Чтобы обеспечить единый вход с устройств Android под управлением Workspace ONE UEM, настройте проверку подлинности для единого входа на мобильных устройствах Android во встроенном поставщике удостоверений Workspace ONE Access.

Единый вход для мобильных устройств с Android — это реализация метода проверки подлинности с помощью сертификата для устройств с Android под управлением VMware Workspace ONE® UEM. С помощью единого входа для мобильных устройств пользователи могут входить на устройства и безопасно получать доступ к приложениям VMware Workspace® ONE® без повторного ввода пароля. Для получения подробных сведений о конфигурации см. Руководство по единому входу в VMware Workspace ONE для мобильных устройств с Android.

Необходимые условия

  • Получение корневого сертификата и промежуточных сертификатов от центра сертификации (ЦС), который подписал сертификаты, предъявленные пользователями.
  • Список идентификаторов объекта (OID) с действительными политиками сертификатов для проверки подлинности с помощью сертификата.
  • Расположение файла CRL и URL-адрес сервера OCSP для проверки отзыва.
  • (Необязательно) Расположение файла ответа OCSP на подписание сертификата.

Процедура

  1. На вкладке «Управление учетными данными и доступом» выберите Управление > Методы проверки подлинности.
  2. В столбце «Настройка» для параметра Единый вход для мобильных устройств (Android) щелкните значок карандаша.
  3. Настройте страницу «Единый вход для мобильных устройств с Android».
    Параметр Описание
    Включить адаптер сертификатов Установите этот флажок, чтобы включить единый вход для мобильных устройств Android.
    Сертификат корневого и промежуточного центров сертификации Выберите файлы сертификатов для загрузки. При необходимости можно выбрать несколько корневых и промежуточных зашифрованных сертификатов центра сертификации. Формат файла может быть PEM или DER.
    Загруженные сертификаты ЦС Содержимое переданного файла сертификата отображается здесь.
    Порядок поиска идентификатора пользователя

    Выберите порядок поиска, чтобы найти идентификатор пользователя в сертификате.

    • основное имя пользователя. Значение UserPrincipalName альтернативного имени субъекта
    • адрес эл. почты. Адрес эл. почты альтернативного имени субъекта.
    • субъект. Значение идентификатора UID субъекта.
    Примечание:
    • Если для создания клиентского сертификата Tunnel используется центр сертификации AirWatch, поиск идентификатора пользователя должен выполняться в следующем порядке: Основное имя пользователя | Субъект.
    • Если используется сторонний корпоративный центр сертификации, поиск идентификатора пользователя должен выполняться в порядке Основное имя пользователя | Адрес электронной почты | Субъект, а шаблон сертификата должен содержать имя субъекта CN={DeviceUid}:{EnrollmentUser}. Обязательно используйте двоеточие (:).

    Подтверждение формата UPN Установите этот флажок, чтобы подтвердить формат поля UserPrincipalName.
    Политики сертификата приняты Создайте список идентификаторов объектов, которые принимаются в расширениях политик сертификата. Введите число идентификатора объекта (OID) для политики выпуска сертификата. Нажмите Добавить еще одно значение, чтобы добавить дополнительные идентификаторы.
    Включить отзыв сертификатов Установите флажок, чтобы включить проверку отзыва сертификата. В этом случае пользователи, у которых отозваны сертификаты, не смогут пройти проверку подлинности.
    Использовать CRL из сертификатов Установите флажок, чтобы использовать список отзыва сертификатов (CRL), опубликованный центром сертификации, выдавшим сертификаты, для подтверждения состояния сертификата (отозван или нет).
    Расположение CRL Введите путь к файловому серверу или локальный путь к файлу, из которого нужно извлечь CRL.
    Включить отзыв OCSP Установите этот флажок, чтобы использовать протокол проверки состояния сертификатов (OCSP) и получить состояние отзыва сертификата.
    Использовать CRL в случае отказа OCSP Если настроить и CRL, и OCSP, то после установки этого флажка будет осуществляться возврат к использованию CRL в случаях, когда проверка по OCSP недоступна.
    Отправить специальный параметр OCSP Установите флажок, чтобы отправлять в ответе уникальный идентификатор запроса OCSP.
    URL-адрес OCSP Если включен отзыв по OCSP, введите адрес сервера OCSP для проверки отзыва.
    Исходный URL-адрес OSCP Выберите источник, который следует использовать для проверки отзыва.
    • Только конфигурация. Выполните проверку отзыва сертификатов с помощью URL-адреса OCSP, указанного в текстовом поле, чтобы подтвердить всю цепочку сертификатов.
    • Только сертификат (обязательно). Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата в цепочке. Каждый сертификат в цепочке должен иметь определенный URL-адрес OCSP, в противном случае произойдет ошибка проверки отзыва сертификата.
    • Только сертификат (необязательно). Выполните проверку только отзыва сертификата с помощью URL-адреса OCSP, который имеется в расширении AIA каждого сертификата. Не выполняйте проверку отзыва, если URL-адрес OCSP отсутствует в расширении AIA сертификата.
    • Сертификат с возвратом в основную среду для конфигурации. Выполните проверку отзыва сертификата с помощью URL-адреса OCSP, извлеченного из расширения AIA каждого сертификата в цепочке, при наличии URL-адреса OCSP. Если URL-адрес OCSP отсутствует в расширении AIA, проверьте отзыв с помощью URL-адреса OCSP, настроенного в текстовом поле URL-адреса OCSP. Текстовое поле URL-адреса OCSP должно быть настроено с помощью адреса сервера OCSP.
    Сертификат подписи ответчика OCSP Введите путь к сертификату OCSP для ответчика. Введите путь в формате /path/to/file.cer
    Сертификаты подписи OCSP загружены В этом разделе перечислены отправленные файлы сертификатов.
    Активировать ссылку отмены Дает пользователю возможность щелкнуть ссылку «Отмена», чтобы прекратить попытку проверки подлинности и отменить вход, если проверка подлинности занимает слишком много времени.
    Отменить сообщение Дает возможность создать настраиваемое сообщение, которое отображается, если проверка подлинности занимает слишком много времени. Если настраиваемое сообщение не создано, используется сообщение по умолчанию: Attempting to authenticate your credentials.
  4. Нажмите кнопку Сохранить.

Дальнейшие действия

Свяжите метод проверки подлинности «Единый вход для мобильных устройств (iOS)» во встроенном поставщике удостоверений.

Настройте правило политики доступа по умолчанию для единого входа на мобильных устройствах Android.