Um die Mobile SSO-Authentifizierung (für Apple) einzurichten, konfigurieren Sie die Einstellungen für die zertifikatsbasierte Authentifizierung „Mobile SSO (für Apple)“ in der Workspace ONE Access-Konsole und laden das Ausstellerzertifikat für die zertifikatsbasierte Authentifizierung hoch.

Sie konfigurieren die cloudbasierten Authentifizierungsmethoden auf der Seite Integrationen > Authentifizierungsmethoden der Workspace ONE Access-Konsole. Nachdem die Authentifizierungsmethode konfiguriert wurde, ordnen Sie die Authentifizierungsmethode einem in Workspace ONE Access integrierten Identitätsanbieter zu (Seite Integrationen > Identitätsanbieter) und erstellen Zugriffsrichtlinienregeln, die für die Authentifizierungsmethode auf der Seite Ressourcen > Richtlinien gelten.

Wie die Einstellungen für das Single Sign-On-Authentifizierungszertifikat für Mobile SSO (für Apple) verwendet werden

Um Anmeldungen mit der Zertifikatauthentifizierung „Mobile SSO (für Apple)“ zu ermöglichen, müssen Stammzertifikate und Zwischenzertifikate zum Workspace ONE Access-Dienst hochgeladen werden. Das X.509-Zertifikat verwendet den PKI-Standard (Public Key Infrastructure), um zu überprüfen, ob ein im Zertifikat enthaltener öffentlicher Schlüssel zum Benutzer gehört.

Wenn Sie die Einstellungen für die zertifikatsbasierte Authentifizierung „Mobile SSO (für Apple)“ konfigurieren, legen Sie die Suchreihenfolge für den Benutzerbezeichner fest, um den Benutzerbezeichner innerhalb des Zertifikats zu finden. Für die Authentifizierung „Mobile SSO (für Apple)“ muss der Wert des Bezeichnerattributs sowohl für Workspace ONE Access- als auch für Workspace ONE UEM-Dienste identisch sein. Andernfalls schlägt Apple-SSO fehl.

Sie erstellen auch eine Liste von Objektbezeichnern (OID), die in den Erweiterungen der Zertifikatsrichtlinien akzeptiert werden. Die OID ist ein Bezeichner, der mit der Erklärung zur Zertifizierungspraxis (Certificate Practice Statement, CPS) verknüpft ist. Der folgende Wert ist ein Beispiel für einen OID-Namensraum 1.3.6.1.4.1.{PENnumber}.

Sie können die Zertifikatsperrüberprüfung konfigurieren, um zu verhindern, dass sich Benutzer authentifizieren, deren Benutzerzertifikate gesperrt sind. Zertifikate werden oft gesperrt, wenn ein Benutzer eine Organisation verlässt oder die Abteilung wechselt.

Für zusätzliche Sicherheit können Sie den Geräteeinstellungstyp so konfigurieren, dass Benutzer eine biometrische Methode zum Entsperren des Geräts verwenden müssen, bevor das Zertifikat zur Authentifizierung der Anmeldung verwendet wird. Wenn diese Einstellung konfiguriert ist, wird ein Benutzer jedes Mal, wenn er auf eine App zugreift, die eine Zertifikatauthentifizierung erfordert, aufgefordert, das von Ihnen konfigurierte biometrische Verfahren einzugeben.

Konfigurieren der Einstellungen für die Sperrüberprüfung

Es wird sowohl eine Zertifikatsperrüberprüfung mit Zertifikatsperrlisten (CRLs, Certificate Revocation Lists) als auch mit dem Online Certificate Status Protocol (OCSP) unterstützt. Eine CRL ist eine Liste gesperrter Zertifikate, die von der ausgebenden Zertifizierungsstelle veröffentlicht wurde. Bei OCSP handelt es sich um ein Zertifikatsüberprüfungsprotokoll zur Ermittlung des Sperrstatus eines Zertifikats.

