要设置移动 SSO(适用于 Apple)身份验证,您需要在 Workspace ONE Access 控制台中配置移动 SSO(适用于 Apple)基于证书的身份验证设置,然后上载颁发者证书以用于进行基于证书的身份验证。

您可以在 Workspace ONE Access 控制台的集成 > 身份验证方法页面中配置基于云的身份验证方法。配置身份验证方法后,需在集成 > 身份提供程序页面中将身份验证方法与 Workspace ONE Access 内置身份提供程序相关联,并在资源 > 策略页面中创建要应用于该身份验证方法的访问策略规则。

如何使用移动 SSO(适用于 Apple)单点登录身份验证证书身份验证设置

要允许使用移动 SSO(适用于 Apple)证书身份验证进行登录,必须将根证书和中间证书上载到 Workspace ONE Access 服务。X.509 证书使用公钥基础架构 (Public Key Infrastructure, PKI) 标准来确认证书内包含的公钥是否属于用户。

配置基于证书的移动 SSO(适用于 Apple)身份验证设置时,您可以设置用户标识符搜索顺序以在证书中查找用户标识符。对于移动 SSO(适用于 Apple)身份验证,标识符属性的值在 Workspace ONE AccessWorkspace ONE UEM 服务中必须相同。否则,Apple SSO 将失败。

您还可以创建在证书策略扩展中接受的对象标识符 (Object Identifier, OID) 列表。OID 是与证书业务声明关联的标识符。以下值是一个 OID 命名空间示例:1.3.6.1.4.1.{PENnumber}.

您可以配置证书吊销检查,以防止已吊销其用户证书的用户进行身份验证。当用户离开组织或者从一个部门转到另一个部门时,通常会吊销证书。

为了增强安全性,您可以先配置设备设置类型,以要求用户先使用生物识别方法解锁设备,然后使用证书对登录用户进行身份验证。如果配置了此设置,则每当用户访问需要进行证书身份验证的应用程序时,都会要求他们输入您配置的生物识别方法。

配置吊销检查设置

系统支持使用证书吊销列表 (Certificate Revocation List, CRL) 和在线证书状态协议 (Online Certificate Status Protocol, OCSP) 来执行证书吊销检查。CRL 是由颁发证书的 CA 所发布的吊销证书列表。OCSP 是用来获取证书吊销状态的证书验证协议。

CRL 和 OCSP 可以在同一证书身份验证适配器配置中进行配置。如果配置这两种类型的证书吊销检查并启用 OCSP 失败时使用 CRL 复选框,将先检查 OCSP,如果 OCSP 失败,吊销检查将回退为使用 CRL。但如果 CRL 失败,吊销检查不会退回到 OCSP。

启用证书吊销后,Workspace ONE Access 服务器会读取 CRL,以确定用户证书的吊销状态。如果证书已吊销,则通过证书进行的身份验证会失败。

登录时进行 OCSP 证书检查是证书吊销列表 (CRL) 检查的替代方案,用于执行证书吊销检查。

在配置基于证书的身份验证时,如果“启用证书吊销”和“启用 OCSP 吊销”均已启用,则 Workspace ONE Access 会验证整个证书链,包括主证书、中间证书和根证书。如果证书链中的任何证书检查失败或对 OCSP URL 的调用失败,则吊销检查会失败。

OCSP URL 可以在文本框中手动配置,也可以从正在验证的证书的授权信息访问 (Authority Information Access, AIA) 扩展中提取。

配置证书身份验证时选择的 OCSP 选项决定了 Workspace ONE Access 使用 OCSP URL 的方式。

  • 仅限配置。使用文本框中提供的 OCSP URL 执行证书吊销检查,以验证整个证书链。将忽略证书 AIA 扩展中的信息。“OCSP URL”文本框中还必须配置 OCSP 服务器地址,以进行吊销检查。
  • 仅限证书 (必需)。使用证书链中每个证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。“OCSP URL”文本框中的设置将被忽略。证书链中的每个证书都必须定义 OCSP URL,否则证书吊销检查会失败。
  • 仅限证书 (可选)。仅使用证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。如果证书 AIA 扩展中不存在 OCSP URL,则不检查吊销。“OCSP URL”文本框中的设置将被忽略。此配置在需要进行吊销检查时很有用,但某些中间证书或根证书的 AIA 扩展中不包含 OCSP URL。
  • 可回退到配置的证书。当 OCSP URL 可用时,使用从证书链中每个证书的 AIA 扩展中提取的 OCSP URL 执行证书吊销检查。如果 AIA 扩展中没有 OCSP URL,则使用“OCSP URL”文本框中配置的 OCSP URL 检查吊销。“OCSP URL”文本框中必须配置 OCSP 服务器地址。

配置证书身份验证以进行移动 SSO(适用于 Apple)

先决条件

  • 保存要上载以进行移动 SSO(适用于 Apple)身份验证的颁发者证书。如果使用的是 Workspace ONE UEM 证书,请从 Workspace ONE UEM Console 的系统 > 企业集成 > Workspace ONE Access > 配置页面导出并保存根证书。
  • (可选)用于证书身份验证的有效证书策略的对象标识符 (Object Identifier, OID) 列表。
  • 对于吊销检查,CRL 的文件位置以及 OCSP 服务器的 URL。
  • (可选)OCSP 响应签名证书文件位置。
  • (可选)选择要配置的生物识别身份验证。
  1. 在 Workspace ONE Access 控制台中,转到集成 > 身份验证方法页面,然后选择移动 SSO (适用于 Apple)
  2. 单击配置,然后配置证书身份验证设置。

