Per fornire l'autenticazione SSO (Single Sign-On) da dispositivi Android gestiti da Workspace ONE UEM, è necessario configurare l'autenticazione SSO mobile (per Android) nel provider di identità integrato di Workspace ONE Access.

Single Sign-On (SSO) mobile per Android è un'implementazione del metodo di autenticazione del certificato per i dispositivi Android gestiti da VMware Workspace ONE® UEM. Single Sign-On mobile consente agli utenti di accedere al proprio dispositivo ed effettuare l'accesso sicuro alle app dall'app Workspace ONE Intelligent Hub senza dover reimmettere una password.

Prerequisiti

  • Ottenere il certificato root e i certificati intermedi dall'autorità di certificazione che ha firmato i certificati presentati dagli utenti.
  • Stilare un elenco di identificatori oggetto (OID) di criteri di certificato validi per l'autenticazione del certificato.
  • Per il controllo della revoca, la posizione del file del CRL e l'URL del server OCSP.
  • (Facoltativo) La posizione del file del certificato Firma risposta OCSP.

Procedura

  1. Nella console di Workspace ONE Access, accedere alla pagina Integrazioni > Metodi di autenticazione e selezionare SSO mobile (per Android).
  2. Fare clic su SSO mobile (per Android) e configurare le impostazioni di autenticazione SSO mobile per Android.
    Opzione Descrizione
    Abilita adattatore certificato Selezionare questa casella di controllo per abilitare SSO mobile per Android.
    Certificati CA intermedi e root Selezionare i file di certificato da caricare. È possibile selezionare più certificati radice e intermedi dell'autorità di certificazione codificati. I formati file supportati sono PEM e DER.
    Certificati CA caricati Mostra il contenuto del file di certificato caricato.
    Ordine di ricerca ID utente

    Selezionare l'ordine di ricerca utilizzato per individuare l'identificatore utente nel certificato.

    • upn. Valore UserPrincipalName del nome alternativo del soggetto.
    • email. Indirizzo di posta elettronica del nome alternativo del soggetto.
    • soggetto. Valore UID del soggetto.
    Importante: Per l'autenticazione SSO mobile per Android, il valore dell'attributo identificatore deve essere lo stesso nei servizi di Workspace ONE Access e di Workspace ONE UEM. In caso contrario, l'autenticazione SSO per Android non riesce.
    Nota:
    • Se per la generazione del certificato del client tunnel viene utilizzata una CA Workspace ONE UEM, l'ordine di ricerca dell'identificatore utente deve essere UPN | Soggetto.
    • Se si utilizza una CA aziendale di terze parti, l'ordine di ricerca dell'identificatore utente deve essere UPN | E-mail | Soggetto e il modello del certificato deve contenere il nome del soggetto CN={DeviceUid}:{EnrollmentUser}. Assicurarsi di includere il segno di due punti (:).

    Convalida formato UPN Abilitare questa casella di controllo per convalidare il formato del campo UserPrincipalName.
    Criteri dei certificati accettati Creare un elenco di identificatori di oggetto accettati nelle estensioni dei criteri di certificato. Immettere il numero OID (Object ID Number) per il criterio di emissione dei certificati. Fare clic su Aggiungi un altro valore per aggiungere altri OID.
    Abilita revoca certificato Selezionare la casella di controllo per abilitare il controllo della revoca del certificato. La revoca del certificato impedisce l'autenticazione degli utenti che hanno certificati revocati.
    Usa CRL dai certificati Selezionare la casella di controllo per utilizzare l'elenco di revoche di certificati (CRL) pubblicato dall'autorità di certificazione che ha emesso i certificati per convalidare lo stato, revocato o non revocato, di un certificato.
    Posizione CRL Immettere il percorso del file server o del file locale dal quale recuperare l'elenco di revoche di certificati.
    Abilita revoca OCSP Selezionare questa casella di controllo per utilizzare il protocollo di convalida del certificato OCSP (Online Certificate Status Protocol) per ottenere lo stato della revoca di un certificato.
    Usa CRL in caso di errore OCSP Se si configurano sia CRL che OCSP, è possibile selezionare questa casella di controllo per eseguire il fallback a CRL se il controllo OCSP non è disponibile.
    Invia nonce OCSP Selezionare questa casella di controllo se si desidera inviare l'identificativo univoco della richiesta OCSP nella risposta.
    URL OCSP Se la revoca OCSP è stata abilitata, immettere l'indirizzo del server OCSP per il controllo della revoca.
    Origine URL OCSP Selezionare l'origine da utilizzare per il controllo della revoca.
    • Solo configurazione. Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP specificato nella casella di testo per convalidare l'intera catena di certificati.
    • Solo certificato (obbligatorio). Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP esistente nell'estensione AIA di ogni certificato nella catena. Tutti i certificati nella catena devono disporre di un URL dell'OCSP definito. In caso contrario, il controllo della revoca del certificato non riesce.
    • Solo certificato (facoltativo). Esegue solo il controllo della revoca del certificato utilizzando l'URL dell'OCSP esistente nell'estensione AIA del certificato. Non esegue il controllo della revoca se l'URL dell'OCSP non esiste nell'estensione AIA del certificato.
    • Certificato con fallback alla configurazione. Esegue il controllo della revoca del certificato utilizzando l'URL dell'OCSP estratto dall'estensione AIA di ogni certificato nella catena quando l'URL dell'OCSP è disponibile. Se l'URL dell'OCSP non è presente nell'estensione AIA, controlla la revoca utilizzando l'URL dell'OCSP configurato nella casella di testo URL OCSP. La casella di testo URL OCSP deve essere configurata con l'indirizzo del server OCSP.
    Certificato della firma del risponditore OCSP Immettere il percorso del certificato OCSP del risponditore. Utilizzare la forma /path/to/file.cer
    Certificati di firma OCSP caricati I file di certificato caricati sono elencati in questa sezione.
    Abilita collegamento per annullamento Quando l'autenticazione impiega troppo tempo, se questo collegamento è abilitato, gli utenti possono fare clic su Annulla per interrompere il tentativo di autenticazione e annullare l'accesso.
    Messaggio di annullamento Creare un messaggio personalizzato che verrà visualizzato nel caso in cui l'autenticazione stia impiegando troppo tempo. Se non si crea un messaggio personalizzato, il messaggio predefinito è Attempting to authenticate your credentials.
  3. Fare clic su Salva.

Operazioni successive

Associare il metodo di autenticazione SSO mobile (per iOS) nel provider di identità integrato.

Configurare la regola del criterio di accesso predefinito per SSO mobile per Android.