更新 MDM 配置文件以将单点登录配置文件替换为 Apple SSO 扩展配置文件

您可以在 Workspace ONE UEM Apple iOS 设备配置文件中启用 Apple 单点登录扩展设置，以允许用户对应用程序和网站进行单点登录，而无需重新输入其凭据。Apple SSO 扩展可处理用户的身份验证。当用户在 Workspace ONE UEM MDM 中注册其 Apple iOS 设备时，会将该扩展配置文件添加到应用程序安装程序，并将证书复制到 Apple 设备上的本地证书存储中。然后，客户端可以使用证书进行身份验证以进行单点登录。

1. 在 Workspace ONE UEM Console 中，选择所需的组织组，然后导航到设备 > 配置文件和资源 > 配置文件。
2. 选择要编辑的 iOS Moble SSO 设备配置文件。
3. 如果设备配置文件配置了可与移动 SSO（适用于 Apple）身份验证配合使用的证书，则无需更改证书设置。证书必须包含 SSL 客户端身份验证密钥使用值 (EKU)。这是包含 OID 的增强型密钥用法 (EKU) 扩展：PKI 对等身份验证和 PKI 服务器身份验证。

   如果更改设备配置文件中的证书，则可以在配置文件中配置 SCEP 或 凭证 证书。请参阅将 Workspace ONE UEM 配置为对受管 iOS 设备使用 Workspace ONE Access 移动 SSO（适用于 Apple）身份验证（仅限云部署版本）。

4. 删除配置了移动 SSO（适用于 iOS）配置的单点登录部分

5. 配置 SSO 扩展以启用对 Workspace ONE Intelligent Hub 应用程序的单点登录，从而不需要在每个应用程序中都进行身份验证。

   单击 +添加。

   扩展类型	选择 WS1 Access
   扩展标识符	此值将填充 Workspace ONE Access 标识符。
   类型	此值将填充凭据。
   其他设置 - 允许的包 ID	如果要将 SSO 扩展限制为特定的应用程序包 ID，请单击添加，然后输入应用程序包 ID。

6. 单击保存并发布。

配置移动 SSO（适用于 Apple）身份验证方法

要在 Workspace ONE Access 中设置移动 SSO（适用于 Apple）身份验证，您需要在 Workspace ONE Access 控制台中配置移动 SSO（适用于 Apple） 基于证书的身份验证设置，然后上载在 Workspace ONE UEM 设备配置文件中为 Apple iOS 配置的证书文件。然后，为内置身份提供程序配置用户、网络范围和移动 SSO（适用于 Apple）身份验证方法以进行单点登录。

请参阅在 Workspace ONE Access 中配置移动 SSO（适用于 Apple）身份验证（仅限云部署版本）。

更新 Workspace ONE Access 默认访问策略

您可以编辑现有的移动 SSO（适用于 iOS）默认访问策略规则，以添加移动 SSO（适用于 Apple）作为回退身份验证方法。

要了解 Workspace ONE Access 中访问策略的工作方式，请参阅在 Workspace ONE Access 服务中管理访问策略和为移动 SSO（适用于 Apple）配置 Workspace ONE Access 策略规则（仅限云部署版本）。

过程

1. 在 Workspace ONE Access 控制台的资源 > 策略页面中，单击编辑默认策略。
2. 单击下一步以打开“配置”页面。
3. 编辑将移动 SSO (iOS) 身份验证配置为则用户可以使用以下方法进行身份验证值的策略。在如果之前的方法失败或不适用，则部分中，选择移动 SSO (适用于 Apple) 作为回退方法。

   如果移动 SSO（适用于 iOS）的访问策略规则配置为与其他身份验证方法链接在一起，请在 移动 SSO （适用于 Apple） 回退 设置中链接相同的身份验证方法。例如，如果移动 SSO（适用于 iOS）规则还包含“设备合规性”作为链式身份验证方法，您可以在 移动 SSO（适用于 Apple）设置中添加“设备合规性”。

4. 单击保存。