Использование облачной службы KDC

Решение VMware Identity Manager предоставляет облачную службу KDC для проверки подлинности Kerberos при выполнении единого входа с мобильных устройств iOS.

Службу KDC, размещенную в облаке, необходимо использовать при развертывании службы VMware Identity Manager в среде Windows с помощью AirWatch.

Сведения о работе со службой KDC, управляемой на устройстве VMware Identity Manager, см. в разделе «Подготовка к использованию проверки подлинности Kerberos на устройствах с ОС iOS» в руководстве по установке и настройке VMware Identity Manager.

В процессе настройки единого входа с мобильных устройств iOS выполняется настройка имени области для облачной службы KDC. Область — это имя административной единицы, в которой хранятся данные проверки подлинности. При выборе команды «Сохранить» служба VMware Identity Manager будет зарегистрирована в облачной службе KDC. Данные, хранимые в службе KDC, зависят от конфигурации способа проверки подлинности при выполнении единого входа с мобильных устройств iOS, включая сертификат ЦС, сертификат подписи OCSP и данные конфигурации запроса OCSP. В облачной службе не хранятся никакие другие данные о пользователе.

Записи журнала хранятся в облачной службе. Персональные данные в записях журнала включают имя участника Kerberos, указанное в профиле пользователя, значения различающегося имени, основного имени пользователя и альтернативного имени для адреса электронной почты субъекта, идентификатор устройства, указанный в пользовательском сертификате, а также полное доменное имя службы IDM, к которой пользователь осуществляет доступ.

Для работы со службой KDC, размещенной в облаке, необходимо настроить VMware Identity Manager следующим образом.

Полное доменное имя службы VMware Identity Manager должно быть доступно по сети Интернет. Сертификат SSL/TLS, который используется VMware Identity Manager, должен иметь публичную подпись.
Служба VMware Identity Manager должна иметь доступ к порту 88 исходящего запроса/отклика и порту 443 (HTTPS/TCP).
Если включен OCSP, то ответчик OCSP должен быть доступен по сети Интернет.