Lorsque le service d'authentification Kerberos est installé sur une instance de Workspace ONE Access Connector, vous activez et configurez la méthode d'authentification Kerberos à partir de la console Workspace ONE Access. Vous ajoutez ensuite le fournisseur d'identité Workspace IDP et associez la méthode d'authentification Kerberos au fournisseur d'identité.

Conditions préalables

Vous devez configurer correctement les services d'authentification Kerberos dans Workspace ONE Access Connector. Une configuration appropriée inclut les éléments suivants.

  • Vous devez joindre au domaine la machine Windows sur laquelle est installé le service d'authentification Kerberos.
  • Lors de l'installation du service d'authentification Kerberos, vous avez spécifié le compte d'utilisateur de domaine à utiliser pour exécuter le service. Cet utilisateur de domaine fait partie du groupe d'administrateurs sur la machine Windows sur laquelle le service est installé.
  • Un certificat SSL approuvé signé par une autorité de certification publique ou interne a été téléchargé. Si vous avez déployé plusieurs instances du service d'authentification Kerberos pour la haute disponibilité, un certificat SSL approuvé signé par une autorité de certification publique ou interne a été téléchargé sur chaque connecteur.
  • Les services d'authentification Kerberos nécessitent une connexion entrante au connecteur sur le port TCP 443.
  • Pour configurer la haute disponibilité pour l'authentification Kerberos, un équilibrage de charge est requis. Un certificat SSL approuvé signé par une autorité de certification publique ou interne doit être inclus dans l'équilibrage de charge. Pour obtenir des informations sur la configuration, consultez le Guide de Workspace ONE Access Connector.

Procédure

  1. Dans la console Workspace ONE Access, sur la page Intégrations > Méthodes d'authentification du connecteur, cliquez sur NOUVEAU et sélectionnez Kerberos.
  2. Sélectionnez le Répertoire et l'Hôte de service à configurer avec cette méthode d'authentification.
  3. Configurez les paramètres de la méthode d'authentification Kerberos.
    Option Description
    Attribut UID du répertoire Entrez l'attribut de compte qui contient le nom de l'utilisateur.
    Activer la redirection Activer la redirection : indique si la redirection est activée, car vous déployez plusieurs connecteurs configurés avec le service d'authentification Kerberos pour la haute disponibilité avec un équilibrage de charge.
  4. Cliquez sur SUIVANT pour vérifier la configuration, puis cliquez sur ENREGISTRER.

Que faire ensuite

Sur la page Fournisseur d'identité, ajoutez le fournisseur d'identité Workspace IDP et associez-lui la méthode d'authentification Kerberos. Reportez-vous à la section Configurer l'instance de fournisseur d'identité Workspace avec l'authentification Kerberos dans Workspace ONE Access.

Ajoutez la méthode d'authentification à la stratégie d'accès par défaut sur la page Ressources > Stratégies, puis modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification Kerberos à la règle dans l'ordre d'authentification approprié, avec l'authentification par mot de passe (cloud) configurée en tant que méthode d'authentification de secours. Reportez-vous à la section Gestion des stratégies d'accès dans le service Workspace ONE Access.

Si la haute disponibilité est configurée, sur chaque connecteur, configurez la méthode d'authentification Kerberos pour le service d'authentification Kerberos.