Utilisation du KDC intégré pour Workspace ONE Access

Pour l’authentification Mobile SSO pour iOS sur les périphériques iOS gérés par VMware Workspace ONE™ UEM, vous pouvez utiliser le KDC intégré. Vous initialisez manuellement le Centre de distribution de clés (KDC) dans le dispositif avant d’activer la méthode d’authentification à partir de la console d’administration.

Avant d'initialiser KDC dans Workspace ONE Access, déterminez le nom de domaine du serveur KDC, si votre déploiement comporte des sous-domaines et si vous voulez utiliser le certificat du serveur KDC par défaut ou non.

Domaine

Le domaine est le nom d'une entité administrative qui conserve des données d'authentification. Il est important de sélectionner un nom descriptif pour le domaine d'authentification Kerberos. Le nom de domaine doit faire partie d'un domaine DNS que l'entreprise peut configurer.

Le nom de domaine et le nom de domaine complet (FQDN) qui est utilisé pour accéder au service Workspace ONE Access sont indépendants. Votre entreprise doit contrôler les domaines DNS pour le nom de domaine et le FQDN. L'usage consiste à utiliser un nom de domaine identique au nom de domaine de DNS Workspace ONE Access, entré en majuscules. Parfois, le nom de domaine et le FQDN sont différents. Par exemple, un nom de domaine est EXAMPLE.NET et idm.example.com est le FQDN Workspace ONE Access. Dans ce cas, vous définissez des entrées DNS pour les domaines example.net et example.com.

Le nom de domaine est utilisé par un client Kerberos pour générer des noms DNS. Par exemple, lorsque le nom est EXAMPLE.COM, le nom lié à Kerberos pour contacter le KDC par TCP est _kerberos._tcp.EXAMPLE.COM.

Utilisation de sous-domaines

Le service Workspace ONE Access installé dans un environnement sur site peut utiliser le sous-domaine du FQDN Workspace ONE Access. Si votre site Workspace ONE Access accède à plusieurs domaines DNS, configurez les domaines sous la forme location1.example.com ; location2.example.com ; location3.example.com. Dans ce cas, la valeur du sous-domaine est example.com, entrée en minuscules. Pour configurer un sous-domaine dans votre environnement, contactez votre équipe du support du service.

Utilisation de certificats du serveur KDC

Lorsque le KDC est initialisé, un certificat du serveur KDC et un certificat racine auto-signé sont générés par défaut. Le certificat est utilisé pour émettre le certificat du serveur KDC. Ce certificat racine est inclus dans le profil du périphérique pour que le périphérique puisse approuver le KDC.

Vous pouvez générer manuellement le certificat du serveur KDC à l'aide d'un certificat racine ou intermédiaire d'entreprise. Contactez votre équipe du support du service pour obtenir des détails sur cette fonctionnalité.

Téléchargez le certificat racine du serveur KDC depuis la console d'administration Workspace ONE Access afin d'utiliser la configuration de Workspace ONE UEM du profil de gestion des terminaux iOS.