Per fornire l'autenticazione SSO (Single Sign-On) da dispositivi Android gestiti da AirWatch, è necessario configurare l'autenticazione SSO mobile per Android nel provider di identità integrato di VMware Identity Manager.

Prerequisiti

  • Ottenere il certificato root e i certificati intermedi dall'autorità di certificazione che ha firmato i certificati presentati dagli utenti.
  • (Facoltativo) Elenco di identificatori di oggetto (OID) di criteri di certificato validi per l'autenticazione del certificato.
  • Per il controllo della revoca, la posizione del file del CRL e l'URL del server OCSP.
  • (Facoltativo) La posizione del file del certificato Firma risposta OCSP.

Procedura

  1. Nella scheda Gestione identità e accessi della console di amministrazione, selezionare Gestione > Provider di identità.
  2. Fare clic sul provider di identità Integrato.
  3. Verificare che la configurazione di Utenti e rete nel provider di identità integrato sia corretta.
    In caso contrario, modificare le sezioni Utenti e rete secondo necessità.
    Nota: L'intervallo di rete utilizzato nella regola del criterio per SSO mobile per Android dovrebbe essere composto solo dagli indirizzi IP utilizzati per ricevere richieste provenienti dal server proxy VMware Tunnel.
  4. Nella sezione Metodi di autenticazione, fare clic sull'icona dell'ingranaggio di SSO mobile (per Android).
  5. Nella pagina CertProxyAuthAdapter, configurare il metodo di autenticazione.
    Opzione Descrizione
    Abilita adattatore certificato Selezionare questa casella di controllo per abilitare SSO mobile per Android.
    Certificati CA intermedi e root Selezionare i file di certificato da caricare. È possibile selezionare più certificati radice e intermedi dell'autorità di certificazione codificati. I formati file supportati sono PEM e DER.
    DN oggetto certificato CA caricati Mostra il contenuto del file di certificato caricato.
    Usa e-mail se nel certificato non esiste un UPN Se il nome dell'entità utente (UPN) non esiste nel certificato, selezionare questa casella di controllo per utilizzare l'attributo e-mailAddress come estensione SAN (Subject Alternative Name, nome alternativo del soggetto) per convalidare gli account utente.
    Criteri di certificato accettati Creare un elenco di identificatori di oggetto accettati nelle estensioni dei criteri di certificato. Immettere il numero OID (Object ID Number) per il criterio di emissione dei certificati. Fare clic su Aggiungi un altro valore per aggiungere altri OID.
    Abilita revoca certificato Selezionare la casella di controllo per abilitare il controllo della revoca del certificato. In questo modo si impedirà l'autenticazione degli utenti che hanno certificati revocati.
    Usa CRL dei certificati Selezionare la casella di controllo per utilizzare l'elenco di revoche di certificati (CRL) pubblicato dall'autorità di certificazione che ha emesso i certificati per convalidare lo stato, revocato o non revocato, di un certificato.
    Posizione CRL Immettere il percorso del file server o del file locale dal quale recuperare l'elenco di revoche di certificati.
    Abilita revoca OCSP Selezionare questa casella di controllo per utilizzare il protocollo di convalida del certificato OCSP (Online Certificate Status Protocol) per ottenere lo stato della revoca di un certificato.
    Usa CRL in caso di errore OCSP Se si configurano sia CRL che OCSP, è possibile selezionare questa casella di controllo per eseguire il fallback a CRL se il controllo OCSP non è disponibile.
    Invia nonce OCSP Selezionare questa casella di controllo se si desidera inviare l'identificativo univoco della richiesta OCSP nella risposta.
    URL OCSP Se la revoca OCSP è stata abilitata, immettere l'indirizzo del server OCSP per il controllo della revoca.
    Certificato della firma del risponditore OCSP Immettere il percorso del certificato OCSP del risponditore. Utilizzare la forma /path/to/file.cer
    Abilita collegamento per annullamento Quando l'autenticazione impiega troppo tempo, se questo collegamento è abilitato, gli utenti possono fare clic su Annulla per interrompere il tentativo di autenticazione e annullare l'accesso.
    Messaggio di annullamento Creare un messaggio personalizzato che verrà visualizzato nel caso in cui l'autenticazione stia impiegando troppo tempo. Se non si crea un messaggio personalizzato, il messaggio predefinito è Attempting to authenticate your credentials.
  6. Fare clic su Salva.
  7. Fare clic su Salva nella pagina del provider di identità integrato.

Operazioni successive

Configurare la regola del criterio di accesso predefinito per SSO mobile per Android.