Чтобы обеспечить единый вход с устройств Android под управлением AirWatch, настройте проверку подлинности для единого входа на мобильных устройствах Android во встроенном поставщике удостоверений VMware Identity Manager.

Необходимые условия

  • Получение корневого сертификата и промежуточных сертификатов от центра сертификации (ЦС), который подписал сертификаты, предъявленные пользователями.

  • Список идентификаторов объекта (OID) с действительными политиками сертификатов для проверки подлинности с помощью сертификата.

  • Расположение файла CRL и URL-адрес сервера OCSP для проверки отзыва.

  • (Необязательно) Расположение файла ответа OCSP на подписание сертификата.

Процедура

  1. В консоли VMware Identity Manager на вкладке «Управление учетными данными и доступом» выберите Управление > Методы проверки подлинности.
  2. Чтобы включить и настроить CertProxyAuthAdapter, нажмите значок карандаша Единый вход на мобильных устройствах (для устройств Android).

    Параметр

    Описание

    Включить адаптер сертификатов

    Установите этот флажок, чтобы включить единый вход для мобильных устройств Android.

    Сертификат корневого и промежуточного центров сертификации

    Выберите файлы сертификатов для загрузки. При необходимости можно выбрать несколько корневых и промежуточных зашифрованных сертификатов центра сертификации. Формат файла может быть PEM или DER.

    Загруженные сертификаты ЦС

    Содержимое переданного файла сертификата отображается здесь.

    Порядок поиска идентификатора пользователя

    Выберите порядок поиска, чтобы найти идентификатор пользователя в сертификате.

    • основное имя пользователя. Значение UserPrincipalName альтернативного имени субъекта

    • адрес эл. почты. Адрес эл. почты альтернативного имени субъекта.

    • субъект. Значение идентификатора UID субъекта.

    Подтверждение формата UPN

    Установите этот флажок, чтобы подтвердить формат поля UserPrincipalName.

    Политики сертификата приняты

    Создайте список идентификаторов объектов, которые принимаются в расширениях политик сертификата. Введите число идентификатора объекта (OID) для политики выпуска сертификата. Нажмите Добавить еще одно значение, чтобы добавить дополнительные идентификаторы.

    Включить отзыв сертификатов

    Установите флажок, чтобы включить проверку отзыва сертификата. В этом случае пользователи, у которых отозваны сертификаты, не смогут пройти проверку подлинности.

    Использовать CRL из сертификатов

    Установите флажок, чтобы использовать список отзыва сертификатов (CRL), опубликованный центром сертификации, выдавшим сертификаты, для подтверждения состояния сертификата (отозван или нет).

    Расположение CRL

    Введите путь к файловому серверу или локальный путь к файлу, из которого нужно извлечь CRL.

    Включить отзыв OCSP

    Установите этот флажок, чтобы использовать протокол проверки состояния сертификатов (OCSP) и получить состояние отзыва сертификата.

    Использовать CRL в случае отказа OCSP

    Если настроить и CRL, и OCSP, то после установки этого флажка будет осуществляться возврат к использованию CRL в случаях, когда проверка по OCSP недоступна.

    Отправить специальный параметр OCSP

    Установите флажок, чтобы отправлять в ответе уникальный идентификатор запроса OCSP.

    URL-адрес OCSP

    Если включен отзыв по OCSP, введите адрес сервера OCSP для проверки отзыва.

    Исходный URL-адрес OSCP

    Выберите источник, который следует использовать для проверки отзыва.

    • Только конфигурация. Выполните проверку отзыва сертификатов с помощью URL-адреса OCSP, указанного в текстовом поле, чтобы подтвердить всю цепочку сертификатов.

    • Только сертификат (обязательно). Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата в цепочке. Каждый сертификат в цепочке должен иметь определенный URL-адрес OCSP, в противном случае произойдет ошибка проверки отзыва сертификата.

    • Только сертификат (необязательно). Выполните проверку только отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата. Не выполняйте проверку отзыва, если URL-адрес OCSP отсутствует в расширении AIA сертификата.

    • Сертификат с возвратом в основную среду для конфигурации. Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, извлеченного из расширения AIA каждого сертификата в цепочке, при наличии URL-адреса OCSP. Если URL-адрес OCSP отсутствует в расширении AIA, проверьте отзыв с помощью URL-адреса OCSP, настроенного в текстовом поле URL-адреса OCSP. Текстовое поле URL-адреса OCSP должно быть настроено с помощью адреса сервера OCSP.

    Сертификат подписи ответчика OCSP

    Введите путь к сертификату OCSP для ответчика. Введите путь в формате /path/to/file.cer

    Сертификаты подписи OCSP загружены

    В этом разделе перечислены отправленные файлы сертификатов.

    Активировать ссылку отмены

    Дает пользователю возможность щелкнуть ссылку «Отмена», чтобы прекратить попытку проверки подлинности и отменить вход, если проверка подлинности занимает слишком много времени.

    Отменить сообщение

    Дает возможность создать настраиваемое сообщение, которое отображается, если проверка подлинности занимает слишком много времени. Если настраиваемое сообщение не создано, используется сообщение по умолчанию: Attempting to authenticate your credentials.

  3. Нажмите кнопку Сохранить.
  4. Выберите Управление > Поставщики удостоверенийи нажмите Добавить поставщика удостоверений.
  5. Выберите пункт Создать встроенный поставщик удостоверений или существующий встроенный поставщик удостоверений.

    Параметр

    Описание

    Имя поставщика удостоверений

    Введите имя этого экземпляра встроенного поставщика удостоверений.

    Пользователи

    Отобразится список настроенных каталогов. Выберите каталог пользователя для проверки подлинности.

    Сеть

    Перечисляются существующие сетевые диапазоны, настроенные в службе. Сетевой диапазон, который используется в правиле политики для единого входа на мобильных устройствах с Android, должен состоять только из IP-адресов, используемых для получения запросов, поступающих с прокси-сервера VMware Tunnel.

    Способы проверки подлинности

    Выберите Единый вход на мобильных устройствах (с Android).

    Экспортировать сертификат KDC

    Н/Д

  6. Щелкните Добавить на странице встроенного поставщика удостоверений.

Дальнейшие действия

Настройте правило политики доступа по умолчанию для единого входа на мобильных устройствах Android.