若要在 VMware Workspace ONE™ UEM 管理的 iOS 裝置上進行 iOS 版行動 SSO 驗證,您可以使用內建 KDC。您必須先在應用裝置中手動初始化金鑰發佈中心 (KDC),才能從管理主控台啟用驗證方法。
在 VMware Identity Manager中初始化 KDC 之前,請確認 KDC 伺服器的領域名稱、子網域是否位在您的部署中,以及是否要使用預設 KDC 伺服器憑證。
領域
領域是負責維護驗證資料的管理實體的名稱。為 Kerberos 驗證領域選取描述性的名稱非常重要。領域名稱必須是企業可設定之 DNS 網域的一部分。
領域名稱和用來存取 VMware Identity Manager 服務的完整網域名稱 (FQDN) 互相獨立。您的企業必須同時控制領域名稱和 FQDN 的 DNS 網域。慣例是以大寫字母輸入相同的領域名稱與網域名稱。領域名稱有時候會與網域不同。例如,領域名稱為 EXAMPLE.NET,而 idm.example.com 為VMware Identity Manager FQDN。在此案例中,您要為 example.net 和 example.com 網域皆定義 DNS 項目。
Kerberos 用戶端會使用領域名稱來產生 DNS 名稱。例如,如果名稱為 example.com,則 TCP 用來連絡 KDC 的 Kerberos 相關名稱會是_kerberos._tcp.EXAMPLE.COM。
使用子網域
安裝在內部部署環境中的 VMware Identity Manager服務可以使用VMware Identity Manager FQDN 子網域。如果您的VMware Identity Manager站台會存取多個 DNS 網域,請將這些網域設定為 location1.example.com、location2.example.com 和 location3.example.com。在此例中的子網域值是以小寫字母輸入的 example.com。若要在您的環境中設定子網域,請與您的服務支援團隊合作。
使用 KDC 伺服器憑證
KDC 初始化後,依預設會產生 KDC 伺服器憑證和自我簽署根憑證。憑證將用來簽發 KDC 伺服器憑證。此根憑證會包含在裝置設定檔中,因此裝置可以信任 KDC。
您可使用企業根憑證或中繼憑證來手動產生 KDC 伺服器憑證。如需此功能的詳細資訊,請聯絡您的服務支援團隊。
請從 VMware Identity Manager 管理主控台下載 KDC 伺服器根憑證,以用於 iOS 裝置管理設定檔的 Workspace ONE UEM 組態中。