    选项 描述
    启用证书适配器 将此选项切换为,以启用证书身份验证。
    根 CA 证书和中间 CA 证书

    上载的 CA 证书

    		 选择从 Workspace ONE UEM Console 保存的根证书以进行上载。

    此处将列出上载的证书文件。
    用户标识符搜索顺序 选择要在证书中查找用户标识符的搜索顺序。

    对于移动 SSO(适用于 Apple)身份验证,标识符属性的值在 Workspace ONE Access 和 Workspace ONE UEM 服务中必须相同。否则,Apple SSO 将失败。

    • UPN。主体备用名称的 UserPrincipalName 值。
    • 电子邮件。主体备用名称中的电子邮件地址。
    • 主体。主体中的 UID 值。如果在主体 DN 中未找到 UID,则会使用 CN 文本框中的 UID 值(如果配置了 CN 文本框)。
    注:
    • 如果使用 Workspace ONE UEM CA 来生成客户端证书,则用户标识符搜索顺序必须为 UPN | 主体
    • 如果使用第三方企业 CA,则用户标识符搜索顺序必须为 UPN | 电子邮件 | 主体,并且证书模板必须包含主体名称 CN={DeviceUid}:{EnrollmentUser}。请确保包含冒号 (:)。
    验证 UPN 格式 将此选项切换为,以验证 UserPrincipalName 文本框的格式。
    请求超时 输入等待响应的时间(秒)。如果输入零 (0),系统将无限期地等待响应。
    接受的证书策略 创建在证书策略扩展中接受的对象标识符列表。

    输入证书颁发策略的 objectID 号。单击添加以添加其他 OID。
    启用证书吊销 将此选项切换为,以启用证书吊销检查。

    吊销检查可防止已吊销用户证书的用户进行身份验证。
    使用证书中的 CRL 将此选项切换为,以使用由颁发证书的 CA 所发布的证书吊销列表 (Certificate Revocation List, CRL) 来验证证书状态是已吊销还是未吊销。
    CRL 位置 输入从中检索证书吊销列表的服务器文件路径或本地文件路径。
    启用 OCSP 吊销 将此选项切换为,以使用在线证书状态协议 (Online Certificate Status Protocol, OCSP) 证书验证协议来设置证书的吊销状态。
    OCSP 失败时使用 CRL 如果同时设置了 CRL 和 OCSP,则可以启用此选项开关以便在 OCSP 检查选项不可用时回退为使用 CRL。
    发送 OCSP 随机值 如果您希望在响应中发送 OCSP 请求的唯一标识符,请启用此选项开关。
    OCSP URL 如果启用了 OCSP 吊销,请输入 OCSP 服务器地址以进行吊销检查。
    OCSP URL 源 选择要用于吊销检查的源。
    • 选择仅限配置,以使用“OCSP URL”文本框中提供的 OCSP URL 执行证书吊销检查,进而验证整个证书链。
    • 选择仅限证书 (必需),以使用证书链中每个证书的授权信息访问 (Authority Information Access, AIA) 扩展中存在的 OCSP URL 执行证书吊销检查。证书链中的每个证书都必须定义 OCSP URL,否则证书吊销检查会失败。
    • 选择仅限证书 (可选),以仅使用证书的 AIA 扩展中存在的 OCSP URL 执行证书吊销检查。如果证书 AIA 扩展中不存在 OCSP URL,则不检查吊销。
    • 选择可回退到配置的证书,以便在 OCSP URL 可用时,使用从证书链中每个证书的 AIA 扩展中提取的 OCSP URL 执行证书吊销检查。

      如果 AIA 扩展中没有 OCSP URL,则将回退为使用“OCSP URL”文本框中配置的 OCSP URL 执行吊销检查。“OCSP URL”文本框中必须配置 OCSP 服务器地址。
    OCSP 响应者的签名证书

    上载的 OCSP 签名证书

    		 选择要上载的 OCSP 响应者签名证书文件。

    此处列出了上载的 OCSP 响应者签名证书文件。

    设备身份验证类型 移动 SSO(适用于 Apple)支持要求用户先使用生物识别机制(面容 ID 或触控 ID)或通行码向设备进行身份验证,然后再使用设备上的证书向 Workspace ONE Access 进行身份验证。如果用户必须使用生物识别和/或通行码(作为备选方法)进行身份验证,请选择正确的选项。否则,请选择
  3. 单击保存

    配置设置将显示在移动 SSO(适用于 Apple)身份验证方法页面上。

    Workspace ONE Access 控制台中的 Mobile SSO(适用于 Apple)身份验证配置屏幕

配置内置身份提供程序

Workspace ONE Access 内置身份提供程序页面中,配置用户、网络范围,以及用户用于通过单点登录访问应用程序门户的身份验证方法。

先决条件

要配置内置身份提供程序,请确保完成以下任务。

  • 将位于企业目录中的用户和组同步到 Workspace ONE Access 目录。
  • 已在资源 > 策略 > 网络范围页面中创建了网络范围。
  • 已配置移动 SSO(适用于 Apple)身份验证方法。

过程

  1. 在 Workspace ONE Access 控制台的“集成”>“身份提供程序”页面中,单击“添加”,然后选择标记为“内置 IDP”的身份提供程序并配置身份提供程序设置。
    选项 描述
    身份提供程序名称 输入此内置身份提供程序实例的名称。
    用户 选择要进行身份验证的用户。将列出您配置的目录。
    添加连接器/连接器身份验证方法 不适用
    身份验证方法 此时将显示在“集成”>“身份验证方法”页面中配置的身份验证方法。选择移动 SSO (适用于 Apple)
    网络 此处列出了在服务中配置的现有网络范围。根据用户 IP 地址,选择要定向到此身份提供程序实例进行身份验证的用户的网络范围。
    KDC 证书导出 不适用
  2. 单击保存

后续步骤

为移动 SSO(适用于 Apple)配置默认访问策略规则。