Para proporcionar Single Sign-On en dispositivos Android administrados con Workspace ONE UEM, debe configurar la autenticación SSO móvil para Android en el proveedor de identidad integrado de Workspace ONE Access.

El inicio de sesión único (SSO) móvil para Android es una implementación del método de autenticación de certificado para dispositivos Android administrados por VMware Workspace ONE® UEM. Con el inicio de sesión único móvil, los usuarios pueden iniciar sesión en sus dispositivos y acceder de forma segura a sus aplicaciones VMware Workspace® ONE® sin tener que volver a escribir una contraseña. Consulte la guía de inicio de sesión único móvil para Android en VMware Workspace ONE para obtener información de configuración detallada.

Requisitos previos

  • Obtener el certificado raíz y los certificados intermedios de la CA que firmó los certificados presentados por sus usuarios.
  • Lista de identificadores de objeto (List of Object Identifier, OID) de directivas de certificados válidas para la autenticación de certificado.
  • Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.
  • (Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.

Procedimiento

  1. En la pestaña Administración de acceso e identidad, acceda a Administrar > Métodos de autenticación.
  2. En la columna para configurar SSO móvil (para Android), haga clic en el icono de lápiz.
  3. Configure la página de SSO móvil para Android.
    Opción Descripción
    Habilitar adaptador de certificados Seleccione esta casilla para habilitar el SSO móvil para Android.
    Certificados de CA intermedio y raíz Seleccione los certificados que desee cargar. Puede seleccionar varios certificados de CA raíz e intermedios que estén codificados. El formato del archivo puede ser PEM o DER.
    Certificados de CA cargados El contenido del archivo del certificado cargado se muestra aquí.
    Orden de búsqueda de identificador de usuario

    Seleccione el orden de búsqueda para encontrar el identificador de usuario en el certificado.

    • upn. El valor de UserPrincipalName del nombre alternativo del sujeto
    • correo electrónico. La dirección de correo electrónico del nombre alternativo del sujeto.
    • sujeto. El valor de UID del sujeto.
    Nota:
    • Si se utiliza la entidad de certificación de AirWatch para generar certificados de cliente de túnel, el orden de búsqueda de identificador de usuario debe ser UPN | Asunto.
    • Si se utiliza una entidad de certificación de empresa externa, el orden de búsqueda de identificador de usuario debe ser UPN | Correo electrónico | Asunto y la plantilla de certificado debe contener el nombre de asunto CN={DeviceUid}:{EnrollmentUser}. Asegúrese de incluir los dos puntos ( :).

    Validar el formato UPN Active esta casilla de verificación para validar el formato del campo UserPrincipalName.
    Directivas de certificados aceptadas Cree una lista de los identificadores de objeto que se aceptan en las extensiones de las políticas de certificados. Escriba el número de ID de objeto (OID) para la política de emisión de certificados. Haga clic en Añadir otro valor para añadir más OID.
    Habilitar revocación de certificados Active esta casilla para habilitar la comprobación de revocación de certificados. Con la revocación de certificados se impide la autenticación de usuarios con certificados de usuario revocados.
    Usar CRL de los certificados Active esta casilla para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no.
    Ubicación de la CRL Escriba la ruta de archivo del servidor o local desde la que recuperar la CRL.
    Habilitar revocación con OCSP Active esta casilla para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (Online Certificate Status Protocol, OCSP) para obtener el estado de revocación de un certificado.
    Usar CRL en caso de error de OCSP Si configura tanto CRL como OCSP, puede seleccionar esta casilla para recurrir de nuevo a la CRL si la comprobación con OCSP no está disponible.
    Enviar nonce de OCSP Seleccione esta casilla si desea que se envíe en la respuesta el identificador único de la solicitud de OCSP.
    URL de OCSP Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación.
    Origen de la URL de OCSP Seleccione el origen que se utilizará para la comprobación de revocación.
    • Solo configuración. Realice la comprobación de revocación de certificados mediante la URL de OCSP proporcionada en el cuadro de texto para validar la cadena de certificados completa.
    • Solo certificado (obligatorio). Realice la comprobación de revocación de certificados mediante la URL de OCSP que existe en la extensión AIA de cada certificado de la cadena. Todos los certificados de la cadena deben tener una URL de OCSP definida; de lo contrario, se produce un error en la comprobación de revocación de certificados.
    • Solo certificado (opcional). Realice la comprobación de revocación de certificados solo mediante la URL de OCSP que existe en la extensión AIA del certificado. No compruebe la revocación si la URL de OCSP no existe en la extensión AIA del certificado.
    • Certificado con reserva de configuración. Realice la comprobación de revocación de certificados mediante la URL de OCSP extraída de la extensión AIA de cada certificado de la cadena, si la URL de OCSP está disponible. Si la URL de OCSP no está en la extensión AIA, compruebe la revocación mediante la URL de OCSP configurada en el cuadro de texto URL de OCSP. El cuadro de texto URL de OCSP debe configurarse con la dirección del servidor OCSP.
    Certificado de firma de quien responde de OCSP Escriba la ruta del certificado OCSP para el quien responde. Introdúzcala como /path/to/file.cer
    Certificados firmados OCSP cargados Los archivos de certificado cargados aparecen en esta sección.
    Habilitar vínculo de cancelación Cuando la autenticación esté tardando mucho tiempo y si este vínculo está habilitado, los usuarios pueden hacer clic en Cancelar para detener el intento de autenticación y cancelar el inicio de sesión.
    Mensaje de cancelación Cree un mensaje personalizado que se muestre cuando el proceso de autenticación tarde demasiado. Si no crea un mensaje personalizado, el mensaje predeterminado es Attempting to authenticate your credentials.
  4. Haga clic en Guardar.

Qué hacer a continuación

Asocie el método de autenticación SSO móvil (para iOS) en el proveedor de identidades integrado.

Configure la regla de la directiva de acceso predeterminada del SSO móvil para Android.