Workspace ONE Access-Bereitstellung verwendet werden.

Wenn Sie die mobile SSO-Authentifizierung für iOS konfigurieren, konfigurieren Sie den Bereichsnamen für den Cloud-gehosteten KDC-Dienst. Der Bereich ist der Name der administrativen Einheit, die Authentifizierungsdaten verwaltet. Wenn Sie auf Speichern klicken, wird der Workspace ONE Access-Dienst mit dem Cloud-gehosteten KDC-Dienst registriert. Die im KDC-Dienst gespeicherten Daten basieren auf der Konfiguration der Authentifizierungsmethode „Mobile SSO-Anmeldung für iOS“. Die Daten umfassen das CA-Zertifikat, das OCSP-Signaturzertifikat sowie die Details der OCSP-Anforderungskonfiguration.

Dagegen werden im Cloud-Dienst die Protokollaufzeichnungen gespeichert. Die persönlichen Daten in den Protokollierungsdatensätzen beinhalten Folgendes.
  • Den Kerberos-Prinzipalnamen aus dem Profil des Benutzers
  • Die Werte für Betreff-DN, UPN und E-Mail-SAN
  • Die Geräte-ID aus dem Zertifikat des Benutzers
  • Den FQDN des IDM-Diensts, auf den der Benutzer zugreift

Um den Cloud-gehosteten KDC-Dienst verwenden zu können, muss Workspace ONE Access wie im Folgenden beschrieben konfiguriert werden.

  • Der FQDN des Workspace ONE Access-Dienstes muss über das Internet erreichbar sein. Das vom Workspace ONE Access verwendete SSL/TLS-Zertifikat muss öffentlich signiert sein.

    Wenn Sie Workspace ONE Access mit einer externen Firewall konfigurieren, erstellen Sie eine Zulassungsliste mit den entsprechenden IP-Adressen oder URLs. Siehe Hinzufügen von Positivlisten-IP-Adressen zu Ihrer externen Firewall für Workspace ONE Access-Dienste.

  • Vom Dienst muss auf einen ausgehenden Anforderungs-/Antwort-Port 88 (UDP) und einen Port 443 (HTTPS/TCP) zugegriffen werden können.
  • Wenn Sie OCSP aktivieren, muss der OCSP-Antwortdienst aus dem Internet erreichbar sein.