AirWatch により管理された Android デバイスからシングル サインオンを提供するには、VMware Identity Manager の組み込み ID プロバイダで Android 版モバイル SSO 認証を構成します。

このタスクについて

証明書の認証方法の構成については、VMware Identity Manager で証明書またはスマート カード アダプタを使用するための構成を参照してください。

前提条件

  • ユーザーから提示された証明書に署名した CA からルート証明書と中間証明書を入手します。

  • (オプション)証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。

  • 失効チェックのための、CRL のファイルの場所および OCSP サーバの URL。

  • (オプション)OCSP応答署名証明書ファイルの場所。

手順

  1. 管理コンソールの [ID とアクセス管理] タブで、管理 > ID プロバイダ の順に選択します。
  2. 組み込み のラベルの付いた ID プロバイダをクリックします。
  3. 組み込み ID プロバイダのユーザーおよびネットワーク構成が正しいことを確認します。

    正しくない場合は、必要に応じて [ユーザー] と [ネットワーク] のセクションを編集します。

  4. [認証方法] セクションで、モバイル SSO (Android デバイス版) のギヤ アイコンをクリックします。
  5. CertProxyAuthAdapter ページで、認証方法を構成します。

    オプション

    説明

    証明書アダプタを有効にする

    このチェック ボックスを選択して Android 版モバイル SSO を有効にします。

    ルートおよび中間 CA 証明書

    アップロードする証明書ファイルを選択します。エンコードされた複数のルート CA 証明書および中間 CA 証明書を選択できます。ファイル形式には PEM または DER のいずれかを使用できます。

    アップロードされた CA 証明書サブジェクト DN

    アップロードされた証明書ファイルの内容が表示されます。

    証明書に UPN が含まれていない場合はメールを使用する

    ユーザー プリンシパル名 (UPN) が証明書に存在しない場合に、サブジェクトの別名の拡張として emailAddress 属性を使用してユーザー アカウントを検証するには、このチェック ボックスをオンにします。

    承認された証明書ポリシー

    証明書ポリシー拡張で承認されたオブジェクト識別子のリストを作成します。証明書発行ポリシーのオブジェクト ID 番号 (OID) を入力します。別の値を追加 をクリックして、OID を追加します。

    証明書の失効を有効にする

    証明書の失効チェックを有効にするには、このチェック ボックスをオンにします。これにより、ユーザー証明書が失効したユーザーは認証されなくなります。

    証明書から CRL を使用する

    証明書を発行した CA が公開する証明書失効リスト (CRL) を使用して証明書のステータス(失効しているかどうか)を確認するには、このチェック ボックスをオンにします。

    CRL の場所

    CRL を取得するサーバのファイル パスまたはローカル ファイル パスを入力します。

    OCSP の失効を有効にする

    証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを取得するには、このチェック ボックスをオンにします。

    OCSP の障害時に CRL を使用する

    CRL と OCSP の両方を構成し、OCSP チェックが利用できない場合に CRL の使用に戻るには、このチェック ボックスをオンにします。

    OCSP Nonce を送信する

    応答時に、OCSP 要求の一意の ID を送信する場合は、このチェック ボックスをオンにします。

    OCSP の URL

    OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバ アドレスを入力します。

    OCSP レスポンダの署名証明書

    レスポンダの OCSP 証明書のパスを入力します。「/path/to/file.cer」のように入力します。

  6. 保存 をクリックします。
  7. [組み込みの ID プロバイダ] ページで 保存 をクリックします。

次のタスク

Android 版モバイル SSO のデフォルトのアクセス ポリシー ルールを構成します。ユーザーに適用する認証方法の管理を参照してください。

注:

Android 版モバイル SSO のポリシー ルールに使用するネットワーク範囲は、AirWatch Tunnel プロキシ サーバからのリクエストを受け取るために使用される IP アドレスのみで構成する必要があります。