Para admitir el uso de la autenticación Kerberos en SSO móvil para iOS, VMware Identity Manager proporciona un servicio KDC alojado en la nube.

El servicio KDC alojado en la nube debe utilizarse cuando se implementa el servicio de VMware Identity Manager con AirWatch en un entorno de Windows.

Para utilizar el KDC administrado en el dispositivo de VMware Identity Manager, consulte Preparación para utilizar la autenticación Kerberos en dispositivos iOS en la Guía de configuración e instalación de VMware Identity Manager.

Al configurar la autenticación SSO móvil para iOS, configure el nombre de territorio para el servicio KDC alojado en la nube. El territorio es el nombre de la entidad administrativa que mantiene los datos de autenticación. Al hacer clic en Guardar, el servicio de VMware Identity Manager se registrará con el servicio KDC alojado en la nube. Los datos que se almacenan en el servicio KDC se basan en la configuración del método de autenticación SSO móvil para iOS, lo que incluye el certificado de CA, el certificado de firma OCSP y los detalles de configuración de la solicitud OCSP. No se almacena ninguna otra información específica del usuario en el servicio en la nube.

Los registros de inicio de sesión se almacenan en el servicio en la nube. La información de identificación personal (Personally Identifiable Information, PII) en los registros de inicio de sesión abarca el nombre principal de Kerberos del perfil del usuario, el DN de sujeto, los valores de UPN y SAN de correo electrónico, el identificador de dispositivo del certificado del usuario y el nombre de dominio completo del servicio IDM al que el usuario obtiene acceso.

Para utilizar el servicio KDC alojado en la nube, VMware Identity Manager debe configurarse de la siguiente manera.

  • El nombre de dominio completo del servicio de VMware Identity Manager debe ser accesible desde Internet. El certificado SSL/TLS utilizado por VMware Identity Manager debe estar firmado públicamente.
  • Los puertos de respuesta/solicitud de salida 88 (UDP) y 443 (HTTPS/TCP) deben ser accesibles desde el servicio VMware Identity Manager.
  • Si habilita OCSP, el respondedor de OCSP debe ser accesible desde Internet.