將 Kerberos 驗證服務安裝在 Workspace ONE Access Connector 上時,您可以從 Workspace ONE Access 主控台啟用並設定 Kerberos 驗證方法。接著,您可以新增 Workspace IDP 身分識別提供者,並將 Kerberos 驗證方法與身分識別提供者建立關聯。

必要條件

必須在 Workspace ONE Access Connector 中正確設定 Kerberos 驗證服務。正確的組態包含下列項目。

  • Kerberos 驗證服務安裝所在的 Windows 機器必須加入至網域。
  • 在 Kerberos 驗證服務安裝期間,您已指定用來執行服務的網域使用者帳戶。此網域使用者是安裝服務所在 Windows 機器上管理員群組的一部分。
  • 已上傳由公用或內部 CA 簽署的受信任 SSL 憑證。如果您部署了 Kerberos 驗證服務的多個執行個體以獲得高可用性,則由公用或內部 CA 簽署的受信任 SSL 憑證已上傳到每個連接器。
  • Kerberos 驗證服務需要在連接埠 TCP 443 上建立到連接器的輸入連線。
  • 若要設定 Kerberos 驗證的高可用性,則必須具備負載平衡。負載平衡必須具有由公用或內部 CA 簽署的受信任 SSL 憑證。如需組態資訊,請參閱《安裝 Workspace ONE Access Connector》指南。

程序

  1. Workspace ONE Access 主控台的整合 > 連接器驗證方法頁面中,按一下新增,然後選取 Kerberos
  2. 選取要使用此驗證方法設定的目錄服務主機
  3. 設定 Kerberos 驗證方法的設定。
    選項 說明
    目錄 UID 屬性 輸入包含使用者名稱的帳戶屬性。
    啟用重新導向 如果已啟用重新導向,則啟用重新導向會顯示,因為您會部署設定為使用 Kerberos 驗證服務的多個連接器,以獲得使用負載平衡器的高可用性。
  4. 下一步以檢閱組態,然後按一下儲存

下一步

在 [身分識別提供者] 頁面中,新增 Workspace IDP 身分識別提供者,並將 Kerberos 驗證方法與身分識別提供者建立關聯。請參閱 在 Workspace ONE Access 中使用 Kerberos 驗證來設定 Workspace 身分識別提供者執行個體

在 [資源] > [原則] 頁面中,將該驗證方法新增到預設存取原則中,然後編輯預設原則規則,以將 Kerberos 驗證方法按正確的驗證順序新增至規則,並將密碼驗證方法 (雲端) 設定為後援驗證方法。請參閱 在 Workspace ONE Access 服務中管理存取原則

如果已設定高可用性,則在每個連接器上設定用於 Kerberos 驗證服務的 Kerberos 驗證方法。