Utilizzo del servizio KDC ospitato nel cloud

Per supportare l'utilizzo dell'autenticazione Kerberos per SSO mobile per iOS, VMware Identity Manager offre un servizio KDC ospitato nel cloud.

È necessario utilizzare il servizio KDC ospitato nel cloud quando il servizio VMware Identity Manager viene distribuito con Workspace ONE UEM in un ambiente Windows.

Per utilizzare il servizio KDC gestito nell'appliance di VMware Identity Manager, vedere la sezione relativa alla preparazione per l'utilizzo dell'autenticazione Kerberos nei dispositivi iOS della guida all'installazione e alla configurazione di VMware Identity Manager.

Se si configura l'autenticazione SSO mobile per iOS, è necessario configurare il nome dell'area di autenticazione per il servizio KDC ospitato nel cloud. L'area di autenticazione è il nome dell'entità amministrativa che gestisce i dati di autenticazione. Quando si fa clic su Salva, il servizio VMware Identity Manager viene registrato nel servizio KDC ospitato nel cloud. I dati archiviati nel servizio KDC si basano sulla configurazione del metodo di autenticazione SSO mobile per iOS, che include il certificato CA, il certificato di firma OCSP e i dettagli di configurazione della richiesta OCSP.

I record di accesso vengono archiviati nel servizio cloud. Le informazioni personali incluse nei record di accesso includono il nome dell'entità Kerberos del profilo utente, i valori DN, UPN e e-mail SAN dell'oggetto, l'ID dispositivo che si trova nel certificato dell'utente, nonché il nome di dominio completo del servizio IDM a cui l'utente sta accedendo.

Per utilizzare il servizio KDC ospitato nel cloud, VMware Identity Manager deve essere configurato nel modo seguente.

Il nome di dominio completo del servizio VMware Identity Manager deve essere raggiungibile da Internet. Il certificato SSL/TLS utilizzato da VMware Identity Manager deve essere firmato pubblicamente.
La porta 88 (UDP) di richiesta/risposta in uscita e la porta 443 (HTTPS/TCP) devono essere accessibili dal servizio VMware Identity Manager.
Se si abilita OCSP, il risponditore OCSP deve essere raggiungibile da Internet.