Para configurar a autenticação SSO Móvel (para Apple), defina as configurações de autenticação baseadas em certificado SSO Móvel (para Apple) no console do Workspace ONE Access e carregue o certificado do emissor para a autenticação baseada em certificado.
O método de autenticação de Single Sign-On Móvel do Workspace ONE Access (para Apple) é uma implementação do método de autenticação de certificado para dispositivos iOS gerenciados (MDM) do Workspace ONE UEM. Um certificado é implementado no perfil do dispositivo UEM e instalado no dispositivo quando o dispositivo está inscrito no gerenciamento de dispositivos. Quando os usuários acessam seus aplicativos e recursos corporativos, o certificado é apresentado automaticamente, eliminando a necessidade de eles inserirem novamente suas credenciais para abrir aplicativos em seus dispositivos.
Você configura os métodos de autenticação com base na nuvem no console do Workspace ONE Access, na página Integrações > Métodos de Autenticação. Depois que o método de autenticação for configurado, associe-o a um provedor de identidade integrado do Workspace ONE Access na página Integrações > Provedores de Identidade e crie regras de política de acesso a serem aplicadas ao método de autenticação na página Recursos > Políticas. No console do Workspace ONE UEM, configure o perfil do dispositivo Apple com a configuração Apple SSO Extension e defina o tipo de certificado do UEM a ser implantado em dispositivos Apple iOS.
Consulte o guia Implementando a autenticação SSO móvel do VMware Workspace ONE Access (para Apple) para dispositivos móveis Apple gerenciados pelo Workspace ONE UEM para saber como instalar e configurar todos os componentes do SSO móvel para autenticação Apple.
Configurar a autenticação de certificado para SSO móvel (para Apple)
Pré-requisitos
- Salve o certificado do emissor que você carregará para a autenticação SSO Móvel (para Apple). Se você estiver usando o certificado do Workspace ONE UEM, exporte e salve o certificado raiz na página do console do Workspace ONE UEM .
- (Opcional) Lista de Identificadores de Objeto (OID) das políticas de certificado válidas para a autenticação de certificado.
- Para a verificação de revogação, a localização do arquivo da CRL e a URL do servidor OCSP.
- (Opcional) Local do arquivo de certificado de autenticação de resposta do OCSP.
- (Opcional) Selecione a autenticação biométrica a ser configurada.
- No console do Workspace ONE Access, acesse a página SSO Móvel (para Apple). e selecione
- Clique em CONFIGURAR e defina as configurações de autenticação do certificado.
Opção Descrição Ative o adaptador de certificado Altere para Sim para ativar a autenticação do certificado. Certificados da CA raiz e intermediária Certificados de CA Enviados
Selecione o certificado raiz que você salvou do console Workspace ONE UEM para carregar. O arquivo de certificado que é carregado está listado aqui.
Ordem de Pesquisa do Identificador do Usuário Selecione a ordem de pesquisa para localizar o identificador do usuário no certificado. Para a autenticação SSO Móvel (para Apple), o valor do atributo do identificador deve ser o mesmo valor nos serviços de Workspace ONE Access e Workspace ONE UEM. Caso contrário, Apple SSO falhará.
- upn. O valor UserPrincipalName do Nome Alternativo da Entidade.
- email. O endereço de e-mail do Nome Alternativo da Entidade.
- subject. O valor UID da Entidade. Se o UID não for encontrado no DN da entidade, o valor de UID na caixa de teste de CN será usado se a caixa de texto CN estiver configurada.
Observação:- Se uma autoridade de certificação do Workspace ONE UEM for usada para a geração de certificado de cliente, a Ordem de Pesquisa do Identificador do Usuário deverá ser UPN | Assunto.
- Se uma autoridade de certificação empresarial de terceiros for usada, a Ordem de Pesquisa do Identificador de Usuário deverá ser UPN | E-mail | Assunto e o modelo de certificado deverá conter o nome da entidade CN={DeviceUid}:{EnrollmentUser}. Certifique-se de incluir os dois pontos (:).
