Para proporcionar un inicio de sesión único en los dispositivos Android administrados con AirWatch, debe configurar el SSO de dispositivos móviles para la autenticación de Android en el proveedor de identidades integrado de VMware Identity Manager.
Por qué y cuándo se efectúa esta tarea
Para obtener más información sobre cómo configurar el método de autenticación del certificado, consulte Configurar un certificado o adaptador de tarjeta inteligente para utilizarlo con VMware Identity Manager.
Requisitos
Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios.
(Opcional) Lista de identificadores de objeto (OID) de políticas de certificados válidas para la autenticación de certificado.
Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.
(Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.
Procedimiento
- En la pestaña Administración de acceso e identidad de la consola de administración, seleccione .
- Haga clic en el proveedor de identidades etiquetado como Integrado.
- Compruebe que la configuración de los usuarios y las redes en el proveedor de identidades integrado sea correcta.
Si no es así, modifique las secciones de los usuarios y las redes según sea necesario.
- En la sección Métodos de autenticación, haga clic en el icono de la rueda dentada SSO móvil (para Android).
- En la página ertProxyAuthAdapter, configure el método de autenticación.
Opción |
Descripción |
Habilitar adaptador de certificado |
Seleccione esta casilla para habilitar el SSO móvil para Android. |
Certificados de CA intermedio y raíz |
Seleccione los certificados que desee cargar. Puede seleccionar varios certificados de CA raíz e intermedios que estén codificados. El formato del archivo puede ser PEM o DER. |
DN de sujeto del certificado de CA cargado |
El contenido del archivo del certificado cargado se muestra aquí. |
Usar correo electrónico si no hay UPN en el certificado |
Si el nombre principal de usuario (UPN) no existe en el certificado, active esta casilla para usar el atributo emailAddress como extensión de nombre alternativo del firmante para validar las cuentas de usuario. |
Políticas de certificados aceptadas |
Cree una lista de los identificadores de objeto que se aceptan en las extensiones de las políticas de certificados. Escriba el número de ID de objeto (OID) para la política de emisión de certificados. Haga clic en Añadir otro valor para añadir más OID. |
Habilitar revocación de certificados |
Active esta casilla para habilitar la comprobación de revocación de certificados. Esto impide la autenticación de los usuarios con certificados de usuario revocados. |
Usar CRL de certificados |
Active esta casilla para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no. |
Ubicación de la CRL |
Escriba la ruta de archivo del servidor o local desde la que recuperar la CRL. |
Habilitar revocación con OCSP |
Active esta casilla para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para obtener el estado de revocación de un certificado. |
Usar CRL en caso de error de OCSP |
Si configura tanto CRL como OCSP, puede activar esta casilla para recurrir de nuevo a la CRL si la comprobación con OCSP no está disponible. |
Enviar nonce de OCSP |
Seleccione esta casilla si desea que se envíe en la respuesta el identificador único de la solicitud de OCSP. |
URL de OCSP |
Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación. |
Certificado de firma de quien responde de OCSP |
Escriba la ruta del certificado OCSP para el quien responde. Introdúzcala como /path/to/file.cer |
- Haga clic en Guardar.
- Haga clic en Guardar en la página del proveedor de identidades integrado.
Qué hacer a continuación
Configure la regla de la directiva de acceso predeterminada del SSO móvil para Android. Consulte Administrar métodos de autenticación que se apliquen a los usuarios
Nota:
El rango de red utilizado en la regla de directiva del SSO móvil para Android debe estar formado solo por las direcciones IP usadas para recibir respuestas del servidor proxy de AirWatch Tunnel.