為了支援對 iOS 版行動 SSO 使用 Kerberos 驗證,VMware Identity Manager 提供了雲端主控的 KDC 服務。
使用 Workspace ONE UEM 將 VMware Identity Manager 服務部署在 Windows 環境中時,必須使用在雲端中主控的 KDC 服務。
若要使用 VMware Identity Manager 應用裝置中管理的 KDC,請參閱《VMware Identity Manager 安裝和設定》指南中的〈準備在 iOS 裝置上使用 Kerberos 驗證〉。
當您設定 iOS 版行動 SSO 驗證時,您需要為雲端主控的 KDC 服務設定領域名稱。領域是負責維護驗證資料之管理實體的名稱。當您按一下 [儲存] 時,VMware Identity Manager 服務將會登錄至雲端主控的 KDC 服務。儲存在 KDC 服務中的資料會以 iOS 版行動 SSO 驗證方法的組態為基礎,其中包含 CA 憑證、OCSP 簽署憑證,以及 OCSP 要求組態詳細資料。
記錄會儲存在雲端服務中。記錄中的個人識別資訊 (PII) 包含使用者設定檔中的 Kerberos 主體名稱、主體 DN 和 UPN 以及 EMAIL SAN 值、使用者憑證中的裝置識別碼,以及使用者所存取之 IDM 服務的 FQDN。
若要使用雲端主控的 KDC 服務,VMware Identity Manager 必須根據下述進行設定。
- VMware Identity Manager 服務的 FQDN 必須可從網際網路存取。VMware Identity Manager 使用的 SSL/TLS 憑證必須公開簽署。
- 輸出要求/回應連接埠 88 (UDP) 和連接埠 443 (HTTPS/TCP) 必須可從 VMware Identity Manager 服務存取。
- 如果您啟用 OCSP,則 OCSP 回應程式必須可從網際網路存取。