Para admitir el uso de la autenticación de Kerberos en SSO móvil para iOS, Workspace ONE Access proporciona un servicio KDC alojado en la nube.

El servicio KDC alojado en la nube debe utilizarse cuando se implementa el servicio Workspace ONE Access con Workspace ONE UEM en un entorno de Windows. El servicio KDC alojado en la nube también se puede utilizar en una implementación alojada en la nube de Workspace ONE Access.

Al configurar la autenticación SSO móvil para iOS, configure el nombre de territorio para el servicio KDC alojado en la nube. El territorio es el nombre de la entidad administrativa que mantiene los datos de autenticación. Al hacer clic en Guardar, el servicio Workspace ONE Access se registrará con el servicio KDC alojado en la nube. Los datos que se almacenan en el servicio KDC se basan en la configuración del método de autenticación de SSO móvil para iOS. Los datos incluyen el certificado de la autoridad de certificación (CA), el certificado de firma de OCSP y los detalles de la configuración de la solicitud de OCSP.

Los registros de inicio de sesión se almacenan en el servicio en la nube. La información de identificación personal (PII) en los registros de registro incluyen lo siguiente.
  • El nombre principal de Kerberos del perfil del usuario
  • Los valores de UPN, SAN de correo electrónico y DN del sujeto
  • El identificador de dispositivo del certificado del usuario
  • El FQDN del servicio IDM al que el usuario accede

Para utilizar el servicio KDC alojado en la nube, Workspace ONE Access debe configurarse de la siguiente manera.

  • El FQDN del servicio de Workspace ONE Access debe ser accesible desde Internet. El certificado SSL/TLS utilizado por Workspace ONE Access debe estar firmado públicamente.

    Si configura Workspace ONE Access con un firewall externo, cree una lista de elementos permitidos con las direcciones IP o las URL adecuadas. Consulte Agregar direcciones IP de la lista de permitidos al firewall externo para los servicios Workspace ONE Access.

  • El puerto 88 (UDP) de respuesta/solicitud de salida y 443 (HTTPS/TCP) deben ser accesibles desde el servicio.
  • Si habilita OCSP, el respondedor de OCSP debe ser accesible desde Internet.