Workspace ONE Access biedt een in de cloud gehoste KDC-service om het gebruik van Kerberos-verificatie voor Mobiele SSO voor iOS te ondersteunen.

De KDC-service die in de cloud wordt gehost, moet worden gebruikt wanneer de Workspace ONE Access-service met Workspace ONE UEM in een Windows-omgeving wordt geïmplementeerd. De KDC-service die in de cloud wordt gehost, kan ook worden gebruikt in een in de cloud gehoste implementatie van Workspace ONE Access.

Wanneer u de verificatiemethode Mobiele SSO voor iOS configureert, configureert u de realmnaam voor de in de cloud gehoste KDC-service. De realmnaam is de naam van een administratieve entiteit die verificatiegegevens bewaart. Wanneer u op Opslaan klikt, wordt de Workspace ONE Access-service geregistreerd bij de in de cloud gehoste KDC-service. De gegevens die zijn opgeslagen in de KDC-service, zijn gebaseerd op uw configuratie van de verificatiemethode Mobiele SSO voor iOS. De gegevens omvatten het CA-certificaat, het OCSP-ondertekeningscertificaat en de configuratiegegevens van de OCSP-aanvraag.

De aanmeldrecords worden bewaard in de cloudservice. De persoonsgegevens (PII) in het logboek bevatten de volgende informatie.
  • De principal-naam van Kerberos uit het profiel van de gebruiker
  • De waarden voor de onderwerp-DN, UPN en de e-mail-SAN
  • De apparaat-ID van het certificaat van de gebruiker
  • De FQDN van de IDM-service waartoe de gebruiker toegang heeft

Voor het gebruik van de in de cloud gehoste KDC-service moet Workspace ONE Access als volgt worden geconfigureerd.

  • De FQDN van de Workspace ONE Access-service moet bereikbaar zijn via internet. Het SSL/TLS-certificaat dat wordt gebruikt door Workspace ONE Access, moet openbaar zijn ondertekend.

    Als u Workspace ONE Access configureert met een externe firewall, maakt u een acceptatielijst met de juiste IP-adressen of URL's. Zie Goedgekeurde IP-adressen toevoegen aan uw externe firewall voor Workspace ONE Access Services.

  • Poorten 88 (UDP) en 443 (HTTPS/TCP) voor uitgaande aanvragen/antwoorden moeten toegankelijk zijn vanuit de service.
  • Als u OCSP inschakelt, moet de OCSP-responder bereikbaar zijn via internet.