Zur Ermöglichung der einmaligen Anmeldung (Single Sign-On, SSO) von Workspace ONE UEM-verwalteten Android-Geräten konfigurieren Sie Mobile SSO für Android-Authentifizierung im integrierten Identitätsanbieter von Workspace ONE Access.
„Mobile Single Sign-On (SSO) für Android“ ist eine Implementierung der Authentifizierungsmethode mit Zertifikaten für von VMware Workspace ONE® UEM-verwaltete Android-Geräte. Mit „Mobile Single Sign-On“ können sich Benutzer bei ihrem Gerät anmelden und sicher auf ihre Workspace ONE Intelligent Hub-Apps zugreifen, ohne erneut ein Kennwort einzugeben.
Voraussetzungen
- Rufen Sie das Stammzertifikat und Zwischen-Zertifikate von der Zertifizierungsstelle (CA) ab, die die Zertifikate der Benutzer signiert hat.
- Erstellen Sie eine OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.
- Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.
- (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.
Prozedur
- Wechseln Sie in der Workspace ONE Access-Konsole zur Seite und wählen Sie Mobiles SSO (für Android) aus.
- Klicken Sie auf Mobiles SSO (für Android) und konfigurieren Sie die Authentifizierungseinstellungen für die mobile SSO-Anmeldung für Android.
Option Beschreibung Zertifikatsadapter aktivieren Aktivieren Sie dieses Kontrollkästchen, um die mobile SSO-Anmeldung für Android zu aktivieren. Root- und Zwischen-CA-Zertifikat Wählen Sie die hochzuladenden Zertifikatsdateien aus. Sie können mehrere Stamm- und Zwischenzertifikate von Zertifizierungsstellen auswählen, die codiert sind. Das Dateiformat kann PEM oder DER sein. Hochgeladene CA-Zertifikate Der Inhalt der hochgeladenen Zertifikatsdatei wird hier dargestellt. Suchreihenfolge für Benutzer-Bezeichner Wählen Sie die Suchreihenfolge aus, mit der der Benutzerbezeichner innerhalb des Zertifikats gesucht wird.
- UPN. Der Wert "UserPrincipalName" des Alternative Name für Betreff (Subject Alternative Name, SAN)
- E-Mail. Die E-Mail-Adresse des Alternative Name für Betreff.
- Betreff. Die UID-Wert aus dem Betreff.
Wichtig: Für die Authentifizierung „Mobiles SSO (für Android)“ muss der Wert des Bezeichnerattributs sowohl für Workspace ONE Access- als auch für Workspace ONE UEM-Dienste identisch sein. Andernfalls schlägt Android-SSO fehl.Hinweis:- Wenn eine Workspace ONE UEM-Zertifizierungsstelle für die Generierung des Tunnelclientzertifikats verwendet wird, muss die Suchreihenfolge für Benutzer-Bezeichner UPN | Antragsteller lauten.
-
Wenn eine Enterprise-Zertifizierungsstelle eines Drittanbieters verwendet wird, muss die Suchanordnung für die Benutzerbezeichner UPN | E-Mail | Antragsteller lauten, und die Zertifikatsvorlage muss den Antragstellernamen CN={DeviceUid}:{EnrollmentUser} enthalten. Achten Sie darauf, dass der Doppelpunkt (:) enthalten ist.
UPN-Format validieren Aktivieren Sie dieses Kontrollkästchen, um das Format des UserPrincipalName-Felds zu validieren. Zertifikatsrichtlinien wurden akzeptiert Erstellen Sie eine Liste mit Objektkennungen, die in den Erweiterungen der Zertifikatsrichtlinien akzeptiert werden. Geben Sie die Objekt-ID-Nummer (OID) für die Zertifikatausstellungsrichtlinie ein. Klicken Sie auf Weiteren Wert hinzufügen, um weitere OIDs hinzuzufügen. Zertifikatsperrung aktivieren Aktivieren Sie das Kontrollkästchen, um die Zertifikatsperrüberprüfung zu aktivieren. Mit dem Zertifikatswiderruf wird verhindert, dass sich Benutzer authentifizieren können, die Benutzerzertifikate widerrufen haben. CRL von Zertifikaten verwenden Aktivieren Sie das Kontrollkästchen, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation List, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren. CRL-Speicherort Geben Sie den Serverdateipfad oder den lokalen Dateipfad ein, von dem die CRL geladen werden kann. OCSP-Sperrung aktivieren Aktivieren Sie dieses Kontrollkästchen, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren. CRL im Falle eines OCSP-Fehlers verwenden Wenn Sie sowohl CRL als auch OCSP konfigurieren, können Sie dieses Kontrollkästchen aktivieren, um wieder CRL zu verwenden, wenn die OCSP-Prüfung nicht verfügbar ist. OCSP-Nonce senden Aktivieren Sie dieses Kontrollkästchen, wenn Sie den eindeutigen Bezeichner der OCSP-Anfrage in der Antwort übermitteln möchten. OCSP-URL Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein. OCSP-URL-Quelle Wählen Sie die Quelle für die Sperrüberprüfung. - Nur Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mit der OCSP-URL aus dem Textfeld aus, um die gesamte Zertifikatskette zu validieren.
- Nur Zertifikat (erforderlich). Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL, die in der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette vorhanden ist. Für alle Zertifikate in der Kette muss eine OCSP-URL definiert sein, sonst schlägt die Zertifikatswiderrufsprüfung fehl.
- Nur Zertifikat (optional). Führen Sie die Zertifikatsperrüberprüfung nur mithilfe der OCSP-URL aus, die in der AIA-Erweiterung des Zertifikats vorhanden ist. Überprüfen Sie die Sperrung nicht, wenn die OCSP-URL in der AIA-Erweiterung des Zertifikats nicht vorhanden ist.
- Zertifikat mit Fallback auf Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL aus, die aus der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette extrahiert wurde, wenn die OCSP-URL verfügbar ist. Wenn die OCSP-URL nicht in der AIA-Erweiterung ist, überprüfen Sie die Sperrung mithilfe der OCSP-URL, die in dem OCSP-URL-Textfeld konfiguriert wurde. Das OCSP-URL-Textfeld muss mit der OCSP-Serveradresse konfiguriert werden.
Signaturzertifikat des OCSP-Antwortdienstes Geben Sie den Pfad des OCSP-Zertifikats für den Antwortdienst ein. Geben Sie diesen in folgender Form ein: /path/to/file.cer
.Hochgeladene OCSP-Signaturzertifikate In diesem Abschnitt werden die hochgeladenen Zertifikatdateien aufgelistet. Link „Abbrechen“ aktivieren Wenn die Authentifizierung zu lange dauert, können die Benutzer, falls dieser Link aktiviert ist, durch Klicken auf „Abbrechen“ den Authentifizierungsversuch anhalten und die Anmeldung abbrechen. Abbrechen-Meldung Erstellen Sie eine benutzerdefinierte Meldung, die angezeigt wird, wenn die Authentifizierung zu lange dauert. Wenn Sie keine benutzerdefinierte Meldung anlegen, wird als Standardmeldung Attempting to authenticate your credentials
angezeigt. - Klicken Sie auf Speichern.
Nächste Maßnahme
Weisen Sie die Authentifizierungsmethode „Mobile SSO-Anmeldung (für iOS)“ im integrierten Identitätsanbieter zu.
Konfigurieren Sie die Standardregel der Zugriffsrichtlinie für die mobile SSO-Anmeldung für Android.