Zur Unterstützung der Kerberos-Authentifizierung für die mobile SSO-Anmeldung für iOS bietet VMware Identity Manager einen Cloud-gehosteten KDC-Dienst.

Der in der Cloud gehostete KDC-Dienst muss verwendet werden, wenn der VMware Identity Manager-Dienst mit Workspace ONE UEM in einer Windows-Umgebung bereitgestellt wird.

Informationen zur Verwendung des in der VMware Identity Manager-Appliance verwalteten KDC finden Sie unter „Vorbereiten der Verwendung der Kerberos-Authentifizierung auf iOS-Geräten“ im Installations- und Konfigurationshandbuch für VMware Identity Manager.

Wenn Sie die mobile SSO-Authentifizierung für iOS konfigurieren, konfigurieren Sie den Bereichsnamen für den Cloud-gehosteten KDC-Dienst. Der Bereich ist der Name der administrativen Einheit, die Authentifizierungsdaten verwaltet. Wenn Sie auf „Speichern“ klicken, wird der VMware Identity Manager-Dienst mit dem Cloud-gehosteten KDC-Dienst registriert. Die Daten, die im KDC-Dienst gespeichert werden, basieren auf Ihrer Konfiguration der Authentifizierungsmethode der mobilen SSO-Anmeldung für iOS, die das CA-Zertifikat, das OCSP-Signaturzertifikat und die Konfigurationsdetails der OCSP-Anforderung enthält.

Dagegen werden im Cloud-Dienst die Protokollaufzeichnungen gespeichert. Die persönlich identifizierbaren Informationen (PII) in den Protokollaufzeichnungen enthalten den Kerberos-Prinzipalnamen aus dem Profil des Benutzers, die Antragsteller-DN- und -UPN- sowie EMAIL-SAN-Werte, die Geräte-ID aus dem Benutzerzertifikat und den FQDN des IDM-Dienstes, auf den der Benutzer zugreift.

Um den Cloud-gehosteten KDC-Dienst verwenden zu können, muss VMware Identity Manager wie im Folgenden beschrieben konfiguriert werden.

  • Der FQDN des VMware Identity Manager-Dienstes muss über das Internet erreichbar sein. Das vom VMware Identity Manager verwendete SSL/TLS-Zertifikat muss öffentlich signiert sein.

  • Vom VMware Identity Manager-Dienst muss auf einen ausgehenden Anforderungs-/Antwort-Port 88 (UDP) und einen Port 443 (HTTPS/TCP) zugegriffen werden können.

  • Wenn Sie OCSP aktivieren, muss der OCSP-Antwortdienst aus dem Internet erreichbar sein.