Per l'autenticazione SSO mobile per iOS nei dispositivi iOS gestiti da VMware Workspace ONE™ UEM, è possibile utilizzare il KDC integrato. È sufficiente inizializzare manualmente Key Distribution Center (KDC) nell'appliance prima di abilitare il metodo di autenticazione dalla console di amministrazione.

Nota: Quando si integra VMware Identity Manager con Workspace ONE UEM in un ambiente Windows, utilizzare il servizio KDC ospitato nel cloud di VMware Identity Manager anziché il KDC integrato. Se si utilizza KDC nel cloud, è necessario selezionare il nome dell'area di autenticazione appropriato nella pagina dell'adattatore di autenticazione di iOS dalla console di amministrazione. Consultare la guida all'amministrazione di VMware Identity Manager.

Prima di inizializzare KDC in VMware Identity Manager, è necessario determinare il nome dell'area di autenticazione per il server KDC, nonché stabilire se nella distribuzione sono presenti sottodomini e se utilizzare o meno il certificato predefinito del server KDC.

Area di autenticazione

L'area di autenticazione è un'entità amministrativa in cui sono presenti i dati di autenticazione. La selezione di un nome descrittivo per l'area di autenticazione Kerberos è molto importante. Il nome dell'area deve essere una parte di un dominio DNS che può essere configurato dall'azienda.

Il nome dell'ambito e il nome di dominio completo (fully qualified domain name, FQDN) utilizzato per accedere al servizio VMware Identity Manager non sono correlati. L'azienda deve controllare i domini DNS sia per il nome dell'area di autorizzazione che per il nome di dominio completo. Di solito il nome dell'area di autenticazione è uguale al nome di dominio di VMware Identity Manager ma in lettere maiuscole. A volte questi due nomi sono differenti. Ad esempio, il nome di un'area di autorizzazione è EXAMPLE.NET, mentre il nome di dominio completo di VMware Identity Manager è idm.example.com. In questo caso, è necessario definire le voci DNS sia per example.net che per example.com.

Il nome dell'area di autorizzazione è utilizzato da un client Kerberos per generare i nomi DNS. Ad esempio, se il nome è EXAMPLE.COM, il nome correlato a Kerberos per contattare il KDC mediante TCP è _kerberos._tcp.EXAMPLE.COM.

Uso di sottodomini

Il servizio VMware Identity Manager installato in un ambiente locale può utilizzare il sottodominio del nome di dominio completo di VMware Identity Manager. Se il sito di VMware Identity Manager accede a più domini DNS, configurare i domini come location1.example.com; location2.example.com; location3.example.com. Il valore del sottodominio in questo caso è example.com, digitato con lettere minuscole. Per configurare un sottodominio nel proprio ambiente consultare il team di supporto del servizio.

Uso di certificati del server KDC

Per impostazione predefinita, quando viene inizializzato KDC vengono generati un certificato del server KDC e un certificato root autofirmato. Il certificato è utilizzato per emettere il certificato del server KDC. Questo certificato root è inclso nel profilo del dispositivo in modo che il dispositivo possa considerare il KDC attendibile.

Il certificato del server KDC può essere generato manualmente utilizzando un certificato root aziendale o un certificato intermedio. Contattare il team di supporto del servizio per maggiori dettagli su questa funzione.

Scaricare il certificato root del server KDC dalla console di amministrazione di VMware Identity Manager per utilizzarlo nella configurazione di Workspace ONE UEM del profilo di gestione del dispositivo iOS.