為了支援對 iOS 版行動 SSO 使用 Kerberos 驗證,Workspace ONE Access 提供了雲端主控的 KDC 服務。
使用 Workspace ONE UEM 將 Workspace ONE Access 服務部署在 Windows 環境中時,必須使用在雲端中主控的 KDC 服務。雲端中主控的 KDC 服務也可用於 Workspace ONE Access 雲端主控的部署。
當您設定 iOS 版行動 SSO 驗證時,您需要為雲端主控的 KDC 服務設定領域名稱。領域是負責維護驗證資料之管理實體的名稱。當您按一下儲存時,Workspace ONE Access 服務將會登錄至雲端主控的 KDC 服務。儲存在 KDC 服務中的資料以 iOS 版行動 SSO 驗證方法的組態為基礎。資料包括 CA 憑證、OCSP 簽署憑證,以及 OCSP 要求組態詳細資料。
記錄會儲存在雲端服務中。記錄中的個人身分識別資訊 (PII) 包含下列項目。
- 使用者設定檔中的 Kerberos 主體名稱
- 主體 DN、UPN 和 電子郵件 SAN 值
- 使用者憑證中的裝置識別碼
- 使用者正在存取的 IDM 服務 FQDN
若要使用雲端主控的 KDC 服務,Workspace ONE Access 必須根據下述進行設定。
- Workspace ONE Access 服務的 FQDN 必須可從網際網路存取。Workspace ONE Access 使用的 SSL/TLS 憑證必須公開簽署。
如果您使用外部防火牆設定 Workspace ONE Access,請建立具有適當 IP 位址或 URL 的允許清單。請參閱針對 Workspace ONE Access 服務新增允許清單 IP 位址至您的外部防火牆。
- 輸出要求/回應連接埠 88 (UDP) 和連接埠 443 (HTTPS/TCP) 必須可從服務存取。
- 如果您啟用 OCSP,則 OCSP 回應程式必須可從網際網路存取。