AnyConnect per Android supporta le configurazioni gestite, che potrebbero essere fornite dalle app MDM/EMM. Lo schema è incorporato nella chiave APK di AnyConnect (in res/restrictions.xml) e può essere recuperato tramite l'API EMM di Google. Lo schema include la documentazione dettagliata su ogni campo e definisce un modulo che può essere visualizzato dal portale di amministrazione EMM.
Per effettuare il provisioning di una sola voce di configurazione VPN, gli amministratori possono utilizzare i campi vpn_connection_*. Per effettuare il provisioning di più configurazioni VPN, gli amministratori possono utilizzare il campo vpn_configuration_list, che è un BundleArray che può contenere una o più voci vpn_configuration.
Alcune chiavi di configurazione gestite sono valori in token dinamici associati che devono essere popolati dal software EMM.
Provisioning dei certificati client
AnyConnect supporta il processo standard per il provisioning EMM dei certificati client. vpn_keychain_cert_alias deve contenere l'alias KeyChain Android del certificato. Quando questo valore è presente, AnyConnect chiamerà KeyChain.choosePrivateKeyAlias per avviare l'importazione (se l'alias non è già stato importato). In genere, viene visualizzato un prompt del sistema operativo in cui l'utente deve approvare la richiesta. Per un'esperienza utente più fluida, l'app EMM può implementare onChoosePrivateKeyAlias per evitare di richiedere conferma all'utente.
La maggior parte dei portali EMM consente all'amministratore di immettere un valore token speciale per il campo vpn_keychain_cert_alias. Una volta che l'app EMM ha importato il certificato in Android KeyChain, utilizzerà l'alias del certificato effettivo al posto del token speciale.
Nota: il valore di vpn_keychain_cert_alias deve corrispondere all'alias KeyChain effettivo del certificato. In caso contrario, la richiesta potrebbe essere visualizzata più volte, in quanto AnyConnect ritiene che il certificato non sia stato importato.
Per riepilogare il processo di provisioning EMM del certificato client:
- L'app EMM ottiene il certificato (ad esempio tramite SCEP) e lo importa in Android KeyChain.
- (Consigliato) L'app EMM implementa DeviceAdminReceiver.onChoosePrivateKeyAlias() in modo che AnyConnect venga approvato automaticamente per l'utilizzo del certificato
- L'app EMM imposta l'alias KeyChain del certificato importato nel campo vpn_keychain_cert_alias della configurazione gestita di AnyConnect.
Identificatore dispositivo provisioning
AnyConnect supporta il provisioning EMM di un identificatore di dispositivo che può essere utilizzato per il controllo dell'accesso alla rete o per la creazione di report utilizzando il campo del valore speciale token vpn_connection_device_id. Per ulteriori informazioni sull'ID del dispositivo, vedere la nota di Tech Zone.