Встроенный KDC можно использовать для единого входа на мобильных устройствах iOS под управлением VMware Workspace ONE™ UEM в целях проверки подлинности. Необходимо вручную инициализировать центр распространения ключей (KDC) на устройстве, прежде чем включить выбранный способ проверки подлинности в консоли администрирования.

Примечание: При интеграции VMware Identity Manager с Workspace ONE UEM в среде Windows необходимо использовать облачную службу KDC VMware Identity Manager, а не встроенный KDC. При использовании KDC в облаке необходимо выбрать соответствующее имя области на странице адаптера проверки подлинности iOS в консоли администрирования. См. руководство администратора VMware Identity Manager.

Прежде чем инициализировать KDC в VMware Identity Manager, задайте имя области для сервера KDC, а также определите, есть ли в развертывании поддомены и следует ли использовать сертификат сервера KDC по умолчанию.

Область

Область — это имя административной единицы, в которой хранятся данные проверки подлинности. Важно правильно выбрать описательное имя области проверки подлинности Kerberos. Имя области должно быть частью домена DNS, который может настроить компания.

Имя области и полное доменное имя, используемое для доступа к службе VMware Identity Manager, являются независимыми. У компании должна быть возможность управлять доменами DNS как для имени области, так и для полного доменного имени. Принято, чтобы имя области совпадало с доменным именем DNS для VMware Identity Manager, но было введено в верхнем регистре. Иногда имя области и доменное имя отличаются. Например, имя области — EXAMPLE.NET, а idm.example.com — полное доменное имя VMware Identity Manager. В этом случае необходимо определить DNS-записи для доменов example.net и example.com.

Имя области используется клиентом Kerberos для создания имен DNS. Например, если имя — EXAMPLE.COM, соответствующее имя Kerberos для связи с KDC по протоколу TCP — _kerberos._tcp.EXAMPLE.COM.

Использование поддоменов

Служба VMware Identity Manager, установленная в локальной среде, может использовать поддомен полного доменного имени VMware Identity Manager. Если у сайта VMware Identity Manager есть доступ к нескольким доменам DNS, настройте их следующим образом: location1.example.com; location2.example.com; location3.example.com. В данном случае поддоменом будет значение example.com в нижнем регистре. Чтобы настроить поддомен в своей среде, обратитесь к сотрудникам службы поддержки.

Использование сертификатов сервера KDC

Если центр KDC инициализирован, по умолчанию создаются сертификат сервера KDC и самозаверяющий корневой сертификат. Сертификат используется для выдачи сертификата сервера KDC. Этот корневой сертификат включен в профиль устройства, чтобы устройство могло доверять KDC.

Сертификат сервера KDC можно создать вручную, используя корневой или промежуточный сертификат компании. Чтобы получить дополнительные сведения об этой возможности, обратитесь в службу поддержки.

Корневой сертификат сервера KDC, используемый в конфигурации Workspace ONE UEM профиля управления устройствами iOS, можно загрузить в консоли администрирования VMware Identity Manager.