Решение Workspace ONE Access предоставляет облачную службу KDC для проверки подлинности Kerberos при выполнении единого входа с мобильных устройств iOS.

Важно!:

Прекращение доступности (EoA) облачной службы KDC Workspace ONE Access для гибридного развертывания

VMware объявляет о прекращении доступности (EoA) для облачной службы KDC Workspace ONE Access (также известной как гибридная служба KDC) для гибридного развертывания. Действие EoA начнется с 15 декабря 2023 г. для всех клиентов Workspace ONE Access.

Всем локальными клиентам Workspace ONE Access, использующим облачную службу KDC, следует запланировать переход на облачный Workspace ONE Access или развернуть встроенную службу KDC для своих локальных развертываний Workspace ONE Access. См. раздел Использование встроенного центра KDC для Workspace ONE Access.

По 15 декабря 2023 г. облачная служба KDC Workspace ONE Access остается доступной и поддерживается.

Период поддержки заканчивается 15 декабря 2023 г., а облачная служба KDC станет недоступной после окончания срока поддержки.После этой даты пользователи не смогут выполнить проверку подлинности в облачной службе KDC.

См. статью базы знаний Прекращение доступности (EOA) облачной службы KDC Workspace ONE Access для гибридного развертывания.

Службу KDC, размещенную в облаке, можно использовать при развертывании Workspace ONE Access в облаке.

В процессе настройки единого входа с мобильных устройств iOS выполняется настройка имени области для облачной службы KDC. Область — это имя административной единицы, в которой хранятся данные проверки подлинности. При выборе команды Сохранить служба Workspace ONE Access будет зарегистрирована в облачной службе KDC. Данные, хранящиеся в службе KDC, зависят от конфигурации метода проверки подлинности «Единый вход для мобильных устройств (iOS)». Данные включают в себя сертификат центра сертификации, сертификат подписи OCSP и сведения о конфигурации запроса OCSP.

Записи журнала хранятся в облачной службе. Личные сведения в записях журналов включают в себя приведенные ниже данные.
  • Имя субъекта Kerberos из профиля пользователя
  • Значения различающегося имени субъекта, основного имени пользователя и адреса электронной почты в сети SAN
  • Идентификатор устройства из сертификата пользователя
  • Полное доменное имя (FQDN) службы IDM, к которой получает доступ пользователь

Для работы со службой KDC, размещенной в облаке, необходимо настроить Workspace ONE Access следующим образом.

  • Полное доменное имя службы Workspace ONE Access должно быть доступно по сети Интернет. Сертификат SSL/TLS, используемый Workspace ONE Access, должен быть открыто подписан.

    При настройке Workspace ONE Access с помощью внешнего брандмауэра необходимо создать список разрешенных IP- или URL-адресов. См. Добавление разрешенных IP-адресов во внешний брандмауэр для служб Workspace ONE Access.

  • Служба должна иметь доступ к порту 88 (UDP) исходящего запроса/отклика и порту 443 (HTTPS/TCP).
  • Если включен OCSP, то ответчик OCSP должен быть доступен по сети Интернет.