Pour configurer le service Workspace ONE Access afin qu'il effectue l'authentification Kerberos pour des postes de travail, vous devez rejoindre le domaine et autoriser l'authentification Kerberos sur le connecteur.

Conditions préalables

  • La machine Windows sur laquelle est installé le connecteur Workspace ONE Access doit être jointe au domaine.
  • Vous devez avoir installé Workspace ONE Access Connector en tant qu'utilisateur de domaine faisant partie du groupe d'administrateurs sur la machine Windows sur laquelle le connecteur est installé, et vous devez exécuter le service Workspace ONE Access Connector en tant qu'utilisateur de domaine Windows.

Procédure

  1. Dans l'onglet Identité et gestion de l'accès de la console Workspace ONE Access, sélectionnez Configuration.
  2. Dans la colonne Travailleur correspondant au connecteur, cliquez sur Adaptateurs d'authentification.
  3. Cliquez sur KerberosIdpAdapter
    Vous êtes redirigé vers la page de connexion.
  4. Cliquez sur Modifier sur la ligne KerberosldpAdapter et configurez la page d'authentification de Kerberos.
    Option Description
    Nom Un nom est requis. Le nom par défaut est KerberosIdpAdapter. Vous pouvez modifier ce nom.
    Attribut UID du répertoire Entrez l'attribut de compte qui contient le nom de l'utilisateur.
    Activer l'authentification Windows Sélectionnez Activer l'authentification Windows pour étendre les interactions d'authentification entre les navigateurs des utilisateurs et Workspace ONE Access.
    Activer NTLM Sélectionnez Activer NTLM pour l'authentification par protocole du gestionnaire de LAN NT (NTLM) uniquement si votre infrastructure Active Directory dépend de l'authentification NTLM.
    Activer la redirection Si plusieurs connecteurs sont configurés dans un cluster et que Kerberos est configuré pour la haute disponibilité derrière un équilibrage de charge, sélectionnez Activer la redirection et spécifiez une valeur pour le nom d'hôte de redirection.

    Si un seul connecteur est déployé, vous n'avez pas besoin d'utiliser les options Activer la redirection et Nom d'hôte de redirection.

    Nom d'hôte de redirection Une valeur est requise si l'option Activer la redirection est sélectionnée. Entrez le nom d'hôte du connecteur. Par exemple, si le nom d'hôte du connecteur est connector1.example.com, entrez connector1.example.com dans la zone de texte.
  5. Cliquez sur Enregistrer.
    Note : Si vous obtenez une erreur indiquant que l'initialisation Kerberos a échoué, reportez-vous à la section #GUID-5CB85732-229F-4D16-9737-095155143C2E. Après avoir exécuté le script, revenez à cette page et configurez l'adaptateur.

Que faire ensuite

Ajoutez la méthode d'authentification à la stratégie d'accès par défaut. Accédez à la page Gestion des identités et des accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification Kerberos à la règle en respectant l'ordre de l'authentification.