Pour fournir l'authentification unique depuis des périphériques Android gérés par AirWatch, vous configurez l'authentification Mobile SSO pour Android dans le fournisseur d'identité intégré VMware Identity Manager.
Pourquoi et quand exécuter cette tâche
Pour plus d'informations sur la configuration de la méthode d'authentification de certificat, reportez-vous à la section Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager.
Préambules
Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs.
(Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat.
Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP.
(Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.
Procédure
- Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez .
- Cliquez sur le fournisseur d'identité avec l'étiquette Intégré.
- Vérifiez que la configuration Utilisateurs et réseau dans le fournisseur d'identité intégré est correcte.
Si ce n'est pas le cas, modifiez les sections Utilisateurs et réseau si nécessaire.
- Dans la section Méthodes d'authentification, cliquez sur l'icône d'engrenage Mobile SSO (pour périphériques Android).
- Sur la page CertProxyAuthAdapter, configurez la méthode d'authentification.
Option |
Description |
Activer l'adaptateur de certificat |
Cochez cette case pour activer Mobile SSO pour Android. |
Certificat d'autorité de certification racine et intermédiaire |
Sélectionnez les fichiers de certificat à télécharger. Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui sont encodés. Le format de fichier peut être PEM ou DER. |
Noms uniques de sujet du certificat d'autorité de certification téléchargés |
Le contenu du fichier de certificat téléchargé s'affiche ici. |
Utiliser une adresse e-mail s'il n'existe pas d'UPN dans le certificat |
Si le nom principal de l'utilisateur (UPN) n'existe pas dans le certificat, cochez cette case pour utiliser l'attribut emailAddress comme extension Autre nom de l'objet afin de valider des comptes d'utilisateur. |
Stratégies de certificat acceptées |
Créez une liste d'identificateurs d'objet qui sont acceptés dans les extensions de stratégie de certificat. Entrez le numéro d'ID d'objet (OID) pour la stratégie d'émission de certificat. Cliquez sur Ajouter une autre valeur pour ajouter des OID supplémentaires. |
Activer la révocation de certificat |
Cochez cette case pour permettre le contrôle de la révocation des certificats. Cela empêche les utilisateurs avec des certificats d'utilisateur révoqués de s'authentifier. |
Utiliser la CRL des certificats |
Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider le statut d'un certificat, révoqué ou non révoqué. |
Emplacement de la CRL |
Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peut être récupérée. |
Autoriser la révocation OCSP |
Cochez cette case pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'un certificat. |
Utiliser la CRL en cas de défaillance du protocole |
Si vous configurez une CRL et OCSP, vous pouvez cocher cette case pour basculer vers l'utilisation de la CRL si le contrôle OCSP n'est pas disponible. |
Envoi de nonce OCSP |
Cochez cette case si vous souhaitez que l'identificateur unique de la requête OCSP soit envoyée dans la réponse. |
URL d'OCSP |
Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation. |
Certificat de signature du répondeur OCSP |
Entrez le chemin d'accès au certificat OCSP du répondeur. Utilisez le format /path/to/file.cer |
- Cliquez sur Enregistrer.
- Cliquez sur Enregistrer sur la page Fournisseur d'identité intégré.
Que faire ensuite
Configurez la règle de stratégie d'accès par défaut pour Mobile SSO pour Android. Voir Gestion des méthodes d'authentification à appliquer aux utilisateurs
Remarque :
La plage réseau que vous utilisez dans la règle de stratégie pour Mobile SSO pour Android ne doit contenir que les adresses IP utilisées pour recevoir des demandes provenant du serveur proxy AirWatch Tunnel.