為了支援對 iOS 版行動 SSO 使用 Kerberos 驗證，VMware Identity Manager 提供了雲端主控的 KDC 服務。

使用 Workspace ONE UEM 將 VMware Identity Manager 服務部署在 Windows 環境中時，必須使用在雲端中主控的 KDC 服務。

若要使用 VMware Identity Manager 應用裝置中管理的 KDC，請參閱《VMware Identity Manager 安裝和設定》指南中的〈準備在 iOS 裝置上使用 Kerberos 驗證〉。

當您設定 iOS 版行動 SSO 驗證時，您需要為雲端主控的 KDC 服務設定領域名稱。領域是負責維護驗證資料之管理實體的名稱。當您按一下 [儲存] 時，VMware Identity Manager 服務將會登錄至雲端主控的 KDC 服務。儲存在 KDC 服務中的資料會以 iOS 版行動 SSO 驗證方法的組態為基礎，其中包含 CA 憑證、OCSP 簽署憑證，以及 OCSP 要求組態詳細資料。

記錄會儲存在雲端服務中。記錄中的個人識別資訊 (PII) 包含使用者設定檔中的 Kerberos 主體名稱、主體 DN 和 UPN 以及 EMAIL SAN 值、使用者憑證中的裝置識別碼，以及使用者所存取之 IDM 服務的 FQDN。

若要使用雲端主控的 KDC 服務，VMware Identity Manager 必須根據下述進行設定。

• VMware Identity Manager 服務的 FQDN 必須可從網際網路存取。VMware Identity Manager 使用的 SSL/TLS 憑證必須公開簽署。
• 輸出要求/回應連接埠 88 (UDP) 和連接埠 443 (HTTPS/TCP) 必須可從 VMware Identity Manager 服務存取。
• 如果您啟用 OCSP，則 OCSP 回應程式必須可從網際網路存取。