Sie können CRL und OCSP in der derselben Zertifikat-Authentifizierungsadapter-Konfiguration festlegen. Wenn Sie beide Arten der Zertifikatsperrüberprüfung konfiguriert haben und das Kontrollkästchen „CRL im Falle eines OCSP-Fehlers verwenden“ aktiviert ist, wird OCSP zuerst überprüft und bei einem Scheitern die Sperrüberprüfung an CRL weitergegeben. Beachten Sie, dass umgekehrt bei einem Scheitern der CRL-Überprüfung die Sperrüberprüfung nicht an OCSP zurückgegeben wird.

Bei aktivierter Zertifikatsperre liest der Workspace ONE Access-Server eine CRL-Liste, um den Sperrstatus eines Benutzerzertifikats zu ermitteln. Ist ein Zertifikat gesperrt, kann die Authentifizierung mit dem Zertifikat nicht durchgeführt werden.

Das Anmelden mit OCSP-Zertifikatsprüfung ist eine Alternative zu Zertifikatsperrlisten (CRL), die zur Durchführung einer Zertifikatsperrüberprüfung verwendet wird.

Wenn bei der Konfiguration der zertifikatsbasierten Authentifizierung die beiden Optionen „Zertifikatssperrung aktivieren“ und „OCSP-Sperrung aktivieren“ aktiviert sind, validiert Workspace ONE Access die gesamte Zertifikatskette, einschließlich der primären, Zwischen- und Stammzertifikate. Die Sperrüberprüfung schlägt fehl, wenn die Überprüfung eines Zertifikats in der Kette fehlschlägt oder der Aufruf der OCSP-URL fehlschlägt.

Die OCSP-URL kann entweder manuell im Textfeld konfiguriert oder von der Erweiterung für den Zugriff auf Stelleninformationen (Authory Information Access, AIA) des zu validierenden Zertifikats extrahiert werden.

Die von Ihnen bei der Konfiguration der Zertifikatsauthentifizierung ausgewählte OCSP-Option bestimmt, wie Workspace ONE Accessdie OCSP-URL verwendet.

  • Nur Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mit der OCSP-URL aus dem Textfeld aus, um die gesamte Zertifikatskette zu validieren. Ignorieren Sie die Informationen in der Zertifikat-AIA-Erweiterung. Das OCSP-URL-Textfeld muss auch mit der OCSP-Serveradresse für die Sperrüberprüfung konfiguriert werden.
  • Nur Zertifikat (erforderlich). Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL, die in der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette vorhanden ist. Die Einstellung in dem OCSP-URL-Textfeld wird ignoriert. Für alle Zertifikate in der Kette muss eine OCSP-URL definiert sein, sonst schlägt die Zertifikatswiderrufsprüfung fehl.
  • Nur Zertifikat (optional). Führen Sie die Zertifikatsperrüberprüfung nur mithilfe der OCSP-URL aus, die in der AIA-Erweiterung des Zertifikats vorhanden ist. Überprüfen Sie die Sperrung nicht, wenn die OCSP-URL in der AIA-Erweiterung des Zertifikats nicht vorhanden ist. Die Einstellung in dem OCSP-URL-Textfeld wird ignoriert. Diese Konfiguration ist hilfreich, wenn die Sperrüberprüfung gewünscht ist, aber einige Zwischen- oder Stammzertifikate keine OCSP-URL in der AIA-Erweiterung enthalten.
  • Zertifikat mit Fallback auf Konfiguration. Führen Sie die Zertifikatsperrüberprüfung mithilfe der OCSP-URL aus, die aus der AIA-Erweiterung jedes einzelnen Zertifikats in der Kette extrahiert wurde, wenn die OCSP-URL verfügbar ist. Wenn die OCSP-URL nicht in der AIA-Erweiterung ist, überprüfen Sie die Sperrung mithilfe der OCSP-URL, die in dem OCSP-URL-Textfeld konfiguriert wurde. Das OCSP-URL-Textfeld muss mit der OCSP-Serveradresse konfiguriert werden.

