Para proporcionar Single Sign-On en dispositivos Android administrados con AirWatch, debe configurar la autenticación SSO móvil para Android en el proveedor de identidad integrado de VMware Identity Manager.

Requisitos previos

  • Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios.

  • Lista de identificadores de objeto (List of Object Identifier, OID) de directivas de certificados válidas para la autenticación de certificado.

  • Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.

  • (Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.

Procedimiento

  1. En la pestaña Administración de acceso e identidad de la consola de VMware Identity Manager, seleccione Administrar > Métodos de autenticación.
  2. Para habilitar y configurar CertProxyAuthAdapter, haga clic en el icono del lápiz SSO móvil (para dispositivos Android).

    Opción

    Descripción

    Habilitar adaptador de certificado

    Seleccione esta casilla para habilitar el SSO móvil para Android.

    Certificados de CA intermedio y raíz

    Seleccione los certificados que desee cargar. Puede seleccionar varios certificados de CA raíz e intermedios que estén codificados. El formato del archivo puede ser PEM o DER.

    Certificados de CA cargados

    El contenido del archivo del certificado cargado se muestra aquí.

    Orden de búsqueda de identificador de usuario

    Seleccione el orden de búsqueda para encontrar el identificador de usuario en el certificado.

    • upn. El valor de UserPrincipalName del nombre alternativo del sujeto

    • correo electrónico. La dirección de correo electrónico del nombre alternativo del sujeto.

    • sujeto. El valor de UID del sujeto.

    Validar el formato UPN

    Active esta casilla de verificación para validar el formato del campo UserPrincipalName.

    Directivas de certificados aceptadas

    Cree una lista de los identificadores de objeto que se aceptan en las extensiones de las políticas de certificados. Escriba el número de ID de objeto (OID) para la política de emisión de certificados. Haga clic en Añadir otro valor para añadir más OID.

    Habilitar revocación de certificados

    Active esta casilla para habilitar la comprobación de revocación de certificados. Esto impide la autenticación de los usuarios con certificados de usuario revocados.

    Usar CRL de los certificados

    Active esta casilla para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no.

    Ubicación de la CRL

    Escriba la ruta de archivo del servidor o local desde la que recuperar la CRL.

    Habilitar revocación con OCSP

    Active esta casilla para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para obtener el estado de revocación de un certificado.

    Usar CRL en caso de error de OCSP

    Si configura tanto CRL como OCSP, puede seleccionar esta casilla para recurrir de nuevo a la CRL si la comprobación con OCSP no está disponible.

    Enviar nonce de OCSP

    Seleccione esta casilla si desea que se envíe en la respuesta el identificador único de la solicitud de OCSP.

    URL de OCSP

    Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación.

    Origen de la URL de OCSP

    Seleccione el origen que se utilizará para la comprobación de revocación.

    • Solo configuración. Realice la comprobación de revocación de certificados mediante la URL de OCSP proporcionada en el cuadro de texto para validar la cadena de certificados completa.

    • Solo certificado (obligatorio). Realice la comprobación de revocación de certificados mediante la URL de OCSP que existe en la extensión AIA de cada certificado de la cadena. Todos los certificados de la cadena deben tener una URL de OCSP definida, de lo contrario, se produce un error en la comprobación de revocación de certificados.

    • Solo certificado (opcional). Realice la comprobación de revocación de certificados solo mediante la URL de OCSP que existe en la extensión AIA del certificado. No compruebe la revocación si la URL de OCSP no existe en la extensión AIA del certificado.

    • Certificado con reserva de configuración. Realice la comprobación de revocación de certificados mediante la URL de OCSP extraída de la extensión AIA de cada certificado de la cadena, si la URL de OCSP está disponible. Si la URL de OCSP no está en la extensión AIA, compruebe la revocación mediante la URL de OCSP configurada en el cuadro de texto URL de OCSP. El cuadro de texto URL de OCSP debe configurarse con la dirección del servidor OCSP.

    Certificado de firma de quien responde de OCSP

    Escriba la ruta del certificado OCSP para el quien responde. Introdúzcala como /path/to/file.cer

    Certificados firmados OCSP cargados

    Los archivos de certificado cargados aparecen en esta sección.

    Habilitar vínculo de cancelación

    Cuando la autenticación esté tardando mucho tiempo y si este vínculo está habilitado, los usuarios pueden hacer clic en Cancelar para detener el intento de autenticación y cancelar el inicio de sesión.

    Mensaje de cancelación

    Cree un mensaje personalizado que se muestre cuando el proceso de autenticación tarde demasiado. Si no crea un mensaje personalizado, el mensaje predeterminado es Attempting to authenticate your credentials.

  3. Haga clic en Guardar.
  4. Seleccione Administrar > Proveedores de identidady haga clic en Agregar proveedor de identidad.
  5. Seleccione Crear IDP integrado o seleccione un proveedor de identidad integrado existente.

    Opción

    Descripción

    Nombre del proveedor de identidades

    Introduzca el nombre de esta instancia del proveedor de identidades integrado.

    Usuarios

    Los directorios configurados aparecen en la lista. Seleccione el directorio Usuario para autenticar.

    Red

    Incluye una lista de los rangos de redes existentes configurados en el servicio. El rango de redes utilizado en la regla de directiva de SSO móvil para Android debe estar formado solo por las direcciones IP usadas para recibir solicitudes del servidor proxy de VMware Tunnel.

    Métodos de autenticación

    Seleccione SSO móvil (para Android).

    Exportación de certificado KDC

    N/A

  6. Haga clic en Agregar en la página del proveedor de identidad integrado.

Qué hacer a continuación

Configure la regla de la directiva de acceso predeterminada del SSO móvil para Android.