Utilizzo di KDC integrato per Workspace ONE Access

Per l'autenticazione SSO mobile per iOS nei dispositivi iOS gestiti da VMware Workspace ONE™ UEM, è possibile utilizzare il KDC integrato. È sufficiente inizializzare manualmente Key Distribution Center (KDC) nell'appliance prima di abilitare il metodo di autenticazione dalla console di amministrazione.

Prima di inizializzare KDC in Workspace ONE Access, è necessario determinare il nome dell'area di autenticazione per il server KDC, nonché stabilire se nella distribuzione sono presenti sottodomini e se utilizzare o meno il certificato predefinito del server KDC.

Area di autenticazione

L'area di autenticazione è un'entità amministrativa in cui sono presenti i dati di autenticazione. La selezione di un nome descrittivo per l'area di autenticazione Kerberos è molto importante. Il nome dell'area deve essere una parte di un dominio DNS che può essere configurato dall'azienda.

Il nome dell'area di autenticazione e il nome di dominio completo utilizzato per accedere al servizio Workspace ONE Access sono indipendenti. L'azienda deve controllare i domini DNS sia per il nome dell'area di autorizzazione che per il nome di dominio completo. Di solito il nome dell'area di autenticazione è uguale al nome di dominio di Workspace ONE Access ma in lettere maiuscole. A volte questi due nomi sono differenti. Ad esempio, il nome di un'area di autorizzazione è EXAMPLE.NET, mentre il nome di dominio completo di Workspace ONE Access è idm.example.com. In questo caso, è necessario definire le voci DNS sia per example.net che per example.com.

Il nome dell'area di autorizzazione è utilizzato da un client Kerberos per generare i nomi DNS. Ad esempio, se il nome è EXAMPLE.COM, il nome correlato a Kerberos per contattare il KDC mediante TCP è _kerberos._tcp.EXAMPLE.COM.

Uso di sottodomini

Il servizio Workspace ONE Access installato in un ambiente locale può utilizzare il sottodominio del nome di dominio completo di Workspace ONE Access. Se il sito di Workspace ONE Access accede a più domini DNS, configurare i domini come location1.example.com; location2.example.com; location3.example.com. Il valore del sottodominio in questo caso è example.com, digitato con lettere minuscole. Per configurare un sottodominio nel proprio ambiente consultare il team di supporto del servizio.

Uso di certificati del server KDC

Per impostazione predefinita, quando viene inizializzato KDC vengono generati un certificato del server KDC e un certificato root autofirmato. Il certificato è utilizzato per emettere il certificato del server KDC. Questo certificato root è inclso nel profilo del dispositivo in modo che il dispositivo possa considerare il KDC attendibile.

Il certificato del server KDC può essere generato manualmente utilizzando un certificato root aziendale o un certificato intermedio. Contattare il team di supporto del servizio per maggiori dettagli su questa funzione.

Scaricare il certificato root del server KDC dalla console di amministrazione di Workspace ONE Access per utilizzarlo nella configurazione di Workspace ONE UEM del profilo di gestione del dispositivo iOS.