您可以从 Workspace ONE Access 控制台的“身份验证方法”页面中配置适用于 iOS 的移动 SSO 身份验证方法,在内置身份提供程序中选择“移动 SSO (适用于 iOS)”身份验证方法。

前提条件

  • 具备用于向 Workspace ONE UEM 租户中的用户颁发证书的证书颁发机构 PEM 或 DER 文件。
  • 对于吊销检查,具备 OCSP 响应者的签名证书。
  • 对于 KDC 服务,选择 KDC 服务的领域名称。如果使用内置 KDC 服务,则必须初始化 KDC。有关内置 KDC 的详细信息,请参阅《安装和配置 Workspace ONE Access》。

过程

  1. 在“身份和访问管理”选项卡中,转到管理 > 身份验证方法
  2. 移动 SSO (适用于 iOS) 的“配置”列中,单击铅笔图标。
  3. 配置“适用于 iOS 的移动 SSO”页面。
    选项 描述
    启用 KDC 身份验证 要允许用户使用支持 Kerberos 身份验证的 iOS 设备进行登录,请选中该复选框。
    领域

    对于云中的租户部署,领域值是只读的。显示的领域名称是您租户的 Identity Manager 领域名称。

    对于内部部署,如果您使用云托管 KDC,请输入为您提供的预定义支持的领域名称。Kerberos 领域名称区分大小写。必须以全部大写形式输入该参数中的文本。例如,OP.VMWAREIDENTITY.COM。

    如果使用内置 KDC,将显示在初始化 KDC 时配置的领域名称。

    根 CA 证书和中间 CA 证书 上载证书颁发机构颁发者证书文件。文件格式可以为 PEM 或 DER。
    已上载的 CA 证书主体 DN 此处显示了上载的证书文件的内容。可上载多个文件,且包含的证书均会被添加到列表中。
    启用 OCSP 要使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议获取证书的吊销状态,请选中该复选框。
    发送 OCSP 随机值 如果您希望在响应中发送 OCSP 请求的唯一标识符,请选中该复选框。
    OCSP 响应者的签名证书 上载响应者的 OCSP 证书。

    在使用 Workspace ONE UEM 证书颁发机构时,颁发者证书用作 OCSP 证书。另外,还在此处上载 Workspace ONE UEM 证书。

    OCSP 响应者的签名证书主体 DN 此处列出上载的 OCSP 证书文件。
    取消消息 创建在身份验证所需的时间太长时显示的自定义登录消息。如果您不创建自定义消息,则默认消息为:正在尝试验证您的凭据 (Attempting to authenticate your credentials)。
    启用取消链接 如果身份验证所需的时间太长,则用户可以单击取消以停止身份验证尝试并取消登录。

    如果启用了“取消”链接,将在显示的身份验证错误消息末尾出现“取消”字样。

    企业设备管理服务器 URL 输入在以下情况下将用户重定向到的移动设备管理 (Mobile Device Management, MDM) 服务器 URL:由于未在 Workspace ONE UEM 中注册设备以进行 MDM 管理而被拒绝访问。此 URL 会显示在身份验证失败错误消息中。如果未在此处输入 URL,将显示常规“访问被拒绝”消息。
  4. 单击保存

下一步做什么

在内置身份提供程序中关联移动 SSO(适用于 iOS)身份验证方法。

为适用于 iOS 的移动 SSO 配置默认访问策略规则。