iOS 版モバイル SSO での Kerberos 認証の使用をサポートするため、Workspace ONE Access はクラウド ホスト型 KDC サービスを提供します。

Workspace ONE UEM を使用して Windows 環境に Workspace ONE Access サービスを展開する場合は、クラウドでホストされている KDC サービスを使用する必要があります。クラウドでホストされている KDC サービスは、Workspace ONE Access のクラウド ホスト型デプロイでも使用できます。

iOS 版モバイル SSO 認証を構成する場合は、クラウド ホスト型 KDC サービスのレルム名を構成します。レルムは、認証データを保持する管理エンティティの名前です。[保存] をクリックすると、Workspace ONE Access サービスがクラウド ホスト型 KDC サービスに登録されます。KDC サービスに保存されるデータは、iOS 版モバイル SSO 認証方法の構成に基づいています。このデータには、CA 証明書、OCSP 署名証明書、OCSP 要求構成の詳細が含まれています。

ログ記録はクラウド サービスに保存されます。ログ記録にある個人を特定できる情報 (PII) には、次のものが含まれます。
  • ユーザーのプロファイルの Kerberos プリンシパル名
  • サブジェクト DN、UPN、および E メール SAN の値
  • ユーザーの証明書のデバイス ID
  • ユーザーがアクセスしている IDM サービスの FQDN

クラウド ホスト型 KDC サービスを使用するには、Workspace ONE Access を次のように構成する必要があります。

  • Workspace ONE Access サービスの FQDN はインターネット経由でアクセスできる必要があります。Workspace ONE Access で使用される SSL/TLS 証明書は公的に署名されている必要があります。

    外部ファイアウォールを使用して Workspace ONE Access を構成する場合は、適切な IP アドレスまたは URL を含む許可リストを作成します。Workspace ONE Access Services の外部ファイアウォールに許可リスト IP アドレスを追加するを参照してください。

  • 送信要求/応答ポート 88 (UDP) とポート 443 (HTTPS/TCP) は、サービスからアクセスできる必要があります。
  • OCSP を有効にする場合、OCSP レスポンダはインターネット経由でアクセスできる必要があります。