Чтобы обеспечить единый вход с устройств Android под управлением AirWatch, настройте систему единого входа на мобильных устройствах для проверки подлинности Android во встроенном поставщике удостоверений VMware Identity Manager.

Необходимые условия

  • Получение корневого сертификата и промежуточных сертификатов от центра сертификации (ЦС), который подписал сертификаты, предъявленные пользователями.

  • (Необязательно.) Список идентификаторов объекта (OID) с действительными политиками сертификатов для проверки подлинности с помощью сертификата.

  • Расположение файла CRL и URL-адрес сервера OCSP для проверки отзыва.

  • (Необязательно) Расположение файла ответа OCSP на подписание сертификата.

Процедура

  1. В консоли администрирования на вкладке «Управление учетными данными и доступом» выберите Управление > Поставщики удостоверений.
  2. Щелкните поставщик удостоверений с пометкой Встроенный.
  3. Убедитесь, что конфигурация разделов «Пользователи» и «Сеть» во встроенном поставщике удостоверений правильная.

    Если это не так, измените разделы «Пользователи» и «Сеть» соответствующим образом.

    Примечание:

    Сетевой диапазон, который используется в правиле политики для единого входа на мобильных устройствах с Android, должен состоять только из IP-адресов, используемых для получения запросов, поступающих с прокси-сервера VMware Tunnel.

  4. В разделе «Методы проверки подлинности» щелкните значок в виде шестеренки Единый вход для мобильных устройств (Android).
  5. На странице CertProxyAuthAdapter настройте метод проверки подлинности.

    Параметр

    Описание

    Включить адаптер сертификатов

    Установите этот флажок, чтобы включить единый вход для мобильных устройств Android.

    Сертификат корневого и промежуточного центров сертификации

    Выберите файлы сертификатов для загрузки. При необходимости можно выбрать несколько корневых и промежуточных зашифрованных сертификатов центра сертификации. Формат файла может быть PEM или DER.

    Загруженные различающиеся имена субъектов сертификата ЦС

    Содержимое переданного файла сертификата отображается здесь.

    Использовать электронную почту при отсутствии UPN в сертификате

    Если в сертификате отсутствует основное имя пользователя (UPN), установите этот флажок, чтобы использовать атрибут emailAddress в качестве расширения альтернативного имени субъекта для проверки учетных записей пользователей.

    Принимаемые политики сертификатов

    Создайте список идентификаторов объектов, которые принимаются в расширениях политик сертификата. Введите число идентификатора объекта (OID) для политики выпуска сертификата. Нажмите Добавить еще одно значение, чтобы добавить дополнительные идентификаторы.

    Включить отзыв сертификатов

    Установите флажок, чтобы включить проверку отзыва сертификата. В этом случае пользователи, у которых отозваны сертификаты, не смогут пройти проверку подлинности.

    Использовать CRL из сертификатов

    Установите флажок, чтобы использовать список отзыва сертификатов (CRL), опубликованный центром сертификации, выдавшим сертификаты, для подтверждения состояния сертификата (отозван или нет).

    Расположение CRL

    Введите путь к файловому серверу или локальный путь к файлу, из которого нужно извлечь CRL.

    Включить отзыв OCSP

    Установите этот флажок, чтобы использовать протокол проверки состояния сертификатов (OCSP) и получить состояние отзыва сертификата.

    Использовать CRL в случае отказа OCSP

    Если настроить и CRL, и OCSP, то при установке этого флажка будет осуществлен возврат к использованию CRL, если проверка по OCSP недоступна.

    Отправить специальный параметр OCSP

    Установите флажок, чтобы отправлять в ответе уникальный идентификатор запроса OCSP.

    URL-адрес OCSP

    Если включен отзыв по OCSP, введите адрес сервера OCSP для проверки отзыва.

    Сертификат подписи ответчика OCSP

    Введите путь к сертификату OCSP для ответчика. Введите путь в формате /path/to/file.cer

    Активировать ссылку отмены

    Дает пользователю возможность щелкнуть ссылку «Отмена», чтобы прекратить попытку проверки подлинности и отменить вход, если проверка подлинности занимает слишком много времени.

    Отменить сообщение

    Дает возможность создать настраиваемое сообщение, которое отображается, если проверка подлинности занимает слишком много времени. Если настраиваемое сообщение не создано, используется сообщение по умолчанию: Attempting to authenticate your credentials.

  6. Нажмите кнопку Сохранить.
  7. Щелкните Сохранить на странице встроенного поставщика удостоверений.

Дальнейшие действия

Настройте правило политики доступа по умолчанию для единого входа на мобильных устройствах Android.