Om het gebruik van Kerberos-verificatie voor Mobiele SSO voor iOS te ondersteunen, biedt VMware Identity Manager een in de cloud gehoste KDC-service.

Deze service moet worden gebruikt wanneer de VMware Identity Manager-service is geïmplementeerd met AirWatch in een Windows-omgeving.

Als u wilt gebruikmaken van het KDC dat wordt beheerd in de VMware Identity Manager-appliance, raadpleegt u 'Het gebruik van Kerberos-verificatie op iOS-apparaten voorbereiden' in de gids Installatie en configuratie van VMware Identity Manager.

Wanneer u de verificatiemethode Mobiele SSO voor iOS configureert, configureert u de realmnaam voor de in de cloud gehoste KDC-service. De realmnaam is de naam van een administratieve entiteit die verificatiegegevens bewaart. Wanneer u op Opslaan klikt, wordt de VMware Identity Manager-service geregistreerd bij de in de cloud gehoste KDC-service. De gegevens die worden bewaard in de KDC-service, zijn afhankelijk van uw configuratie van de verificatiemethode Mobiele SSO voor iOS en kunnen bestaan uit het CA-certificaat, het OCSP-ondertekeningscertificaat en de configuratiegegevens van de OCSP-aanvraag. Er wordt geen andere gebruikersspecifieke informatie bewaard in de cloudservice.

De aanmeldrecords worden bewaard in de cloudservice. De persoonsgegevens (Personally Identifiable Information - PII) in de aanmeldrecords bevatten de Principal-naam van Kerberos uit het profiel van de gebruiker, de onderwerp-DN en -UPN en EMAIL SAN-waarden, de apparaat-ID uit het certificaat van de gebruiker en de FQDN van de IDM-service waartoe de gebruiker toegang heeft.

Voor het gebruik van de in de cloud gehoste KDC-service moet VMware Identity Manager als volgt worden geconfigureerd.

  • De FQDN van de VMware Identity Manager-service moet bereikbaar zijn via internet. Het SSL/TLS-certificaat dat wordt gebruikt door VMware Identity Manager, moet openbaar zijn ondertekend.

  • Poorten 88 (UDP) en 443 (HTTPS/TCP) voor uitgaande aanvragen/antwoorden moeten toegankelijk zijn vanuit de VMware Identity Manager-service.

  • Als u OCSP inschakelt, moet de OCSP-responder bereikbaar zijn via internet.