VMware Workspace ONE™ UEM で管理されている iOS デバイスの iOS 版モバイル SSO 認証の場合は、組み込み KDC を使用できます。管理コンソールで認証方法を有効にする前に、アプライアンスのキー配布センター (KDC) を手動で初期化します。

注: Windows 環境で VMware Identity Managerを Workspace ONE UEM に統合する場合は、組み込み KDC ではなく、 VMware Identity Manager KDC クラウド ホスト型サービスを使用します。クラウドで KDC を使用するには、管理コンソールから、iOS 認証アダプタ ページで適切なレルム名を選択する必要があります。『VMware Identity Manager 管理ガイド』を参照してください。

VMware Identity Managerで KDC を初期化する前に、KDC サーバのレルム名を決めます。また、展開環境にサブドメインを含めるかどうか、デフォルトの KDC サーバ証明書を使用するかどうかを決めます。

レルム

レルムは、認証データを保持する管理エンティティの名前です。Kerberos 認証レルムには分かりやすい名前を選択することが重要です。レルム名は、企業が構成できる DNS ドメインの一部である必要があります。

レルム名は、VMware Identity Manager サービスにアクセスするために使用される完全修飾ドメイン名 (FQDN) から独立しています。企業は、レルム名と FQDN の両方に対し、DNS ドメインを制御する必要があります。一般的には、レルム名をドメイン名と同一とし、大文字で指定します。ドメイン名とは異なるレルム名を指定することもあります。たとえば、レルム名が EXAMPLE.NET で、idm.example.comVMware Identity Manager の FQDN であるとします。この場合、example.netexample.com の両方について、DNS エントリを定義します。

レルム名は、Kerberos クライアントが DNS 名を生成するために使用します。たとえば、名前が example.com の場合、TCP を介して KDC にコンタクトする Kerberos 関連の名前は_kerberos._tcp.EXAMPLE.COMです。

サブドメインの使用

オンプレミス環境にインストールされた VMware Identity Managerサービスは、VMware Identity Manager FQDN サブドメインを使用できます。VMware Identity Managerサイトが複数の DNS ドメインにアクセスする場合は、ドメインを location1.example.com、location2.example.com、location3.example.com のように設定します。このとき、小文字で指定される example.com がサブドメインの値となります。環境でサブドメインを構成する場合は、サービス サポート チームと連携してください。

KDC サーバ証明書の使用

KDC が初期化されると、デフォルトで KDC サーバ証明書と自己署名ルート証明書が生成されます。証明書は、KDC サーバ証明書を発行するために使用されます。このルート証明書はデバイス プロファイルに含まれるので、デバイスは KDC を信頼できます。

KDC サーバ証明書は、エンタープライズ ルートまたは中間証明書を使用して手動で生成できます。この機能の詳細については、サービス サポート チームにお問い合わせください。

KDC サーバ ルート証明書を VMware Identity Manager管理コンソールからダウンロードして、iOS デバイス管理プロファイルの Workspace ONE UEM 構成で使用できます。