若要在 VMware Workspace ONE™ UEM 管理的 iOS 裝置上進行 iOS 版行動 SSO 驗證,您可以使用內建 KDC。您必須先在應用裝置中手動初始化金鑰發佈中心 (KDC),才能從管理主控台啟用驗證方法。

備註: 在 Windows 環境中整合 VMware Identity Manager 與 Workspace ONE UEM 時,請使用 VMware Identity Manager KDC 雲端主控的服務而非內建 KDC。要在雲端中使用 KDC,則需要在管理主控台的 iOS 驗證配接器頁面中選取適當的領域名稱。請參閱《VMware Identity Manager 管理指南》。

VMware Identity Manager中初始化 KDC 之前,請確認 KDC 伺服器的領域名稱、子網域是否位在您的部署中,以及是否要使用預設 KDC 伺服器憑證。

領域

領域是負責維護驗證資料的管理實體的名稱。為 Kerberos 驗證領域選取描述性的名稱非常重要。領域名稱必須是企業可設定之 DNS 網域的一部分。

領域名稱和用來存取 VMware Identity Manager 服務的完整網域名稱 (FQDN) 互相獨立。您的企業必須同時控制領域名稱和 FQDN 的 DNS 網域。慣例是以大寫字母輸入相同的領域名稱與網域名稱。領域名稱有時候會與網域不同。例如,領域名稱為 EXAMPLE.NET,而 idm.example.comVMware Identity Manager FQDN。在此案例中,您要為 example.netexample.com 網域皆定義 DNS 項目。

Kerberos 用戶端會使用領域名稱來產生 DNS 名稱。例如,如果名稱為 example.com,則 TCP 用來連絡 KDC 的 Kerberos 相關名稱會是_kerberos._tcp.EXAMPLE.COM

使用子網域

安裝在內部部署環境中的 VMware Identity Manager服務可以使用VMware Identity Manager FQDN 子網域。如果您的VMware Identity Manager站台會存取多個 DNS 網域,請將這些網域設定為 location1.example.com、location2.example.com 和 location3.example.com。在此例中的子網域值是以小寫字母輸入的 example.com。若要在您的環境中設定子網域,請與您的服務支援團隊合作。

使用 KDC 伺服器憑證

KDC 初始化後,依預設會產生 KDC 伺服器憑證和自我簽署根憑證。憑證將用來簽發 KDC 伺服器憑證。此根憑證會包含在裝置設定檔中,因此裝置可以信任 KDC。

您可使用企業根憑證或中繼憑證來手動產生 KDC 伺服器憑證。如需此功能的詳細資訊,請聯絡您的服務支援團隊。

請從 VMware Identity Manager 管理主控台下載 KDC 伺服器根憑證,以用於 iOS 裝置管理設定檔的 Workspace ONE UEM 組態中。