Para proporcionar un inicio de sesión único en los dispositivos Android administrados con AirWatch, debe configurar el SSO de dispositivos móviles para la autenticación de Android en el proveedor de identidades integrado de VMware Identity Manager.

Requisitos

  • Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios.

  • (Opcional) Lista de identificadores de objeto (OID) de políticas de certificados válidas para la autenticación de certificado.

  • Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.

  • (Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.

Procedimiento

  1. En la pestaña Administración de acceso e identidad de la consola de administración, seleccione Administrar > Proveedores de identidades.
  2. Haga clic en el proveedor de identidades etiquetado como Integrado.
  3. Compruebe que la configuración de los usuarios y las redes en el proveedor de identidades integrado sea correcta.

    Si no es así, modifique las secciones de los usuarios y las redes según sea necesario.

    Nota:

    El rango de red utilizado en la regla de directiva del SSO móvil para Android debe estar formado solo por las direcciones IP usadas para recibir respuestas del servidor proxy de VMware Tunnel.

  4. En la sección Métodos de autenticación, haga clic en el icono de la rueda dentada SSO móvil (para Android).
  5. En la página ertProxyAuthAdapter, configure el método de autenticación.

    Opción

    Descripción

    Habilitar adaptador de certificado

    Seleccione esta casilla para habilitar el SSO móvil para Android.

    Certificados de CA intermedio y raíz

    Seleccione los certificados que desee cargar. Puede seleccionar varios certificados de CA raíz e intermedios que estén codificados. El formato del archivo puede ser PEM o DER.

    DN de sujeto del certificado de CA cargado

    El contenido del archivo del certificado cargado se muestra aquí.

    Usar correo electrónico si no hay UPN en el certificado

    Si el nombre principal de usuario (UPN) no existe en el certificado, active esta casilla para usar el atributo emailAddress como extensión de nombre alternativo del firmante para validar las cuentas de usuario.

    Políticas de certificados aceptadas

    Cree una lista de los identificadores de objeto que se aceptan en las extensiones de las políticas de certificados. Escriba el número de ID de objeto (OID) para la política de emisión de certificados. Haga clic en Añadir otro valor para añadir más OID.

    Habilitar revocación de certificados

    Active esta casilla para habilitar la comprobación de revocación de certificados. Esto impide la autenticación de los usuarios con certificados de usuario revocados.

    Usar CRL de certificados

    Active esta casilla para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no.

    Ubicación de la CRL

    Escriba la ruta de archivo del servidor o local desde la que recuperar la CRL.

    Habilitar revocación con OCSP

    Active esta casilla para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para obtener el estado de revocación de un certificado.

    Usar CRL en caso de error de OCSP

    Si configura tanto CRL como OCSP, puede activar esta casilla para recurrir de nuevo a la CRL si la comprobación con OCSP no está disponible.

    Enviar nonce de OCSP

    Seleccione esta casilla si desea que se envíe en la respuesta el identificador único de la solicitud de OCSP.

    URL de OCSP

    Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación.

    Certificado de firma de quien responde de OCSP

    Escriba la ruta del certificado OCSP para el quien responde. Introdúzcala como /path/to/file.cer

    Habilitar vínculo de cancelación

    Cuando la autenticación esté tardando mucho tiempo y si este vínculo está habilitado, los usuarios pueden hacer clic en Cancelar para detener el intento de autenticación y cancelar el inicio de sesión.

    Mensaje de cancelación

    Cree un mensaje personalizado que se muestre cuando el proceso de autenticación tarde demasiado. Si no crea un mensaje personalizado, el mensaje predeterminado es Attempting to authenticate your credentials.

  6. Haga clic en Guardar.
  7. Haga clic en Guardar en la página del proveedor de identidades integrado.

Qué hacer a continuación

Configure la regla de la directiva de acceso predeterminada del SSO móvil para Android.