Pour l’authentification Mobile SSO pour iOS sur les périphériques iOS gérés par VMware Workspace ONE™ UEM, vous pouvez utiliser le KDC intégré. Vous initialisez manuellement le Centre de distribution de clés (KDC) dans le dispositif avant d’activer la méthode d’authentification à partir de la console d’administration.
Avant d'initialiser KDC dans VMware Identity Manager, déterminez le nom de domaine du serveur KDC, si votre déploiement comporte des sous-domaines et si vous voulez utiliser le certificat du serveur KDC par défaut ou non.
Domaine
Le domaine est le nom d'une entité administrative qui conserve des données d'authentification. Il est important de sélectionner un nom descriptif pour le domaine d'authentification Kerberos. Le nom de domaine doit faire partie d'un domaine DNS que l'entreprise peut configurer.
Le nom de domaine et le nom de domaine complet (FQDN) qui est utilisé pour accéder au service VMware Identity Manager sont indépendants. Votre entreprise doit contrôler les domaines DNS pour le nom de domaine et le FQDN. L'usage consiste à utiliser un nom de domaine identique au FQDN, mais écrit en majuscules. Parfois, le nom de domaine et le FQDN sont différents. Par exemple, un nom de domaine est EXAMPLE.NET et idm.example.com est le FQDN VMware Identity Manager. Dans ce cas, vous définissez des entrées DNS pour les domaines example.net et example.com.
Le nom de domaine est utilisé par un client Kerberos pour générer des noms DNS. Par exemple, lorsque le nom est example.com, le nom lié Kerberos pour contacter le KDC par TCP est _kerberos._tcp.EXAMPLE.COM.
Utilisation de sous-domaines
Le service VMware Identity Manager installé dans un environnement sur site peut utiliser le sous-domaine du FQDN VMware Identity Manager. Si votre site VMware Identity Manager accède à plusieurs domaines DNS, configurez les domaines sous la forme location1.example.com ; location2.example.com ; location3.example.com. Dans ce cas, la valeur du sous-domaine est example.com, saisi en minuscules. Pour configurer un sous-domaine dans votre environnement, contactez votre équipe du support du service.
Utilisation de certificats du serveur KDC
Lorsque le KDC est initialisé, un certificat du serveur KDC et un certificat racine auto-signé sont générés par défaut. Le certificat est utilisé pour émettre le certificat du serveur KDC. Ce certificat racine est inclus dans le profil du périphérique pour que le périphérique puisse approuver le KDC.
Vous pouvez générer manuellement le certificat du serveur KDC à l'aide d'un certificat racine ou intermédiaire d'entreprise. Contactez votre équipe du support du service pour obtenir des détails sur cette fonctionnalité.
Téléchargez le certificat racine du serveur KDC depuis la console d'administration VMware Identity Manager afin d'utiliser la configuration de Workspace ONE UEM du profil de gestion du périphérique iOS.