為了支援對 iOS 版行動 SSO 使用 Kerberos 驗證,VMware Identity Manager 提供了雲端主控的 KDC 服務。

使用 Workspace ONE UEMVMware Identity Manager 服務部署在 Windows 環境中時,必須使用在雲端中主控的 KDC 服務。

若要使用 VMware Identity Manager 應用裝置中管理的 KDC,請參閱《VMware Identity Manager 安裝和設定》指南中的〈準備在 iOS 裝置上使用 Kerberos 驗證〉。

當您設定 iOS 版行動 SSO 驗證時,您需要為雲端主控的 KDC 服務設定領域名稱。領域是負責維護驗證資料之管理實體的名稱。當您按一下 [儲存] 時,VMware Identity Manager 服務將會登錄至雲端主控的 KDC 服務。儲存在 KDC 服務中的資料會以 iOS 版行動 SSO 驗證方法的組態為基礎,其中包含 CA 憑證、OCSP 簽署憑證,以及 OCSP 要求組態詳細資料。

記錄會儲存在雲端服務中。記錄中的個人識別資訊 (PII) 包含使用者設定檔中的 Kerberos 主體名稱、主體 DN 和 UPN 以及 EMAIL SAN 值、使用者憑證中的裝置識別碼,以及使用者所存取之 IDM 服務的 FQDN。

若要使用雲端主控的 KDC 服務,VMware Identity Manager 必須根據下述進行設定。

  • VMware Identity Manager 服務的 FQDN 必須可從網際網路存取。VMware Identity Manager 使用的 SSL/TLS 憑證必須公開簽署。
  • 輸出要求/回應連接埠 88 (UDP) 和連接埠 443 (HTTPS/TCP) 必須可從 VMware Identity Manager 服務存取。
  • 如果您啟用 OCSP,則 OCSP 回應程式必須可從網際網路存取。