Om Single Sign-On op door AirWatch beheerde Android-apparaten beschikbaar te stellen, configureert u Mobiele SSO voor Android-verificatie in de ingebouwde identiteitsprovider van VMware Identity Manager.
Voorwaarden
- Haal het basiscertificaat en de tussencertificaten op van de certificatieautoriteit die de certificaten die door uw gebruikers worden voorgesteld, heeft ondertekend.
- (Optioneel) Lijst met object-id (OID) van geldige certificaatbeleidsregels voor certificaatverificatie.
- Voor intrekkingscontrole, de bestandslocatie van de CRL en de URL van de OCSP-server.
- (Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord.
Procedure
- Selecteer in de beheerconsole op het tabblad Identiteits- en toegangsbeheer .
- Klik op de identiteitsprovider met de naam Ingebouwd.
- Controleer of de configuratie van de gebruikers en het netwerk in de ingebouwde identiteitsprovider juist is.
Bewerk de gedeelten Gebruikers en Netwerk zoals nodig indien dit niet het geval is.
Opmerking: Het netwerkbereik dat u gebruikt in de beleidsregel voor Mobiele SSO voor Android mag alleen de IP-adressen bevatten die worden gebruikt voor het ontvangen van verzoeken van de proxyserver van VMware Tunnel.
- Klik in het gedeelte Verificatiemethoden op het tandwielpictogram Mobiele SSO (voor Android-apparaten).
- Configureer de verificatiemethode op de pagina CertProxyAuthAdapter.
Optie |
Beschrijving |
Certificaatadapter inschakelen |
Selecteer dit selectievakje om Mobiele SSO voor Android in te schakelen. |
CA-certificaten op basis- en tussenniveau |
Selecteer de certificaatbestanden die moeten worden geüpload. U kunt meerdere basis-CA-certificaten en tussen-CA-certificaten selecteren. De bestandsindeling kan PEM of DER zijn. |
Onderwerp-DN's van CA-certificaat geüpload |
De inhoud van het geüploade certificaatbestand wordt hier weergegeven. |
E-mail gebruiken indien certificaat geen UPN bevat |
Als de primaire naam van de gebruiker (User Principal Name, UPN) niet bestaat in het certificaat, selecteert u dit selectievakje om het kenmerk e-mailadres te gebruiken als de extensie van Alternatieve naam voor onderwerp om gebruikersaccounts te valideren. |
Certificaatbeleid geaccepteerd |
Maak een lijst met object-id's die worden geaccepteerd in de certificaatbeleidextensies. Voer het object-id-nummer (object ID number, OID) in voor het certificaatuitgiftebeleid. Klik op Nog een waarde toevoegen om aanvullende OID's toe te voegen. |
Intrekken certificaat inschakelen |
Schakel het selectievakje in om certificaatintrekkingscontrole in te schakelen. Zo wordt voorkomen dat gebruikers waarvan de gebruikerscertificaten zijn ingetrokken, verificatie kunnen uitvoeren. |
CRL van certificaten gebruiken |
Schakel het selectievakje in om de certificaatintrekkingslijst (certificate revocation list, CRL) te gebruiken die is gepubliceerd door de certificatieautoriteit die de certificaten heeft uitgegeven, om de status van een certificaat (ingetrokken of niet-ingetrokken) te valideren. |
CRL-locatie |
Voer het serverbestandspad of het lokale bestandspad in waarvan de CRL moet worden opgehaald. |
Intrekken OCSP inschakelen |
Schakel dit selectievakje in om het certificaatvalidatieprotocol (Online Certificate Status Protocol, OCSP) te gebruiken om de intrekkingsstatus van een certificaat op te halen. |
CRL gebruiken bij OCSP-fout |
Als u zowel CRL als OCSP configureert, kunt u dit vakje inschakelen om terug te vallen op CRL als de OCSP-controle niet beschikbaar is. |
OCSP Nonce verzenden |
Schakel dit selectievakje in als u wilt dat de unieke id van de OCSP-aanvraag in het antwoord wordt verzonden. |
OCSP-URL |
Als u OCSP-intrekking inschakelt, voert u het OCSP-serveradres voor intrekkingscontrole in. |
Ondertekeningscertificaat van OCSP-responder |
Voer het pad in naar het OCSP-certificaat voor de responder. Voer het in als /path/to/file.cer |
Koppeling annuleren inschakelen |
Als de verificatie te lang duurt en deze link is ingeschakeld, kunnen gebruikers op Annuleren klikken om de verificatiepoging te stoppen en het aanmelden te annuleren. |
Bericht annuleren |
Maak een aangepast bericht dat wordt weergegeven wanneer de verificatie te lang duurt. Wanneer u geen aangepast bericht maakt, is het standaardbericht Attempting to authenticate your credentials . |
- Klik op Opslaan.
- Klik op Opslaan op de pagina van de ingebouwde identiteitsprovider.
Volgende stappen
Configureer de standaard toegangsbeleidregel voor de Mobiele SSO voor Android.