Validar Formato do UPN Altere para Sim para validar o formato da caixa de texto UserPrincipalName. Tempo Limite da Solicitação Insira, em segundos, quanto tempo aguardar por uma resposta. Se você inserir zero (0), o sistema aguardará indefinidamente uma resposta. Diretrizes de Certificado Aceitas Crie uma lista de identificadores de objeto que são aceitos nas extensões de Políticas de Certificado. Insira os números de objectID (OID) para a política de emissão de certificado. Clique em Adicionar para adicionar OIDs.
Ativar revogação de cert Altere para Sim para ativar a verificação de revogação de certificado. A verificação de revogação impede a autenticação dos usuários que têm certificados de usuário revogados.
Usar CRL dos Certificados Altere para Sim para usar a lista de revogação de certificados (CRL) publicada pela CA que emitiu os certificados para validar o status de um certificado revogado ou não revogado. Local da CRL Insira o caminho do arquivo do servidor ou o caminho do arquivo local do qual recuperar a lista de revogação de certificados. Ativar a revogação do OCSP Altere para Sim para usar o protocolo de validação de certificado do Protocolo de status de certificado online (OCSP) para definir o status de revogação de um certificado. Usar CRL em caso de falha do OCSP Se você configurar a CRL e o OCSP, poderá ativar essa alternância para fallback para usar a CRL se a opção de verificação OCSP não estiver disponível. Enviar nonce do OCSP Ative essa alternância se quiser que o identificador exclusivo da solicitação OCSP seja enviado na resposta. URL do OCSP Se você ativou a revogação do OCSP, digite o endereço do servidor do OCSP para a verificação de revogação. Fonte da URL OCSP Selecione a origem a ser usada para a verificação de revogação. - Selecione Somente Configuração para executar a verificação de revogação de certificado usando a URL do OCSP fornecida na caixa de texto URL do OCSP para validar toda a cadeia de certificados.
- Selecione Somente Certificado (obrigatório) para realizar a verificação de revogação de certificado usando a URL do OCSP que existe na extensão de Acesso às Informações da Autoridade (AIA) de cada certificado na cadeia. Todos os certificados na cadeia devem ter a URL do OCSP definida; caso contrário, a verificação de revogação de certificado falhará.
- Selecione Somente Certificado (opcional) para executar apenas a verificação de revogação de certificado usando a URL do OCSP que existe na extensão AIA do certificado. Não verifique a revogação se a URL do OCSP não existir na extensão AIA do certificado.
- Selecione Certificado com fallback para a configuração para executar a verificação de revogação de certificado usando a URL do OCSP extraída da extensão AIA de cada certificado na cadeia, quando a URL do OCSP estiver disponível.
Se a URL do OCSP não estiver na extensão AIA, o fallback será para verificar a revogação usando a URL do OCSP configurada na caixa de texto URL do OCSP. A caixa de texto URL do OCSP deve ser configurada com o endereço do servidor do OCSP.
Certificados de Autenticação do Respondente OCSP Certificados de Autenticação OCSP Carregados
Selecione os arquivos de Certificados de Autenticação do Respondente OCSP a serem carregados. Os arquivos carregados de Certificados de Autenticação de Respondente OCSP estão listados aqui.
Tipo de autenticação do dispositivo O SSO móvel (para Apple) permite que o usuário se autentique no dispositivo usando um mecanismo biométrico (FaceID ou TouchID) ou um código de acesso antes que o certificado no dispositivo seja usado para realizar a autenticação com o Workspace ONE Access. Se os usuários precisarem verificar com biometria ou biometria com código de acesso como backup, selecione a opção correta. Caso contrário, selecione NENHUM. - Clique em SALVAR.
As definições de configuração são mostradas na página métodos de autenticação SSO Móvel (para Apple).
Próximo passo
Associe o método de autenticação SSO Móvel (por Apple) no provedor de identidade integrado.
Configure a regra de política de acesso padrão para o SSO Móvel (para Apple).