要设置移动 SSO(适用于 Apple)身份验证,请在 Workspace ONE Access 控制台中配置基于证书的移动 SSO(适用于 Apple)身份验证设置,然后上载颁发者证书以用于进行基于证书的身份验证。
Workspace ONE Access 移动单点登录(适用于 Apple)身份验证方法是针对 Workspace ONE UEM 管理的 iOS 设备 (MDM) 实施的证书身份验证方法。证书在 UEM 设备配置文件中部署,并在设备管理计划中注册设备时安装到设备上。当用户访问其企业应用程序和资源时,证书将自动提供,因此用户无需重新输入凭据即可在其设备上打开应用程序。
您可以在 Workspace ONE Access 控制台的“集成”>“身份验证方法”页面中配置基于云的身份验证方法。配置身份验证方法后,需在“集成”>“身份提供程序”页面中将身份验证方法与 Workspace ONE Access 内置身份提供程序相关联,并在“资源”>“策略”页面中创建要应用于身份验证方法的访问策略规则。在 Workspace ONE UEM Console 中,您可以为 Apple 设备配置文件配置“Apple SSO 扩展”设置,并定义要在 Apple iOS 设备中部署的 UEM 证书类型。
有关如何安装和配置适用于 Apple 的移动 SSO 身份验证所需的所有组件,请参阅“为 Workspace ONE UEM 管理的 Apple 移动设备实施 VMware Workspace ONE Access 移动 SSO(适用于 Apple)身份验证”指南。
配置证书身份验证以进行移动 SSO(适用于 Apple)
先决条件
- 保存要上载以进行移动 SSO(适用于 Apple)身份验证的颁发者证书。如果使用的是 Workspace ONE UEM 证书,请从 Workspace ONE UEM Console 的 页面导出并保存根证书。
- (可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
- 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。
- (可选)OCSP 响应签名证书文件位置。
- (可选)选择要配置的生物识别身份验证。
- 在 Workspace ONE Access 控制台中,转到移动 SSO (适用于 Apple)。 页面,然后选择
- 单击配置,然后配置证书身份验证设置。
选项 描述 启用证书适配器 将此选项切换为是,以启用证书身份验证。 根 CA 证书和中间 CA 证书 上载的 CA 证书
选择从 Workspace ONE UEM Console 保存的根证书以进行上载。 此处将列出上载的证书文件。
用户标识符搜索顺序 选择要在证书中查找用户标识符的搜索顺序。 对于移动 SSO(适用于 Apple)身份验证,标识符属性的值在 Workspace ONE Access 和 Workspace ONE UEM 服务中必须相同。否则,Apple SSO 将失败。
- UPN。主体备用名称的 UserPrincipalName 值。
- 电子邮件。主体备用名称中的电子邮件地址。
- 主体。主体中的 UID 值。如果在主体 DN 中未找到 UID,则会使用 CN 文本框中的 UID 值(如果配置了 CN 文本框)。
注:- 如果使用 Workspace ONE UEM CA 来生成客户端证书,则用户标识符搜索顺序必须为 UPN | 主体。
- 如果使用第三方企业 CA,则用户标识符搜索顺序必须为 UPN | 电子邮件 | 主体,并且证书模板必须包含主体名称 CN={DeviceUid}:{EnrollmentUser}。请确保包含冒号 (:)。
验证 UPN 格式 将此选项切换为是,以验证 UserPrincipalName 文本框的格式。 请求超时 输入等待响应的时间(秒)。如果输入零 (0),系统将无限期地等待响应。 接受的证书策略 创建在证书策略扩展中接受的对象标识符列表。 输入证书颁发策略的 objectID 号。单击添加以添加其他 OID。
启用证书吊销 将此选项切换为是,以启用证书吊销检查。 吊销检查可防止已吊销用户证书的用户进行身份验证。
使用证书中的 CRL 将此选项切换为是,以使用由颁发证书的 CA 所发布的证书吊销列表 (Certificate Revocation List, CRL) 来验证证书状态是已吊销还是未吊销。 CRL 位置 输入从中检索证书吊销列表的服务器文件路径或本地文件路径。 启用 OCSP 吊销 将此选项切换为是,以使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议来设置证书的吊销状态。 OCSP 失败时使用 CRL 如果同时设置了 CRL 和 OCSP,则可以启用此选项开关以便在 OCSP 检查选项不可用时回退为使用 CRL。 发送 OCSP 随机值 如果您希望在响应中发送 OCSP 请求的唯一标识符,请启用此选项开关。 OCSP URL 如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。 OCSP URL 源 选择要用于吊销检查的源。 - 选择仅限配置,以使用“OCSP URL”文本框中提供的 OCSP URL 执行证书吊销检查,进而验证整个证书链。
- 选择仅限证书 (必需),以使用证书链中每个证书的授权信息访问 (Authority Information Access, AIA) 扩展中存在的 OCSP URL 执行证书吊销检查。证书链中的每个证书都必须定义 OCSP URL,否则证书吊销检查会失败。
- 选择仅限证书 (可选),以仅使用证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。如果证书 AIA 扩展中不存在 OCSP URL,则不检查吊销。
- 选择可回退到配置的证书,以便在 OCSP URL 可用时,使用从证书链中每个证书的 AIA 扩展中提取的 OCSP URL 执行证书吊销检查。
如果 AIA 扩展中没有 OCSP URL,则将回退为使用“OCSP URL”文本框中配置的 OCSP URL 执行吊销检查。“OCSP URL”文本框中必须配置 OCSP 服务器地址。
OCSP 响应者的签名证书 上载的 OCSP 签名证书
选择要上载的 OCSP 响应者签名证书文件。 此处列出了上载的 OCSP 响应者签名证书文件。
设备身份验证类型 移动 SSO(适用于 Apple)支持要求用户先使用生物识别机制(面容 ID 或触控 ID)或通行码向设备进行身份验证,然后再使用设备上的证书向 Workspace ONE Access 进行身份验证。如果用户必须使用生物识别和/或通行码(作为备选方法)进行身份验证,请选择正确的选项。否则,请选择无。 - 单击保存。
配置设置将显示在移动 SSO(适用于 Apple)身份验证方法页面上。
后续步骤
在内置身份提供程序中关联移动 SSO(适用于 Apple)身份验证方法。
为移动 SSO(适用于 Apple)配置默认访问策略规则。