На странице «Методы проверки подлинности» в консоли администрирования настройте метод проверки подлинности для единого входа для мобильных устройств (iOS). Выберите метод проверки подлинности «Единый вход для мобильных устройств (iOS)» для использования во встроенном поставщике удостоверений.

Необходимые условия

  • Для выдачи сертификатов пользователям в арендаторе AirWatch используется файл PEM или DER центра сертификации.

  • Есть сертификат подписи ответчика OCSP для проверки отзыва.

  • Для службы KDC выберите соответствующее имя области службы. Если используется встроенная служба KDC, центр нужно инициализировать. Сведения о встроенном центре KDC см. в руководстве по установке и настройке VMware Identity Manager.

Процедура

  1. На вкладке «Управление учетными данными и доступом» выберите Управление > Методы проверки подлинности.
  2. В методе Единый вход для мобильных устройств (iOS) в столбце «Настроить» щелкните значок.
  3. Настройте метод проверки подлинности Kerberos.

    Параметр

    Описание

    Включить проверку подлинности центра распространения ключей

    Установите этот флажок, чтобы разрешить пользователям входить в систему с помощью устройств с iOS, поддерживающих проверку подлинности Kerberos.

    Область

    Если используется облачная служба KDC, введите поддерживаемое имя области, предварительно назначенное для вас. Это имя вводится полностью заглавными буквами, например OP.VMWAREIDENTITY.COM.

    Если используется встроенная служба KDC, отображается имя области, настроенное вами при запуске KDC.

    Сертификат корневого и промежуточного центров сертификации

    Передайте файл сертификата для эмитента центра сертификации. Формат файла может быть PEM или DER.

    Загруженные различающиеся имена субъектов сертификата ЦС

    Содержимое переданного файла сертификата отображается здесь. Передать можно несколько файлов сертификатов, каждый из которых будет добавлен в список.

    Включить OCSP

    Установите флажок, чтобы использовать протокол проверки состояния сертификатов (OCSP) и получить статус отзыва сертификата.

    Отправить специальный параметр OCSP

    Установите флажок, чтобы отправлять в ответе уникальный идентификатор запроса OCSP.

    Сертификат подписи ответчика OCSP

    Передайте сертификат OCSP для ответчика.

    При использовании центра сертификации AirWatch в качестве сертификата OCSP используется сертификат эмитента. На этом этапе также следует передать сертификат AirWatch.

    Различаемое имя субъекта сертификата подписи ответчика OCSP

    Здесь указывается переданный файл сертификата OCSP.

    Активировать ссылку отмены

    Дает пользователю возможность щелкнуть ссылку «Отмена», чтобы прекратить попытку проверки подлинности и отменить вход, если проверка подлинности занимает слишком много времени.

    Если включена ссылка отмены, в конце сообщения об ошибке проверки подлинности отображается ссылка Отменить.

    Отменить сообщение

    Дает возможность создать настраиваемое сообщение, которое отображается, если проверка подлинности Kerberos занимает слишком много времени. Если настраиваемое сообщение не создано, используется сообщение по умолчанию: Attempting to authenticate your credentials.

  4. Нажмите кнопку Сохранить.

Дальнейшие действия

  • Свяжите метод проверки подлинности «Единый вход для мобильных устройств (iOS)» во встроенном поставщике удостоверений.

  • В разделе «Экспортировать сертификат KDC» щелкните Загрузить сертификат. Сохраните этот сертификат в файле, доступном из консоли администрирования AirWatch. Этот сертификат загружается при настройке профиля устройства iOS в AirWatch.

  • Настройте правило политики доступа по умолчанию для проверки подлинности Kerberos на устройствах с iOS. Убедитесь, что этот метод проверки подлинности указан в правиле первым.

  • Перейдите в консоль администрирования AirWatch, настройте профиль устройства с iOS в AirWatch и добавьте сертификат эмитента для сертификата сервера KDC из Identity Manager.