En la autenticación SSO móvil para iOS de dispositivos iOS administrados por VMware Workspace ONE™ UEM, se puede utilizar el KDC integrado. Se debe iniciar manualmente el centro de distribución de claves (Key Distribution Center, KDC) en el dispositivo antes de habilitar el método de autenticación desde la consola de administración.

Nota: Al integrar VMware Identity Manager con Workspace ONE UEM en un entorno de Windows, utilice el servicio KDC alojado en la nube de VMware Identity Manager, no el KDC integrado. El uso de KDC en la nube requiere la selección de un nombre de territorio apropiado en la página del adaptador de autenticación de iOS de la consola de administración. Consulte la Guía de administración de VMware Identity Manager.

Antes de inicializar el KDC en VMware Identity Manager, determine el nombre de territorio del servidor KDC, si la implementación incluye subdominios y si se utilizará o no el certificado del servidor KDC predeterminado.

Territorio

El territorio es el nombre de una entidad administrativa que mantiene los datos de autenticación. Es importante seleccionar un nombre descriptivo para el territorio de autenticación de Kerberos. El nombre del territorio debe formar parte de un dominio de DNS que la empresa pueda configurar.

El nombre del territorio y el nombre de dominio plenamente cualificado (FQDN) que se utilice para acceder al servicio VMware Identity Manager son independientes. Su empresa debe controlar los dominios de DNS tanto del nombre de territorio como del FQDN. La convención consiste en que el nombre del territorio sea el mismo que el de dominio, en mayúsculas. A veces, el nombre de territorio y el de dominio son diferentes. Por ejemplo, EXAMPLE.NET puede ser un nombre de territorio y idm.example.com puede ser el nombre de dominio completo de VMware Identity Manager. En este caso, se definen las entradas de DNS tanto para el dominio ejemplo.net como para ejemplo.com.

El cliente de Kerberos utiliza el nombre de territorio para generar nombres de DNS. Por ejemplo, cuando el nombre es example.com, el nombre de Kerberos relacionado para contactar el KDC por TCP es _kerberos._tcp.EXAMPLE.COM.

Usar subdominios

El servicio de VMware Identity Manager instalado en un entorno local puede utilizar el subdominio de nombre de dominio completo de VMware Identity Manager. Si su sitio de VMware Identity Manager accede a varios dominios DNS, configure los dominios como location1.example.com; location2.example.com; location3.example.com. El valor del subdominio es en este caso ejemplo.com, en minúsculas. Para configurar un subdominio en su entorno, consulte al equipo de su servicio de asistencia.

Utilizar certificados del servidor KDC

Al inicializar KDC, se generan un certificado del servidor y un certificado raíz autofirmado. El certificado se utiliza para emitir el certificado del servidor KDC. Este certificado raíz se incluye en el perfil del dispositivo para que este pueda confiar en KDC.

Para generar el certificado KDC manualmente, utilice un certificado raíz o intermedio de la empresa. Para obtener más información sobre esta función, contacte con el equipo de su servicio de asistencia.

Descargue el certificado raíz del servidor KDC de la consola de administración de VMware Identity Manager para utilizarlo en la configuración de Workspace ONE UEM del perfil de administración del dispositivo iOS.