若要提供從 Workspace ONE UEM 管理的 Android 裝置進行單一登入的功能,您必須在 Workspace ONE Access 內建的身分識別提供者中設定 Android 版行動 SSO 驗證。

Android 版行動單一登入 (SSO) 是 VMware Workspace ONE® UEM 管理的 Android 裝置所適用之憑證驗證方法的實作。使用者可以利用行動單一登入來登入其裝置,並透過 Workspace ONE Intelligent Hub 應用程式安全地存取其應用程式,而不需重新輸入密碼。

必要條件

  • 從簽署由您的使用者提供之憑證的 CA 取得根憑證和中繼憑證。
  • 建立一份用來驗證憑證的有效憑證原則物件識別碼 (OID) 清單。
  • CRL 的檔案位置和 OCSP 伺服器的 URL,用於撤銷檢查。
  • (選用) OCSP 回應簽署憑證檔案位置。

程序

  1. Workspace ONE Access 主控台中,移至整合 > 驗證方法頁面,然後選取 Android 版行動 SSO
  2. 按一下行動 SSO (適用於 Android),並設定 Android 版行動 SSO 驗證設定。
    選項 說明
    啟用憑證配接器 選取此核取方塊以啟用 Android 版行動 SSO。
    根和中繼 CA 憑證 選取要上傳的憑證檔案。您可選取多個已編碼的根 CA 和中繼 CA 憑證。可用的檔案格式為 PEM 或 DER。
    已上傳的 CA 憑證 已上傳之憑證檔案的內容會顯示於此。
    使用者識別碼搜尋順序

    選取搜尋順序,以用來找出憑證內的使用者識別碼。

    • upn。主體別名的 UserPrincipalName 值
    • 電子郵件。來自主體別名的電子郵件地址。
    • 主體。來自主體的 UID 值。
    重要: 對於 Android 版行動 SSO 驗證,識別碼屬性的值在 Workspace ONE AccessWorkspace ONE UEM 服務上必須是相同的。否則,Android SSO 將失敗。
    備註:
    • 如果 Workspace ONE UEM CA 進行通道用戶端憑證產生,則使用者識別碼搜尋順序必須為 UPN | 主體
    • 如果使用第三方企業 CA,則使用者識別碼搜尋順序必須為 UPN | 電子郵件 | 主體,而憑證範本必須包含主體名稱 CN={DeviceUid}:{EnrollmentUser}。請確定包含冒號 (:)。

    驗證 UPN 格式 勾選此核取方塊,以驗證 UserPrincipalName 欄位的格式。
    已接受的憑證原則 建立憑證原則延伸中已接受之物件識別碼的清單。輸入憑證核發原則的物件識別碼號碼 (OID)。按一下新增另一個值來新增其他 OID。
    啟用憑證撤銷 選取此核取方塊可啟用憑證撤銷檢查。憑證撤銷會導致已撤銷使用者憑證的使用者無法驗證。
    使用來自憑證的 CRL 選取此核取方塊,可使用由核發憑證的 CA 所發佈的憑證撤銷清單 (CRL) 來驗證憑證的狀態 (已撤銷或未撤銷)。
    CRL 位置 輸入要從中擷取 CRL 的伺服器檔案路徑或本機檔案路徑。
    啟用 OCSP 撤銷 選取此核取方塊,可使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定瞭解憑證的撤銷狀態。
    OCSP 失敗時使用 CRL 如果您同時設定 CRL 和 OCSP,您可以選取此方塊,以在 OCSP 檢查無法使用時回復為使用 CRL。
    傳送 OCSP Nonce 如果您希望在回應中傳送 OCSP 申請的唯一識別碼,請選取此核取方塊。
    OCSP URL 如果您已啟用 OCSP 撤銷,請輸入用於撤銷檢查的 OCSP 伺服器位址。
    OCSP URL 來源 選取用於撤銷檢查的來源。
    • 僅組態。使用文字方塊中提供的 OCSP URL 執行憑證撤銷檢查,以驗證整個憑證鏈結。
    • 僅憑證 (必要)。使用鏈結中存在於每個憑證 AIA 延伸的 OCSP URL 執行憑證撤銷檢查。鏈結中的每個憑證都必須已定義 OCSP URL,否則憑證撤銷檢查將會失敗。
    • 僅憑證 (選擇性)。僅使用憑證 AIA 延伸中存在的 OCSP URL 執行憑證撤銷檢查。如果憑證 AIA 延伸中不存在 OCSP URL,則請勿檢查撤銷。
    • 具有容錯回復至組態的憑證。當 OCSP URL 可用時,使用從鏈結中每個憑證 AIA 延伸所擷取的 OCSP URL 執行憑證撤銷檢查。如果 AIA 延伸中不存在 OCSP URL,則使用 OCSP URL 文字方塊中設定的 OCSP URL 來檢查撤銷。您必須使用 OCSP 伺服器位址設定 OCSP URL 文字方塊。
    OCSP 回應程式的簽署憑證 輸入回應程式的 OCSP 憑證路徑。輸入為 /path/to/file.cer
    已上傳的 OCSP 簽署憑證 上傳的憑證檔案會在此區段中列出。
    啟動取消連結 當驗證花費太長的時間時,如果此連結已啟用,則使用者可以按一下 [取消] 來停止驗證嘗試並取消登入。
    取消訊息 建立會在驗證花費太長時間時顯示的自訂訊息。如果您未建立自訂訊息,預設訊息為「Attempting to authenticate your credentials」。
  3. 按一下儲存

下一步

在內建身分識別提供者中建立行動 SSO (適用於 iOS) 驗證方法的關聯。

設定 Android 版行動 SSO 的預設存取原則規則。