您可以在管理主控台的 [驗證方法] 頁面中設定 iOS 版行動 SSO 驗證方法。選取要在內建身分識別提供者中使用的行動 SSO (iOS 版) 驗證方法。

先決條件

  • 用來簽發憑證給 AirWatch 承租人之使用者的憑證授權機構 PEM 或 DER 檔案。

  • 若要進行撤銷檢查,需要 OCSP 回應程式的簽署憑證。

  • 針對 KDC 服務,選取 KDC 服務的領域名稱。如果使用的是內建 KDC 服務,則應初始化 KDC。如需內建 KDC 的詳細資訊,請參閱《安裝和設定 VMware Identity Manager》。

程序

  1. 在 [身分識別與存取管理] 索引標籤中,移至管理 > 驗證方法
  2. 行動 SSO (iOS 版) 的 [設定] 資料行中,按一下圖示。
  3. 設定 Kerberos 驗證方法。

    選項

    說明

    啟用 KDC 驗證

    選取此核取方塊,可讓使用者使用支援 Kerberos 驗證的 iOS 裝置登入。

    領域

    如果您使用雲端主控的 KDC,請輸入提供給您的預先定義支援領域名稱。此參數中的文字必須全部以大寫輸入。例如 OP.VMWAREIDENTITY.COM

    如果您使用內建 KDC,則系統會顯示您在初始化 KDC 時設定的領域名稱。

    根和中繼 CA 憑證

    上傳憑證授權機構發行者憑證檔案。可用的檔案格式為 PEM 或 DER。

    已上傳的 CA 憑證主體 DN

    已上傳之憑證檔案的內容會顯示於此處。您可以上傳多個檔案;系統會將檔案包含的所有憑證新增至清單中。

    啟用 OCSP

    選取此核取方塊,以使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定瞭解憑證的撤銷狀態。

    傳送 OCSP Nonce

    如果您希望在回應中傳送 OCSP 申請的唯一識別碼,請選取此核取方塊。

    OCSP 回應程式的簽署憑證

    上傳回應程式的 OCSP 憑證。

    當您使用 AirWatch 憑證授權機構時,系統會將簽發者憑證當做 OCSP 憑證。請一併上傳 AirWatch 憑證。

    OCSP 回應程式的簽署憑證主體 DN

    已上傳的 OCSP 憑證檔案會列示於此。

    啟動取消連結

    如果驗證花費太長的時間,使用者可以按一下 [取消] 以停止驗證嘗試並取消登入。

    當您啟用 [取消] 連結時,取消會出現在所顯示驗證錯誤訊息的結尾處。

    取消訊息

    建立自訂訊息以在 Kerberos 驗證花費太長的時間時顯示。如果您未建立自訂訊息,預設訊息為「Attempting to authenticate your credentials」。
  4. 按一下儲存

下一步

  • 在內建身分識別提供者中建立行動 SSO (iOS 版) 驗證方法的關聯。

  • 在 [KDC 憑證匯出] 區段中,按一下下載憑證。將該憑證儲存為可從 AirWatch 管理主控台存取的檔案。設定 AirWatch 中的 iOS 裝置設定檔時,您需要上傳此憑證。

  • 針對 iOS 裝置設定 Kerberos 驗證的預設存取原則規則。確認該項驗證方法是規則中第一個設定的方法。

  • 前往 AirWatch 管理主控台並設定 AirWatch 中的 iOS 裝置設定檔,接著從 Identity Manager 新增 KDC 伺服器憑證簽發者憑證。