Pour prendre en charge l’utilisation d'authentification Kerberos pour Mobile SSO pour iOS, VMware Identity Manager fournit un service de cloud hébergé KDC.
Le service KDC hébergé dans le cloud doit être utilisé lorsque le service VMware Identity Manager est déployé avec AirWatch dans un environnement Windows.
Pour utiliser le KDC géré dans le dispositif VMware Identity Manager, reportez-vous à la Préparation pour utiliser l’authentification Kerberos sur les périphériques iOS dans le Guide de configuration et d'installation de VMware Identity Manager.
Lorsque vous configurez l’authentification Mobile SSO pour iOS, vous configurez le nom de domaine pour le service cloud hébergé KDC. Le domaine est le nom de l'entité administrative qui conserve des données d'authentification. Lorsque vous cliquez sur Enregistrer, le service VMware Identity Manager est enregistré avec le service cloud hébergé KDC. Les données stockées dans le service KDC sont basées sur la configuration de la méthode d'authentification Mobile SSO pour iOS, ce qui inclut le certificat d’autorité de certification, le certificat de signature OCSP et les détails de configuration de demande OCSP. Aucune autre information spécifique à l’utilisateur n’est stockée dans le service de cloud.
Les enregistrements de journalisation sont stockées dans le service cloud. Les informations identifiables personnellement (IPI) dans les enregistrements de journalisation incluent le nom principal Kerberos du profil utilisateur, les valeurs d’objet ND et UPN et E-mail SAN, le périphérique ID du certificat de l’utilisateur et le nom de domaine complet du service IDM auquel accède l'utilisateur.
Pour utiliser le service cloud hébergé KDC, VMware Identity Manager doit être configuré comme suit.
Le nom de domaine complet du service VMware Identity Manager doit être accessible depuis Internet. Le certificat SSL/TLS utilisé par VMware Identity Manager doit être signé publiquement.
Une demande/réponse du port 88 (UDP) et du port 443 (HTTPS/TCP) sortants doivent être accessibles depuis le service VMware Identity Manager.
Si vous activez OCSP, le répondeur OCSP doit être accessible depuis Internet.