Het ingebouwde KDC gebruiken

Voor de verificatiemethode Mobiele SSO voor iOS op door VMware Workspace ONE™ UEM beheerde iOS-apparaten kunt u het ingebouwde KDC gebruiken. U initialiseert het Key Distribution Center (KDC) in de appliance voordat u de verificatiemethode inschakelt in de beheerconsole.

Opmerking: Wanneer u VMware Identity Manager met Workspace ONE UEM in een Windows-omgeving integreert, gebruikt u de in de cloud gehoste KDC-service van VMware Identity Manager en niet het ingebouwde KDC. Voor gebruik van het KDC in de cloud moet de betreffende realmnaam worden geselecteerd op de pagina voor de iOS-verificatieadapter in de beheerconsole. Raadpleeg de Beheergids voor VMware Identity Manager.

Voordat u het KDC in VMware Identity Manager initialiseert, bepaalt u de realmnaam voor de KDC-server, of er subdomeinen aanwezig zijn in uw implementatie en of het KDC-standaardservercertificaat moet worden gebruikt of niet.

Realm

Het gebied is de naam van een administratieve entiteit die verificatiegegevens bewaart. Het is belangrijk een beschrijvende naam te selecteren voor het Kerberos-verificatiegebied. De gebiedsnaam moet onderdeel zijn van een DNS-domein dat het bedrijf kan configureren.

De gebiedsnaam en de volledig gekwalificeerde domeinnaam (FQDN) die worden gebruikt om toegang te krijgen tot de VMware Identity Manager-service zijn onafhankelijk. Uw bedrijf moet de DNS-domeinen van zowel de gebiedsnaam als de FQDN regelen. Het is gebruikelijk dat de realmnaam hetzelfde is als uw DNS-domeinnaam van VMware Identity Manager, ingevoerd met hoofdletters. Soms zijn de gebiedsnaam en het domein verschillend. Een realmnaam is bijvoorbeeld EXAMPLE.NET en idm.example.com is de VMware Identity Manager FQDN. In dit geval geeft u DNS-vermeldingen op voor de domeinen example.net en example.com.

De gebiedsnaam wordt door een Kerberos-client gebruikt om DNS-namen te genereren. Wanneer de naam bijvoorbeeld EXAMPLE.COM is, is _kerberos de aan Kerberos gerelateerde naam om via TCP contact te maken met het KDC._tcp.EXAMPLE.COM.

Subdomeinen gebruiken

De VMware Identity Manager-service die is geïnstalleerd in een omgeving op locatie, kan het subdomein van de VMware Identity Manager FQDN gebruiken. Als uw VMware Identity Manager-site toegang heeft tot meerdere DNS-domeinen, configureert u de domeinen als locatie1.example.com, locatie2.example.com en locatie3.example.com. De waarde van het subdomein is in dit geval example.com, in kleine letters. Als u een subdomein in uw omgeving wilt configureren, werkt u samen met uw serviceondersteuningsteam.

KDC-servercertificaten gebruiken

Wanneer de KDC is geïnitialiseerd, worden er standaard een KDC-servercertificaat en een zelf ondertekend basiscertificaat gegenereerd. Het certificaat wordt gebruikt om het KDC-servercertificaat uit te geven. Dit basiscertificaat bevindt zich in het apparaatprofiel zodat het apparaat de KDC kan vertrouwen.

U kunt het KDC-servercertificaat handmatig genereren met behulp van een basis- of tussencertificaat van uw bedrijf. Neem contact op met uw serviceondersteuningsteam voor meer informatie over deze functie.

Download het rootcertificaat van de KDC-server via de VMware Identity Manager-console om het in de Workspace ONE UEM-configuratie van het iOS-apparaatbeheerprofiel te kunnen gebruiken.