Pour fournir Single Sign-On à partir de périphériques Android gérés par Workspace ONE UEM, configurez l'authentification Mobile SSO pour Android dans le fournisseur d'identité intégré de Workspace ONE Access.

Mobile Single Sign-On (SSO) pour Android est une implémentation de la méthode d'authentification par certificat pour les périphériques Android gérés par VMware Workspace ONE® UEM. Mobile Single Sign-On permet aux utilisateurs de se connecter à leur périphérique et d'accéder en toute sécurité à leurs applications VMware Workspace® ONE® sans entrer à nouveau un mot de passe. Pour obtenir des informations détaillées sur la configuration, consultez le Guide d'Android Mobile Single Sign-on vers VMware Workspace ONE.

Conditions préalables

  • Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs.
  • Liste des identificateurs d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat.
  • Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP.
  • (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP.

Procédure

  1. Dans l'onglet Gestion des identités et des accès, accédez à Gérer > Méthodes d'authentification.
  2. Dans la colonne Configurer de Mobile SSO (pour Android), cliquez sur l'icône en forme de crayon.
  3. Configurez la page Mobile SSO pour Android.
    Option Description
    Activer l'adaptateur de certificat Cochez cette case pour activer Mobile SSO pour Android.
    Certificat d'autorité de certification racine et intermédiaire Sélectionnez les fichiers de certificat à télécharger. Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui sont encodés. Le format de fichier peut être PEM ou DER.
    Certificats d'autorité de certification chargés Le contenu du fichier de certificat téléchargé s'affiche ici.
    Ordre de recherche de l'identifiant utilisateur

    Sélectionnez l'ordre de recherche pour localiser l'identifiant de l'utilisateur à l'intérieur du certificat.

    • upn. Valeur UserPrincipalName de l'autre nom du sujet
    • email. Adresse e-mail de l'autre nom du sujet.
    • subject. Valeur UID provenant du sujet.
    Note :
    • Si une autorité de certification AirWatch est utilisée pour la génération d'un certificat client tunnel, l'ordre de recherche de l'identifiant d'utilisateur doit être UPN | Sujet.
    • Si une autorité de certification d'entreprise tierce est utilisée, l'ordre de recherche de l'identifiant d'utilisateur doit être UPN | E-mail | Sujet et le modèle de certificat doit contenir le nom du sujet CN = {DeviceUid} : {EnrollmentUser}. Assurez-vous d'inclure deux-points (:).

    Valider le format UPN Cochez cette case pour valider le format du champ UserPrincipalName.
    Stratégies de certificat acceptées Créez une liste d'identificateurs d'objet qui sont acceptés dans les extensions de stratégie de certificat. Entrez le numéro d'ID d'objet (OID) pour la stratégie d'émission de certificat. Cliquez sur Ajouter une autre valeur pour ajouter des OID supplémentaires.
    Activer la révocation de certificat Cochez cette case pour permettre le contrôle de la révocation des certificats. La révocation des certificats empêche les utilisateurs disposant de certificats d'utilisateur révoqués de s'authentifier.
    Utiliser la liste de révocation des certificats Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider le statut d'un certificat, révoqué ou non révoqué.
    Emplacement de la CRL Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peut être récupérée.
    Autoriser la révocation OCSP Cochez cette case pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'un certificat.
    Utiliser la CRL en cas de défaillance du protocole Si vous configurez une CRL et OCSP, vous pouvez cocher cette case pour basculer vers l'utilisation de la CRL, si le contrôle d'OCSP n'est pas disponible.
    Envoi de nonce OCSP Cochez cette case si vous souhaitez que l'identificateur unique de la requête OCSP soit envoyé dans la réponse.
    URL d'OCSP Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation.
    Source URL d'OSCP Sélectionnez la source à utiliser pour le contrôle de la révocation.
    • Configuration uniquement. Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP fournie dans la zone de texte pour valider la chaîne de certificats complète.
    • Certificat uniquement (requis). Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA de chaque certificat de la chaîne. Une URL d'OCSP doit être définie dans chaque certificat de la chaîne. Sinon, le contrôle de la révocation du certificat échoue.
    • Certificat uniquement (facultatif). Effectuez uniquement le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP qui existe dans l'extension AIA du certificat. Ne contrôlez pas la révocation si l'URL d'OCSP n'existe pas dans l'extension AIA du certificat.
    • Certificat avec recours à la configuration. Effectuez le contrôle de la révocation du certificat à l'aide de l'URL d'OCSP extraite de l'extension AIA de chaque certificat de la chaîne, lorsque l'URL d'OCSP est disponible. Si l'URL d'OCSP ne se trouve pas dans l'extension AIA, contrôlez la révocation à l'aide de l'URL d'OCSP dans la zone de texte URL d'OCSP. La zone de texte URL d'OCSP doit être configurée avec l'adresse du serveur OCSP.
    Certificat de signature du répondeur OCSP Entrez le chemin d'accès au certificat OCSP du répondeur. Utilisez le format /path/to/file.cer
    Certificats de signature OCSP téléchargés Les fichiers de certificat téléchargés sont répertoriés dans cette section.
    Activer le lien d'annulation Lorsque l'authentification prend trop de temps, si ce lien est activé, les utilisateurs peuvent cliquer sur Annuler pour interrompre la tentative d'authentification et annuler la connexion.
    Message Annuler Créez un message personnalisé qui s'affiche lorsque l'authentification prend trop de temps. Si vous ne créez pas de message personnalisé, le message par défaut est Attempting to authenticate your credentials.
  4. Cliquez sur Enregistrer.

Que faire ensuite

Associez la méthode d'authentification Mobile SSO (pour iOS) dans le fournisseur d'identité intégré.

Configurez la règle de stratégie d'accès par défaut pour Mobile SSO pour Android.