Решение Workspace ONE Access предоставляет облачную службу KDC для проверки подлинности Kerberos при выполнении единого входа с мобильных устройств iOS.
Службу KDC, размещенную в облаке, необходимо использовать при развертывании службы Workspace ONE Access в среде Windows с помощью Workspace ONE UEM. Службу KDC, размещенную в облаке, также можно использовать при развертывании Workspace ONE Access в облаке.
В процессе настройки единого входа с мобильных устройств iOS выполняется настройка имени области для облачной службы KDC. Область — это имя административной единицы, в которой хранятся данные проверки подлинности. При выборе команды Сохранить служба Workspace ONE Access будет зарегистрирована в облачной службе KDC. Данные, хранящиеся в службе KDC, зависят от конфигурации метода проверки подлинности «Единый вход для мобильных устройств (iOS)». Данные включают в себя сертификат центра сертификации, сертификат подписи OCSP и сведения о конфигурации запроса OCSP.
- Имя субъекта Kerberos из профиля пользователя
- Значения различающегося имени субъекта, основного имени пользователя и адреса электронной почты в сети SAN
- Идентификатор устройства из сертификата пользователя
- Полное доменное имя (FQDN) службы IDM, к которой получает доступ пользователь
Для работы со службой KDC, размещенной в облаке, необходимо настроить Workspace ONE Access следующим образом.
- Полное доменное имя службы Workspace ONE Access должно быть доступно по сети Интернет. Сертификат SSL/TLS, используемый Workspace ONE Access, должен быть открыто подписан.
При настройке Workspace ONE Access с помощью внешнего брандмауэра необходимо создать список разрешенных IP- или URL-адресов. См. Добавление разрешенных IP-адресов во внешний брандмауэр для служб Workspace ONE Access.
- Служба должна иметь доступ к порту 88 (UDP) исходящего запроса/отклика и порту 443 (HTTPS/TCP).
- Если включен OCSP, то ответчик OCSP должен быть доступен по сети Интернет.