Um die Einstellungen des Identitätsanbieters auf das Gerät zu übertragen, erstellen Sie das Apple iOS-Geräteprofil in Workspace ONE UEM und stellen Sie es bereit. Diese Profileinstellung enthält die Informationen, die das Gerät für die Verbindung mit dem Workspace ONE Access-Dienst benötigt, sowie das Zertifikat, das das Gerät zur Authentifizierung verwendet.

Damit iOS-Geräte eine Verbindung mit dem Workspace ONE Access-Identitätsanbieter herstellen können, verwenden Sie zunächst Workspace ONE UEM, um das Apple iOS-Geräteprofil zu erstellen und bereitzustellen, und weisen Sie das Profil dann einer Smartgroup zu.

Voraussetzungen

  • In Workspace ONE Access konfiguriertes integriertes Kerberos.
  • Eine mobile iOS-Authentifizierungsregel, die in der Workspace ONE Access-Standardzugriffsrichtlinie konfiguriert ist.
  • Workspace ONE Access-Stammzertifikatdatei des KDC-Servers, gespeichert auf einem Computer, auf den von der Workspace ONE UEM-Konsole aus zugegriffen werden kann.
  • Aktiviertes und von der Seite „System“ > „Enterprise Integration“ > „Workspace ONE Access“ der Workspace ONE UEM-Verwaltungskonsole heruntergeladenes Zertifikat.
  • Liste der URLs und Anwendungspaket-IDs, die auf iOS-Geräten die integrierte Kerberos-Authentifizierung verwenden.

Prozedur

  1. Wechseln Sie in der Workspace ONE UEM-Konsole zu Geräte > Profile und Ressourcen > Profil > Profil hinzufügen und wählen Sie Apple iOS aus.
  2. Konfigurieren Sie die allgemeinen Einstellungen des Profils und geben Sie den Namen der Geräts als iOSKerberos ein.
  3. Im linken Navigationsbereich wählen Sie SCEP > Konfigurieren zur Konfiguration der Anmeldedaten aus.
    Option Beschreibung
    Quelle der Anmeldedaten Wählen Sie die Workspace ONE UEM-Zertifizierungsstelle aus dem Dropdown-Menü aus.
    Zertifizierungsstelle Wählen Sie die Workspace ONE UEM-Zertifizierungsstelle aus dem Dropdown-Menü aus.
    Zertifikatsvorlage Wählen Sie Single Sign On für den Typ des Zertifikats aus, das von der Workspace ONE UEM-Zertifizierungsstelle ausgestellt wurde.
  4. Klicken Sie auf Anmeldedaten > Konfigurieren und erstellen Sie ein zweites Set an Anmeldedaten.
  5. Im Dropdown-Menü Quelle der Anmeldedaten wählen Sie Hochladen aus.
  6. Geben Sie den Namen der iOS-Kerberos-Anmeldedaten ein.
  7. Klicken Sie auf Hochladen, um das Stammzertifikat des Workspace ONE Access-KDC-Servers hochzuladen, das von der Seite „Identitäts- und Zugriffsmanagement“ > „Verwalten“ > „Identitätsanbieter“ > „Integrierter Identitätsanbieter“ heruntergeladen wurde.
  8. Im linken Navigationsbereich wählen Sie Single Sign-On aus.
  9. Geben Sie die Verbindungsinformationen ein.
    Option Beschreibung
    Kontoname Geben Sie Kerberos ein.
    Kerberos-Prinzipalname Klicken Sie auf + und wählen Sie {EnrollmentUser} aus.
    Bereich

    Geben Sie bei Mandantenbereitstellungen in der Cloud den Workspace ONE Access-Bereichsnamen für Ihren Mandanten ein. Stellen Sie sicher, dass Sie den Text in diesem Parameter in Großbuchstaben setzen. Beispiel: VMWAREIDENTITY.COM.

    Geben Sie bei lokalen Bereitstellungen den Bereichsnamen ein, den Sie bei der Initialisierung von KDC auf der Workspace ONE Access-Maschine verwendet haben. Beispiel: EXAMPLE.COM

    Zertifikat erneuern

    Auf Geräten mit iOS 8 und höher wählen Sie das Zertifikat aus, das zur erneuten automatischen Authentifizierung des Benutzers ohne Benutzerinteraktion verwendet wird, wenn die Sitzung mit einer einmaligen Anmeldung (Single Sign-On) des Benutzers abläuft.

    URL-Präfixe Geben Sie die URL-Präfixe ein, die übereinstimmen müssen, damit dieses Konto für die Kerberos-Authentifizierung über HTTP verwendet werden kann.

    Geben Sie bei Mandantenbereitstellungen in der Cloud die Workspace ONE Access-Server-URL als https://<tenant>.vmwareidentity.<region> ein.

    Geben Sie bei lokalen Bereitstellungen die Workspace ONE Access-Server-URL als https://myco.example.com ein.

    Anwendungen Geben Sie die Liste der Anwendungen ein, die diese Anmeldung verwenden können. Um eine einmalige Anmeldung (SSO, Single Sign-On) mit dem in iOS integrierten Safari-Browser durchzuführen, geben Sie die erste Anwendungspaket-ID im Format com.apple.mobilesafari ein. Geben Sie die weiteren Anwendungspaket-IDs ein. Die aufgeführten Anwendungen müssen die SAML-Authentifizierung unterstützen.
  10. Klicken Sie auf Speichern und veröffentlichen.

Ergebnisse

Wenn das iOS-Profil erfolgreich zu den Geräten des Benutzers gesendet wird, können sich die Benutzer mit der integrierten Kerberos-Authentifizierungsmethode bei Workspace ONE Access anmelden, ohne ihre Anmeldedaten einzugeben.

Nächste Maßnahme

Weisen Sie das Geräteprofil einer Smartgruppe zu. Smartgruppen sind benutzerdefinierte Gruppen, die festlegen, welche Plattformen, Geräte und Benutzer eine zugewiesene Anwendung, ein Buch, eine Compliance-Richtlinie, ein Geräteprofil oder eine Bereitstellung erhalten. Weitere Informationen hierzu finden Sie unter Zuweisen eines Workspace ONE UEM-Geräteprofils zu Smartgroups