Чтобы обеспечить единый вход с устройств Android под управлением Workspace ONE UEM, настройте проверку подлинности для единого входа на мобильных устройствах Android во встроенном поставщике удостоверений Workspace ONE Access.

Единый вход для мобильных устройств с Android — это реализация метода проверки подлинности с помощью сертификата для устройств с Android под управлением VMware Workspace ONE® UEM. С помощью единого входа для мобильных устройств пользователи могут входить на устройства и безопасно получать доступ к своим приложениям из приложения Workspace ONE Intelligent Hub без повторного ввода пароля.

Необходимые условия

  • Получение корневого сертификата и промежуточных сертификатов от центра сертификации (ЦС), который подписал сертификаты, предъявленные пользователями.
  • Создайте список идентификаторов объекта (OID) действительных политик сертификата для проверки подлинности сертификатов.
  • Расположение файла CRL и URL-адрес сервера OCSP для проверки отзыва.
  • (Необязательно) Расположение файла ответа OCSP на подписание сертификата.

Процедура

  1. В консоли Workspace ONE Access перейдите на страницу Интеграции > Методы проверки подлинности и выберите Единый вход на мобильных устройствах (Android).
  2. Щелкните Единый вход на мобильных устройствах (Android) и настройте параметры проверки подлинности для единого входа на мобильных устройствах (Android).
    Параметр Описание
    Включить адаптер сертификатов Установите этот флажок, чтобы включить единый вход для мобильных устройств Android.
    Сертификат корневого и промежуточного центров сертификации Выберите файлы сертификатов для загрузки. При необходимости можно выбрать несколько корневых и промежуточных зашифрованных сертификатов центра сертификации. Формат файла может быть PEM или DER.
    Загруженные сертификаты ЦС Содержимое переданного файла сертификата отображается здесь.
    Порядок поиска идентификатора пользователя

    Выберите порядок поиска, который будет использоваться для поиска идентификатора пользователя в сертификате.

    • основное имя пользователя. Значение UserPrincipalName альтернативного имени субъекта
    • адрес эл. почты. Адрес эл. почты альтернативного имени субъекта.
    • субъект. Значение идентификатора UID субъекта.
    Важно!: При проверке подлинности с помощью единого входа для мобильных устройств Android значение атрибута идентификатора должно быть тем же, что и значение для служб Workspace ONE Access и Workspace ONE UEM. В противном случае произойдет сбой единого входа для устройств Android.
    Примечание:
    • Если для создания клиентского сертификата Tunnel используется центр сертификации Workspace ONE UEM, поиск идентификатора пользователя должен выполняться в следующем порядке: Основное имя пользователя | Субъект.
    • Если используется сторонний корпоративный центр сертификации, поиск идентификатора пользователя должен выполняться в порядке Основное имя пользователя | Адрес электронной почты | Субъект, а шаблон сертификата должен содержать имя субъекта CN={DeviceUid}:{EnrollmentUser}. Необходимо использовать двоеточие (:).

    Подтверждение формата UPN Установите этот флажок, чтобы подтвердить формат поля UserPrincipalName.
    Политики сертификата приняты Создайте список идентификаторов объектов, которые принимаются в расширениях политик сертификата. Введите число идентификатора объекта (OID) для политики выпуска сертификата. Нажмите Добавить еще одно значение, чтобы добавить дополнительные идентификаторы.
    Включить отзыв сертификатов Установите флажок, чтобы включить проверку отзыва сертификата. В этом случае пользователи, у которых отозваны сертификаты, не смогут пройти проверку подлинности.
    Использовать CRL из сертификатов Установите флажок, чтобы использовать список отзыва сертификатов (CRL), опубликованный центром сертификации, выдавшим сертификаты, для подтверждения состояния сертификата (отозван или нет).
    Расположение CRL Введите путь к файловому серверу или локальный путь к файлу, из которого нужно извлечь CRL.
    Включить отзыв OCSP Установите этот флажок, чтобы использовать протокол проверки состояния сертификатов (OCSP) и получить состояние отзыва сертификата.
    Использовать CRL в случае отказа OCSP Если настроить и CRL, и OCSP, то после установки этого флажка будет осуществляться возврат к использованию CRL в случаях, когда проверка по OCSP недоступна.
    Отправить специальный параметр OCSP Установите флажок, чтобы отправлять в ответе уникальный идентификатор запроса OCSP.
    URL-адрес OCSP Если включен отзыв по OCSP, введите адрес сервера OCSP для проверки отзыва.
    Источник URL-адреса OCSP Выберите источник, который следует использовать для проверки отзыва.
    • Только конфигурация. Выполните проверку отзыва сертификатов с помощью URL-адреса OCSP, указанного в текстовом поле, чтобы подтвердить всю цепочку сертификатов.
    • Только сертификат (обязательно). Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата в цепочке. Каждый сертификат в цепочке должен иметь определенный URL-адрес OCSP. В противном случае произойдет ошибка проверки отзыва сертификата.
    • Только сертификат (необязательно). Выполните проверку только отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата. Не выполняйте проверку отзыва, если URL-адрес OCSP отсутствует в расширении AIA сертификата.
    • Сертификат с возвратом в основную среду для конфигурации. Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, извлеченного из расширения AIA каждого сертификата в цепочке, при наличии URL-адреса OCSP. Если URL-адрес OCSP отсутствует в расширении AIA, проверьте отзыв с помощью URL-адреса OCSP, настроенного в текстовом поле URL-адреса OCSP. Текстовое поле URL-адреса OCSP должно быть настроено с помощью адреса сервера OCSP.
    Сертификат подписи ответчика OCSP Введите путь к сертификату OCSP для ответчика. Введите путь в формате /path/to/file.cer
    Сертификаты подписи OCSP загружены В этом разделе перечислены отправленные файлы сертификатов.
    Активировать ссылку отмены Дает пользователю возможность щелкнуть ссылку «Отмена», чтобы прекратить попытку проверки подлинности и отменить вход, если проверка подлинности занимает слишком много времени.
    Отменить сообщение Дает возможность создать настраиваемое сообщение, которое отображается, если проверка подлинности занимает слишком много времени. Если настраиваемое сообщение не создано, используется сообщение по умолчанию: Attempting to authenticate your credentials.
  3. Нажмите кнопку Сохранить.

Дальнейшие действия

Свяжите метод проверки подлинности «Единый вход для мобильных устройств (iOS)» во встроенном поставщике удостоверений.

Настройте правило политики доступа по умолчанию для единого входа на мобильных устройствах Android.