Pour prendre en charge l’utilisation de l'authentification Kerberos pour Mobile SSO pour iOS, VMware Identity Manager fournit un service de cloud hébergé KDC.
Le service KDC hébergé dans le cloud doit être utilisé lorsque le service VMware Identity Manager est déployé avec Workspace ONE UEM dans un environnement Windows.
Pour utiliser le KDC géré dans le dispositif VMware Identity Manager, reportez-vous à la section Préparation pour utiliser l’authentification Kerberos sur les périphériques iOS dans le guide Configuration et installation de VMware Identity Manager.
Lorsque vous configurez l’authentification Mobile SSO pour iOS, vous configurez le nom de domaine pour le service cloud hébergé KDC. Le domaine est le nom de l'entité administrative qui conserve des données d'authentification. Lorsque vous cliquez sur Enregistrer, le service VMware Identity Manager est enregistré avec le service KDC hébergé dans le cloud. Les données stockées dans le service KDC sont basées sur la configuration de la méthode d'authentification Mobile SSO pour iOS, ce qui inclut le certificat d’autorité de certification, le certificat de signature OCSP et les détails de configuration de demande OCSP.
Les enregistrements de journalisation sont stockés dans le service cloud. Les informations identifiables personnellement (PII) dans les enregistrements de journalisation incluent le nom principal Kerberos du profil utilisateur, les valeurs Nom unique de sujet, UPN et Autre nom du sujet de l'e-mail, l'ID de terminal du certificat de l’utilisateur et le nom de domaine complet du service IDM auquel accède l'utilisateur.
Pour utiliser le service KDC hébergé dans le cloud, VMware Identity Manager doit être configuré comme suit.
Le nom de domaine complet du service VMware Identity Manager doit être accessible depuis Internet. Le certificat SSL/TLS utilisé par VMware Identity Manager doit être signé publiquement.
Le port 88 (UDP) et le port 443 (HTTPS/TCP) d'une demande/réponse sortante doivent être accessibles depuis le service VMware Identity Manager.
Si vous activez OCSP, le répondeur OCSP doit être accessible depuis Internet.