Решение Workspace ONE Access предоставляет облачную службу KDC для проверки подлинности Kerberos при выполнении единого входа с мобильных устройств iOS.

Службу KDC, размещенную в облаке, необходимо использовать при развертывании службы Workspace ONE Access в среде Windows с помощью Workspace ONE UEM. Службу KDC, размещенную в облаке, также можно использовать при развертывании Workspace ONE Access в облаке.

В процессе настройки единого входа с мобильных устройств iOS выполняется настройка имени области для облачной службы KDC. Область — это имя административной единицы, в которой хранятся данные проверки подлинности. При выборе команды Сохранить служба Workspace ONE Access будет зарегистрирована в облачной службе KDC. Данные, хранящиеся в службе KDC, зависят от конфигурации метода проверки подлинности «Единый вход для мобильных устройств (iOS)». Данные включают в себя сертификат центра сертификации, сертификат подписи OCSP и сведения о конфигурации запроса OCSP.

Записи журнала хранятся в облачной службе. Личные сведения в записях журналов включают в себя приведенные ниже данные.
  • Имя субъекта Kerberos из профиля пользователя
  • Значения различающегося имени субъекта, основного имени пользователя и адреса электронной почты в сети SAN
  • Идентификатор устройства из сертификата пользователя
  • Полное доменное имя (FQDN) службы IDM, к которой получает доступ пользователь

Для работы со службой KDC, размещенной в облаке, необходимо настроить Workspace ONE Access следующим образом.

  • Полное доменное имя службы Workspace ONE Access должно быть доступно по сети Интернет. Сертификат SSL/TLS, используемый Workspace ONE Access, должен быть открыто подписан.

    При настройке Workspace ONE Access с помощью внешнего брандмауэра необходимо создать список разрешенных IP- или URL-адресов. См. Добавление разрешенных IP-адресов во внешний брандмауэр для служб Workspace ONE Access.

  • Служба должна иметь доступ к порту 88 (UDP) исходящего запроса/отклика и порту 443 (HTTPS/TCP).
  • Если включен OCSP, то ответчик OCSP должен быть доступен по сети Интернет.