Para permitir que dispositivos iOS se conectem ao Provedor de Identidade do Workspace ONE Access, primeiro configure o perfil de logon único para dispositivos iOS e, em seguida, atribua o perfil a um grupo inteligente. Esse perfil contém as informações necessárias para o dispositivo se conectar ao provedor de identidade e o certificado que o dispositivo usou para se autenticar.

Pré-requisitos

  • O SSO móvel para iOS está configurado no Workspace ONE Access.
  • Autenticação móvel do iOS configurada na política de acesso padrão do Workspace ONE Access.
  • O arquivo da autoridade de certificação Kerberos de iOS salvo em um computador que pode ser acessado do console de administração do Workspace ONE UEM.
  • Seu modelo de certificado e autoridade de certificação estão devidamente configurados no Workspace ONE UEM.
  • Lista de URLs e IDs de pacote de aplicativos que usam o SSO móvel para a autenticação de iOS em dispositivos iOS.

Procedimento

  1. No console do Workspace ONE UEM, navegue para Dispositivos > Perfis e Recursos > Perfis .
  2. Selecione Adicionar > Adicionar Perfil e selecione Apple iOS.
  3. Insira o nome como iOSKerberos e defina as configurações Geral.
  4. No painel de navegação à esquerda, selecione Credenciais > Configurar para configurar a credencial.
    Opção Descrição
    Origem da Credencial Selecione Autoridade de Certificação Definida no menu suspenso.
    Autoridade de certificação Selecione a autoridade de certificação da lista no menu suspenso.
    Modelo de Certificado Selecione o modelo de solicitação que faz referência à autoridade de certificação a partir do menu suspenso. Esse é o modelo de certificado criado em Adicionando o modelo de certificado no Workspace ONE UEM.
  5. Clique em + no canto inferior direito da página novamente e crie uma segunda credencial.
  6. No menu suspenso Origem da Credencial, selecione Carregar.
  7. Insira um nome de credencial.
  8. Clique em Carregar para carregar o certificado raiz do servidor KDC baixado da página Gerenciamento de Identidade e Acesso > Gerenciar > Provedores de Identidade > Provedor de Identidade Integrado.
  9. No painel de navegação à esquerda, selecione Single Sign-On e clique em Configuração.
  10. Insira informações de conexão.
    Opção Descrição
    Nome da Conta Insira Kerberos.
    Nome Principal do Kerberos Clique em + e selecione {EnrollmentUser}.

    Se o seu Active Directory incluir nomes de usuário de funcionários configurados com o mesmo valor para FirstName e LastName, crie um atributo personalizado na página Campos de Pesquisa do console do Workspace ONE UEM. Consulte Criar Valor de Pesquisa Personalizado para o Nome da Entidade de Segurança Kerberos do SSO Móvel do iOS.

    Território

    Para implantações de tenant na nuvem, insira o nome do território do Workspace ONE Access do seu tenant. Certifique-se de digitar o nome do território com as mesmas maiúsculas e minúsculas que o nome do território de seu tenant.

    Observação: Nomes de território Kerberos diferenciam maiúsculas de minúsculas. O formato recomendado é criar nomes de território totalmente em letras maiúsculas. Os nomes de território que diferem no caso não são equivalentes. Por exemplo, VMWAREIDENTITY.COM não é o mesmo nome de território que vmwareidentity.com.

    Nas implantações locais, insira o nome do território que você usou quando inicializou o KDC no appliance do Workspace ONE Access. Por exemplo, EXEMPLO.COM

    Certificado de Renovação Selecione Certificate#1 no menu suspenso. Esse é o certificado da autoridade de certificação do Active Directory que foi configurado primeiro com credenciais.
    Prefixos de URL Insira os prefixos de URL que devem corresponder para se usar essa conta para a autenticação Kerberos por HTTP.

    Para implantações de tenant na nuvem, insira a URL do servidor do Workspace ONE Access como https://<tenant>.vmwareidentity.<region>.

    Para implantações locais, insira a URL do servidor do Workspace ONE Access como https://myco.example.com.

    ID de Pacote de Aplicativos Insira a lista das identidades de aplicativos que têm permissão para usar esse sign-on. Para executar o single sign-on usando navegador Safari integrado para iOS, digite a primeira ID de pacote de aplicativos como com.apple.mobilesafari. Continue a inserir as IDs de pacote de aplicativos. Os aplicativos listados devem oferecer suporte à autenticação SAML.
  11. Clique em Salvar e Publicar.

O que Fazer Depois

Atribua o perfil de dispositivo a um grupo inteligente. Grupos inteligentes são grupos personalizáveis que determinam quais dispositivos de plataforma e usuários recebem um aplicativo atribuído, um livro, uma política de conformidade, um perfil de dispositivo ou uma provisão. Consulte Atribuir um Perfil de Dispositivo do Workspace ONE UEM a Grupos Inteligentes.