要允许 iOS 设备连接到 Workspace ONE Access 身份提供程序,请先为 iOS 设备配置单点登录配置文件,然后将该配置文件分配给智能组。此配置文件包含设备连接到身份提供程序所必需的信息,以及设备用于进行身份验证的证书。

前提条件

  • 已在 Workspace ONE Access 中配置适用于 iOS 的移动 SSO。
  • 已在 Workspace ONE Access 默认访问策略中配置移动 iOS 身份验证。
  • 已将 iOS Kerberos 证书颁发机构文件保存到可从 Workspace ONE UEM 管理控制台访问的计算机中。
  • 已在 Workspace ONE UEM 中正确配置证书颁发机构和证书模板。
  • 在 iOS 设备上使用适用于 iOS 的移动 SSO 身份验证的 URL 和应用程序捆绑包 ID 的列表。

过程

  1. Workspace ONE UEM 控制台中,导航到设备 > 配置文件与资源 > 配置文件
  2. 选择添加 > 添加配置文件,然后选择 Apple iOS
  3. 输入 iOSKerberos 以作为名称并配置常规设置。
  4. 在左侧导航窗格中,选择凭据 > 配置以配置凭据。
    选项 描述
    凭据源 从下拉菜单中选择定义的证书颁发机构
    证书颁发机构 从下拉菜单的列表中选择证书颁发机构。
    证书模板 从下拉菜单中选择引用证书颁发机构的请求模板。这是在 Workspace ONE UEM 中通过添加证书模板创建的证书模板。
  5. 再次单击页面右下角的 +,并创建另一个凭据。
  6. 凭据源下拉菜单中,选择上载
  7. 输入凭据名称。
  8. 单击上载以上载从集成 > 身份提供程序 > 内置 IDP 页面中下载的 KDC 服务器根证书。
  9. 在左侧导航窗格中,选择单点登录,然后单击配置
  10. 输入连接信息。
    选项 描述
    帐户名称 输入 Kerberos
    Kerberos 主体名称 单击 + 并选择 {EnrollmentUser}

    如果您的 Active Directory 包含为 FirstName 和 LastName 配置了相同值的员工用户名,请在 Workspace ONE UEM Console 的“查找字段”页面中创建自定义属性。请参阅为 iOS 移动 SSO Kerberos 主体名称创建自定义查找值
    领域

    对于云中的租户部署,请输入租户的 Workspace ONE Access 领域名称。确保输入大小写与租户的领域名称相同的领域名称。

    注: Kerberos 领域名称区分大小写。建议全部使用大写字母创建领域名称。大小写不同,领域名称也不相同。例如, WORKSPACEONEACCESS.COMworkspaceoneaccess.com 不是相同的领域名称。

    对于内部部署,请输入在 Workspace ONE Access 设备中初始化 KDC 时所使用的领域名称。例如,EXAMPLE.COM

    续订证书 从下拉菜单中选择 Certificate#1。这是在凭据下最先配置的 Active Directory CA 证书。
    URL 前缀 输入必须匹配的 URL 前缀,以便将该帐户用于通过 HTTP 进行 Kerberos 身份验证。

    对于云中的租户部署,请以 https://<tenant>.workspaceoneaccess.<region> 格式输入 Workspace ONE Access 服务器 URL。

    对于内部部署,请以 https://myco.example.com 格式输入 Workspace ONE Access 服务器 URL。

    应用程序包 ID 输入允许使用该登录方式的应用程序名称的列表。要使用 iOS 内置 Safari 浏览器执行单点登录,请输入第一个应用程序捆绑包 ID:com.apple.mobilesafari。接着,继续输入应用程序捆绑包 ID。所列的应用程序必须支持 SAML 身份验证。
  11. 单击保存并发布

下一步做什么

将设备配置文件分配给一个智能组。智能组是可自定义的组,用于确定哪些平台、设备和用户将接收分配的应用程序、图书、合规策略、设备配置文件或置备。请参阅将 Workspace ONE UEM 设备配置文件分配给智能组