Om Single Sign-On op met Workspace ONE UEM beheerde Android-apparaten beschikbaar te stellen, configureert u de verificatiemethode Mobiele SSO voor Android in de ingebouwde identiteitsprovider van Workspace ONE Access.

Mobiele Single Sign-On (SSO) voor Android is een implementatie van de methode met certificaatverificatie voor Android-apparaten die door VMware Workspace ONE® UEM worden beheerd. Met mobiele Single Sign-On kunnen gebruikers zich bij hun apparaat aanmelden en veilig toegang tot hun apps krijgen vanuit de Workspace ONE Intelligent Hub-app zonder hun wachtwoord telkens opnieuw in te voeren.

Voorwaarden

  • Haal het basiscertificaat en de tussencertificaten op van de certificatieautoriteit die de certificaten die door uw gebruikers worden voorgesteld, heeft ondertekend.
  • Maak een lijst met de Object Identifiers (OID) van geldige certificaatbeleidsregels voor certificaatverificatie.
  • Voor intrekkingscontrole, de bestandslocatie van de CRL en de URL van de OCSP-server.
  • (Optioneel) Bestandslocatie van handtekeningcertificaat van OCSP-antwoord.

Procedure

  1. Ga naar de pagina Integraties > Verificatiemethoden in de Workspace ONE Access-console en selecteer Mobiele SSO (voor Android).
  2. Klik op Mobiele SSO (voor Android) en configureer de instellingen voor de verificatie Mobiele SSO voor Android.
    Optie Beschrijving
    Certificaatadapter inschakelen Selecteer dit selectievakje om Mobiele SSO voor Android in te schakelen.
    CA-certificaten op basis- en tussenniveau Selecteer de certificaatbestanden die moeten worden geüpload. U kunt meerdere basis-CA-certificaten en tussen-CA-certificaten selecteren. De bestandsindeling kan PEM of DER zijn.
    Geüploade CA-certificaten De inhoud van het geüploade certificaatbestand wordt hier weergegeven.
    Zoekvolgorde voor gebruikers-ID

    Selecteer de zoekvolgorde die wordt gebruikt om te zoeken naar de gebruikers-ID in het certificaat.

    • upn. De waarde UserPrincipalName van de alternatieve onderwerpnaam
    • email. Het e-mailadres van de alternatieve onderwerpnaam.
    • subject. De UID-waarde van het onderwerp.
    Belangrijk: Voor verificatie Mobiele SSO voor Android moet de waarde van het identificatiekenmerk dezelfde waarde zijn voor zowel Workspace ONE Access- als Workspace ONE UEM-services. Anders mislukt Android SSO.
    Opmerking:
    • Als een Workspace ONE UEM-CA wordt gebruikt voor het genereren van het tunnelclientcertificaat, moet de zoekvolgorde van de gebruikers-ID UPN | Onderwerp zijn.
    • Als een zakelijke CA van derden wordt gebruikt, moet de zoekvolgorde van de gebruikers-id UPN | E-mail | Onderwerp zijn en moet het certificaatsjabloon de onderwerpnaam CN={DeviceUid}:{EnrollmentUser} bevatten. Zorg ervoor dat de dubbelepunt (:) niet ontbreekt.

    UPN-indeling valideren Schakel dit selectievakje in om de indeling van het veld UserPrincipalName te valideren.
    Certificaatbeleid geaccepteerd Maak een lijst met object-id's die worden geaccepteerd in de certificaatbeleidextensies. Voer het object-id-nummer (object ID number, OID) in voor het certificaatuitgiftebeleid. Klik op Nog een waarde toevoegen om aanvullende OID's toe te voegen.
    Intrekken certificaat inschakelen Schakel het selectievakje in om certificaatintrekkingscontrole in te schakelen. Door het certificaat in te trekken, wordt voorkomen dat gebruikers die hun gebruikerscertificaten hebben ingetrokken, zichzelf kunnen verifiëren.
    CRL van certificaten gebruiken Schakel het selectievakje in om de certificaatintrekkingslijst (certificate revocation list, CRL) te gebruiken die is gepubliceerd door de certificatieautoriteit die de certificaten heeft uitgegeven, om de status van een certificaat (ingetrokken of niet-ingetrokken) te valideren.
    CRL-locatie Voer het serverbestandspad of het lokale bestandspad in waarvan de CRL moet worden opgehaald.
    Intrekken OCSP inschakelen Schakel dit selectievakje in om het certificaatvalidatieprotocol (Online Certificate Status Protocol, OCSP) te gebruiken om de intrekkingsstatus van een certificaat op te halen.
    CRL gebruiken bij OCSP-fout Als u zowel CRL als OCSP configureert, kunt u dit vakje inschakelen om terug te vallen op CRL als de OCSP-controle niet beschikbaar is.
    OCSP Nonce verzenden Schakel dit selectievakje in als u wilt dat de unieke id van de OCSP-aanvraag in het antwoord wordt verzonden.
    OCSP-URL Als u OCSP-intrekking inschakelt, voert u het OCSP-serveradres voor intrekkingscontrole in.
    OCSP-URL-bron Selecteer de bron die moet worden gebruikt voor de intrekkingscontrole.
    • Alleen configuratie. Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die is opgegeven in het tekstvak om de hele certificaatketen te valideren.
    • Alleen certificaat (vereist). Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die bestaat in de AIA-extensie van elk certificaat in de keten. Elk certificaat in de keten moet een OCSP-URL hebben die is gedefinieerd, anders mislukt de controle van certificaatintrekking.
    • Alleen certificaat (optioneel). Voer alleen een controle van certificaatintrekking uit met behulp van de OCSP-URL die in de AIA-extensie van het certificaat bestaat. Controleer de intrekking niet als de OCSP-URL niet in de AIA-extensie van het certificaat bestaat.
    • Certificaat met terugval naar configuratie. Voer een controle van certificaatintrekking uit met behulp van de OCSP-URL die uit de AIA-extensie van elk certificaat in de keten is geëxtraheerd, wanneer de OCSP-URL beschikbaar is. Als de OCSP-URL niet de AIA-extensie heeft, controleert u de intrekking met behulp van de OCSP-URL die in het tekstvak OCSP-URL is geconfigureerd. Het tekstvak OCSP-URL moet worden geconfigureerd met het OCSP-serveradres.
    Ondertekeningscertificaat van OCSP-responder Voer het pad in naar het OCSP-certificaat voor de responder. Voer het in als /path/to/file.cer
    OCSP-ondertekeningscertificaten geüpload De geüploade certificaatbestanden worden in deze sectie weergegeven.
    Koppeling annuleren inschakelen Als de verificatie te lang duurt en deze link is ingeschakeld, kunnen gebruikers op Annuleren klikken om de verificatiepoging te stoppen en het aanmelden te annuleren.
    Bericht annuleren Maak een aangepast bericht dat wordt weergegeven wanneer de verificatie te lang duurt. Wanneer u geen aangepast bericht maakt, is het standaardbericht Attempting to authenticate your credentials.
  3. Klik op Opslaan.

Volgende stappen

Koppel de verificatiemethode Mobiele SSO (voor iOS) in de ingebouwde identiteitsprovider.

Configureer de standaard toegangsbeleidregel voor de Mobiele SSO voor Android.