Apple 设备注册计划 (Device Enrollment Program, DEP) 不支持客户使用 SAML 进行用户身份验证的方案。但是,Workspace ONE 实施了一种独特的方法来支持这种用例。
通过 Workspace ONE UEM 设备注册预备功能,管理员可将设备分配给多设备注册预备用户,并允许 Workspace ONE 在相应用户登录到 Workspace ONE 应用程序时将设备重新分配给该用户。
必须在注册预备用户注册过程中在设备上安装 Workspace ONE 应用程序。用户首次登录到 Workspace ONE 时,Workspace ONE 会通过所配置的 SAML 提供程序对用户进行身份验证。用户通过身份验证后,设备的所有权会从多设备注册预备用户切换到经过身份验证的目录用户。
必备条件
目录用户登录到 Workspace ONE 应用程序时,Workspace ONE UEM 中必须存在该用户。您可以通过 CSV 以批量加载的形式预加载用户,也可以应用以下 API 来按需生成用户。
“安全类型”值必须等于目录。
https://<API_SERVER_ADDRESS>/api/help/#!/apis/10006?!/User/User_AddUser
Workspace ONE 支持 DEP 集成的流程
要使用 Workspace ONE 实现对 Apple 设备注册计划的支持,必须完成以下任务。
在 iOS 设备上安装 Workspace ONE 应用程序。
确保 Workspace ONE UEM 控制台中存在具有以下注册预备配置的注册预备用户。
导航到帐户 > 用户 > 列表视图,然后选择要为其启用设备注册预备的用户帐户以进行编辑。
在添加/编辑用户页面中,选择高级选项卡。向下滚动到注册预备部分,然后启用设备注册预备和多用户设备。
图 1. Workspace ONE UEM 中的“多用户设备”设置 
在 Apple DEP 门户中将设备分配给注册预备用户,并将设备提供给最终用户。
有关 Apple 设备注册计划的详细信息,请参阅《Apple 设备注册》指南。
集成的工作原理
用户首次打开设备时,会对设备进行注册并将其分配给多设备注册预备用户。用户启动位于主屏幕上的 Workspace ONE 应用程序并进行登录。Workspace ONE 通过所配置的 SAML 提供程序对用户进行身份验证。
用户通过身份验证后,设备的所有权会从多设备注册预备用户切换到经过身份验证的目录用户。为经过身份验证的用户分配的应用程序、配置文件和资源会被推送到设备。
设备的组织组不会发生变化。该功能不支持位于 Workspace ONE UEM 控制台“注册设置”部分中的用户组映射(或用户根据下拉菜单手动选择的选项)。
