Damit iOS-Geräte eine Verbindung mit dem Workspace ONE Access-Identitätsanbieter herstellen können, konfigurieren Sie zuerst das Single Sign-On-Profil für iOS-Geräte und weisen Sie das Profil dann einer Smartgroup zu. Dieses Profil enthält die Informationen, die das Gerät zur Herstellung einer Verbindung mit dem Identitätsanbieter und für das zur Authentifizierung verwendete Zertifikat benötigt.

Voraussetzungen

  • In Workspace ONE Access konfigurierte mobile SSO-Anmeldung für iOS.
  • In der Workspace ONE Access-Standardzugriffsrichtlinie konfigurierte mobile iOS-Authentifizierung.
  • iOS-Kerberos-Zertifizierungsstellendatei, die auf einem Computer gespeichert ist, auf den von der Workspace ONE UEM-Verwaltungskonsole zugegriffen werden kann.
  • Ihre Zertifizierungsstellen- und Zertifikatsvorlage ist korrekt in Workspace ONE UEM konfiguriert.
  • Liste der URLs und Anwendungspaket-IDs, die auf iOS-Geräten die mobile SSO-Authentifizierung für iOS verwenden.

Prozedur

  1. Gehen Sie in der Workspace ONE UEM-Konsole zu Geräte > Profile und Ressourcen > Profile.
  2. Wählen Sie Hinzufügen > Profil hinzufügen und dann Apple iOS aus.
  3. Geben Sie als Namen iOSKerberos ein und konfigurieren Sie die Einstellungen Allgemein.
  4. Im linken Navigationsbereich wählen Sie Anmeldedaten > Konfigurieren zur Konfiguration der Anmeldedaten aus.
    Option Beschreibung
    Quelle der Anmeldedaten Wählen Sie Definierte Zertifizierungsstelle aus dem Dropdown-Menü aus.
    Zertifizierungsstelle Wählen Sie die Zertifizierungsstelle aus der Liste im Dropdown-Menü aus.
    Zertifikatsvorlage Wählen Sie aus dem Dropdown-Menü die Anforderungsvorlage aus, die auf die Zertifizierungsstelle verweist. Dies ist die unter „Zertifikatsvorlage hinzufügen“ in Workspace ONE UEM erstellte Vorlage.
  5. Klicken Sie links unten auf der Seite erneut auf + und erstellen Sie ein zweites Set an Anmeldedaten.
  6. Im Dropdown-Menü Quelle der Anmeldedaten wählen Sie Hochladen aus.
  7. Geben Sie einen Namen für die Anmeldedaten ein.
  8. Klicken Sie auf Hochladen, um das Stammzertifikat des KDC-Servers hochzuladen, das von der Seite „Identitäts- und Zugriffsmanagement“ > „Verwalten“ > „Identitätsanbieter“ > „Integrierter Identitätsanbieter“ heruntergeladen wurde.
  9. Wählen Sie im linken Navigationsbereich Single Sign-On aus und klicken Sie auf Konfigurieren.
  10. Geben Sie die Verbindungsinformationen ein.
    Option Beschreibung
    Kontoname Geben Sie Kerberos ein.
    Kerberos-Prinzipalname Klicken Sie auf + und wählen Sie {EnrollmentUser} aus.

    Wenn Ihr Active Directory Mitarbeiterbenutzernamen enthält, die mit demselben Wert für FirstName und LastName konfiguriert sind, erstellen Sie ein benutzerdefiniertes Attribut auf der Seite „Suchfelder“ der Workspace ONE UEM-Konsole. Siehe Erstellen eines benutzerdefinierten Suchwerts für den Kerberos-Prinzipalnamen für iOS Mobile SSO.

    Bereich

    Geben Sie bei Mandantenbereitstellungen in der Cloud den Workspace ONE Access-Bereichsnamen für Ihren Mandanten ein. Achten Sie darauf, dass Sie den Bereichsnamen in derselben Schreibweise eingeben wie den Bereichsnamen für Ihren Mandanten.

    Hinweis: Bei Kerberos-Bereichsnamen wird die Groß-/Kleinschreibung beachtet. Es wird empfohlen, Bereichsnamen in Großbuchstaben zu erstellen. Bereichsnamen, die sich in der Groß- und Kleinschreibung unterscheiden, sind nicht gleichwertig. Beispielsweise ist VMWAREIDENTITY.COM nicht derselbe Bereichsname wie vmwareidentity.com.

    Geben Sie bei lokalen Bereitstellungen den für die Initialisierung von KDC in der Workspace ONE Access-Appliance verwendeten Bereichsnamen ein. Beispiel: EXAMPLE.COM

    Zertifikat erneuern Wählen Sie Zertifikat#1 aus dem Dropdown-Menü aus. Hier handelt es sich um das Active Directory-Zertifizierungsstellenzertifikat, das zuerst für die Anmeldedaten konfiguriert wurde.
    URL-Präfixe Geben Sie die URL-Präfixe ein, die übereinstimmen müssen, damit dieses Konto für die Kerberos-Authentifizierung über HTTP verwendet werden kann.

    Geben Sie bei Mandantenbereitstellungen in der Cloud die Workspace ONE Access-Server-URL als https://<tenant>.vmwareidentity.<region> ein.

    Geben Sie bei lokalen Bereitstellungen die Workspace ONE Access-Server-URL als https://myco.example.com ein.

    Anwendungspaket-ID Geben Sie die Liste der Anwendungen ein, die diese Anmeldung verwenden können. Um eine einmalige Anmeldung (SSO, Single Sign-On) mit dem in iOS integrierten Safari-Browser durchzuführen, geben Sie die erste Anwendungspaket-ID im Format com.apple.mobilesafari ein. Geben Sie die weiteren Anwendungspaket-IDs ein. Die aufgeführten Anwendungen müssen die SAML-Authentifizierung unterstützen.
  11. Klicken Sie auf Speichern und veröffentlichen.

Nächste Maßnahme

Weisen Sie das Geräteprofil einer Smartgruppe zu. Smartgruppen sind benutzerdefinierte Gruppen, die festlegen, welche Plattformen, Geräte und Benutzer eine zugewiesene Anwendung, ein Buch, eine Compliance-Richtlinie, ein Geräteprofil oder eine Bereitstellung erhalten. Siehe Zuweisen eines Workspace ONE UEM-Geräteprofils zu Smartgroups.