VMware Workspace ONE™ UEM で管理されている iOS デバイスの iOS 版モバイル SSO 認証の場合は、組み込み KDC を使用できます。管理コンソールで認証方法を有効にする前に、アプライアンスのキー配布センター (KDC) を手動で初期化します。

Workspace ONE Access で KDC を初期化する前に、KDC サーバのレルム名を決めます。また、展開環境にサブドメインを含めるかどうか、デフォルトの KDC サーバ証明書を使用するかどうかを決めます。

レルム

レルムは、認証データを保持する管理エンティティの名前です。Kerberos 認証レルムには分かりやすい名前を選択することが重要です。レルム名は、企業が構成できる DNS ドメインの一部である必要があります。

レルム名は、Workspace ONE Access サービスにアクセスするために使用される完全修飾ドメイン名 (FQDN) から独立しています。企業は、レルム名と FQDN の両方に対し、DNS ドメインを制御する必要があります。一般的には、レルム名を Workspace ONE Access DNS ドメイン名と同一とし、大文字で指定します。ドメイン名とは異なるレルム名を指定することもあります。たとえば、レルム名が EXAMPLE.NET で、idm.example.comWorkspace ONE Access の FQDN であるとします。この場合、example.netexample.com の両方について、DNS エントリを定義します。

レルム名は、Kerberos クライアントが DNS 名を生成するために使用します。たとえば、名前が EXAMPLE.COM の場合、TCP を介して KDC にコンタクトする Kerberos 関連の名前は_kerberos。_tcp.EXAMPLE.COMです。

サブドメインの使用

オンプレミス環境にインストールされた Workspace ONE Accessサービスは、Workspace ONE Access FQDN サブドメインを使用できます。Workspace ONE Accessサイトが複数の DNS ドメインにアクセスする場合は、ドメインを location1.example.com、location2.example.com、location3.example.com のように設定します。このとき、小文字で指定される example.com がサブドメインの値となります。環境でサブドメインを構成する場合は、サービス サポート チームと連携してください。

KDC サーバ証明書の使用

KDC が初期化されると、デフォルトで KDC サーバ証明書と自己署名ルート証明書が生成されます。証明書は、KDC サーバ証明書を発行するために使用されます。このルート証明書はデバイス プロファイルに含まれるので、デバイスは KDC を信頼できます。

KDC サーバ証明書は、エンタープライズ ルートまたは中間証明書を使用して手動で生成できます。この機能の詳細については、サービス サポート チームにお問い合わせください。

KDC サーバ ルート証明書を Workspace ONE Access管理コンソールからダウンロードして、iOS デバイス管理プロファイルの Workspace ONE UEM 構成で使用できます。