Para admitir el uso de la autenticación de Kerberos en SSO móvil para iOS, VMware Identity Manager proporciona un servicio KDC alojado en la nube.
El servicio KDC alojado en la nube debe utilizarse cuando se implementa el servicio de VMware Identity Manager con Workspace ONE UEM en un entorno de Windows.
Para utilizar el KDC administrado en el dispositivo de VMware Identity Manager, consulte Preparación para utilizar la autenticación de Kerberos en dispositivos iOS en la guía Configuración e instalación de VMware Identity Manager.
Al configurar la autenticación SSO móvil para iOS, configure el nombre de territorio para el servicio KDC alojado en la nube. El territorio es el nombre de la entidad administrativa que mantiene los datos de autenticación. Al hacer clic en Guardar, el servicio de VMware Identity Manager se registrará con el servicio KDC alojado en la nube. Los datos que se almacenan en el servicio KDC se basan en la configuración del método de autenticación SSO móvil para iOS, lo que incluye el certificado de CA, el certificado de firma OCSP y los detalles de configuración de la solicitud OCSP.
Los registros de inicio de sesión se almacenan en el servicio en la nube. La información de identificación personal (Personally Identifiable Information, PII) en los registros de inicio de sesión abarca el nombre principal de Kerberos del perfil del usuario, el DN del sujeto, los valores de UPN y SAN de correo electrónico, el identificador de dispositivo del certificado del usuario y el nombre de dominio completo del servicio IDM al que el usuario obtiene acceso.
Para utilizar el servicio KDC alojado en la nube, VMware Identity Manager debe configurarse de la siguiente manera.
- El FQDN del servicio de VMware Identity Manager debe ser accesible desde Internet. El certificado SSL/TLS utilizado por VMware Identity Manager debe estar firmado públicamente.
- El puerto 88 (UDP) de respuesta/solicitud de salida y 443 (HTTPS/TCP) deben ser accesibles desde el servicio de VMware Identity Manager.
- Si habilita OCSP, el respondedor de OCSP debe ser accesible desde Internet.