要将身份提供程序设置推送到设备,请在 Workspace ONE UEM 中创建并部署 Apple iOS 设备配置文件。此配置文件设置包含设备连接到 Workspace ONE Access 服务所必需的信息,以及设备用于进行身份验证的证书。

要允许 iOS 设备连接到 Workspace ONE Access 身份提供程序,请先使用 Workspace ONE UEM 创建并部署 Apple iOS 设备配置文件,然后将该配置文件分配给智能组。

前提条件

  • 已在 Workspace ONE Access 中配置内置 Kerberos。
  • 已在 Workspace ONE Access 默认访问策略中配置移动 iOS 身份验证规则。
  • 已将 Workspace ONE Access KDC 服务器根证书文件保存到可从 Workspace ONE UEM 控制台访问的计算机中。
  • 已从 Workspace ONE UEM 控制台的“系统”>“企业集成”>“Workspace ONE Access”页面启用并下载证书。
  • 在 iOS 设备上使用内置 Kerberos 身份验证的 URL 和应用程序捆绑包 ID 的列表。

过程

  1. Workspace ONE UEM Console 中,导航到设备 > 配置文件与资源 > 配置文件 > 添加配置文件,然后选择 Apple iOS
  2. 配置该配置文件的常规设置,并输入 iOSKerberos 作为设备的名称。
  3. 在左侧导航窗格中,选择 SCEP > 配置以配置凭据。
    选项 描述
    凭据源 从下拉菜单中选择 Workspace ONE UEM 证书颁发机构
    证书颁发机构 从下拉菜单中选择 Workspace ONE UEM 证书颁发机构
    证书模板 选择单点登录,设置由 Workspace ONE UEM 证书颁发机构颁发的证书的类型。
  4. 单击凭据 > 配置,创建第二个凭据。
  5. 凭据源下拉菜单中,选择上载
  6. 输入 iOS Kerberos 凭据名称。
  7. 单击上载,上载 Workspace ONE Access KDC 服务器根证书,该证书是从“身份和访问管理”>“管理”>“身份提供程序”>“内置身份提供程序”页面下载的。
  8. 在左侧导航窗格中,选择单点登录
  9. 输入连接信息。
    选项 描述
    帐户名称 输入 Kerberos
    Kerberos 主体名称 单击 + 并选择 {EnrollmentUser}
    领域

    对于云中的租户部署,请输入租户的 Workspace ONE Access 领域名称。确保此参数中的文本采用大写格式。例如,VMWAREIDENTITY.COM

    对于内部部署,请输入在 Workspace ONE Access 计算机中初始化 KDC 时所使用的领域名称。例如,EXAMPLE.COM

    续订证书

    在 iOS 8 及更高版本的设备上,选择用于在用户的单点登录会话过期时,无需进行任何用户交互即可自动重新验证用户身份的证书。

    URL 前缀 输入必须匹配的 URL 前缀,以便将该帐户用于通过 HTTP 进行 Kerberos 身份验证。

    对于云中的租户部署,输入的 Workspace ONE Access 服务器 URL 格式应为 https://<tenant>.vmwareidentity.<region>

    对于内部部署,请以 https://myco.example.com 格式输入 Workspace ONE Access 服务器 URL。

    应用程序 输入允许使用该登录方式的应用程序名称的列表。要使用 iOS 内置 Safari 浏览器执行单点登录,请输入第一个应用程序捆绑包 ID:com.apple.mobilesafari。接着,继续输入应用程序捆绑包 ID。所列的应用程序必须支持 SAML 身份验证。
  10. 单击保存并发布

结果

在将 iOS 配置文件成功推送到用户的设备后,用户便可以使用内置 Kerberos 身份验证方法登录到 Workspace ONE Access,而无需输入其凭据。

下一步做什么

将设备配置文件分配给一个智能组。智能组是可自定义的组,用于确定哪些平台、设备和用户将接收分配的应用程序、图书、合规策略、设备配置文件或置备。请参阅将 Workspace ONE UEM 设备配置文件分配给智能组