Konfigurieren der Zertifikatauthentifizierung für Mobile SSO (für Apple)

Voraussetzungen

  • Speichern Sie das Ausstellerzertifikat, das Sie für die Mobile SSO-Authentifizierung (für Apple) hochladen werden. Wenn Sie das Workspace ONE UEM-Zertifikat verwenden, exportieren und speichern Sie das Stammzertifikat über die Workspace ONE UEM-Konsole auf der Seite System > Unternehmensintegration > Workspace ONE Access > Konfiguration.
  • (Optional) OID-Liste (Objektkennungsliste) der gültigen Zertifikatsrichtlinien für die Zertifikatsauthentifizierung.
  • Für Sperrprüfungen: den CRL-Speicherort und die URL des OCSP-Servers.
  • (Optional) Speicherort des OCSP-Antwortsignaturzertifikats.
  • (Optional) Wählen Sie die zu konfigurierende biometrische Authentifizierung aus.
  1. Wechseln Sie in der Workspace ONE Access-Konsole zur Seite Integrationen > Authentifizierungsmethoden und wählen Sie Mobile SSO (für Apple) aus.
  2. Klicken Sie auf KONFIGURIEREN und konfigurieren Sie die Einstellungen für die Zertifikatauthentifizierung.

    Option Beschreibung
    Zertifikatsadapter aktivieren Schalten Sie auf Ja um, um die Zertifikatauthentifizierung zu aktivieren.
    Root- und Zwischen-CA-Zertifikate

    Hochgeladene CA-Zertifikate

    Wählen Sie das Stammzertifikat aus, das Sie von der hochzuladenden Workspace ONE UEM Console gespeichert haben.

    Die hochgeladene Zertifikatsdatei ist hier aufgeführt.

    Suchreihenfolge für Benutzer-Bezeichner Wählen Sie die Suchreihenfolge aus, um die Benutzer-ID innerhalb des Zertifikats zu suchen.

    Für die Authentifizierung „Mobile SSO (für Apple)“ muss der Wert des Bezeichnerattributs sowohl in Workspace ONE Access als auch in den Workspace ONE UEM-Diensten identisch sein. Andernfalls schlägt Apple-SSO fehl.

    • UPN. Der Wert „UserPrincipalName“ des alternativen Antragstellernamens (Subject Alternative Name, SAN).
    • E-Mail. Die E-Mail-Adresse des Alternative Name für Betreff.
    • Betreff. Der UID-Wert aus dem Betreff. Wenn die UID nicht im Antragsteller-DN gefunden wird, wird der UID-Wert im CN-Testfeld verwendet, wenn das CN-Textfeld konfiguriert ist.
    Hinweis:
    • Wenn eine Workspace ONE UEM-Zertifizierungsstelle für die Generierung des Clientzertifikats verwendet wird, muss die Suchreihenfolge für Benutzerbezeichner UPN | Antragsteller sein.
    • Wenn eine Enterprise-Zertifizierungsstelle eines Drittanbieters verwendet wird, muss die Suchanordnung für die Benutzerbezeichner UPN | E-Mail | Antragsteller lauten, und die Zertifikatsvorlage muss den Antragstellernamen CN={DeviceUid}:{EnrollmentUser} enthalten. Achten Sie darauf, dass der Doppelpunkt (:) enthalten ist.
    UPN-Format validieren Schalten Sie auf Ja um, um das Format des Textfelds UserPrincipalName zu validieren.
    Zeitüberschreitung für Anforderung Geben Sie die Zeit in Sekunden ein, um auf eine Antwort zu warten. Wenn Sie Null (0) eingeben, wartet das System unendlich lange auf eine Antwort.
    Zertifikatsrichtlinien wurden akzeptiert Erstellen Sie eine Liste mit Objektkennungen, die in den Erweiterungen der Zertifikatsrichtlinien akzeptiert werden.

    Geben Sie die Objekt-ID-Nummern (OID) für die Zertifikatausstellungsrichtlinie ein. Klicken Sie auf Hinzufügen, um weitere OIDs hinzuzufügen.

    Zertifikatsperrung aktivieren Schalten Sie auf Ja um, um die Zertifikatsperrüberprüfung zu aktivieren.

    Durch die Aktivierung der Sperre wird verhindert, dass sich Benutzer authentifizieren können, die über gesperrte Zertifikate verfügen.

    CRL von Zertifikaten verwenden Schalten Sie auf Ja um, um die von der Zertifizierungsstelle veröffentlichte Zertifikatsperrliste (Certificate Revocation Lists, CRL) zu verwenden, um den Status eines Zertifikats (gesperrt oder nicht gesperrt) zu validieren.
    CRL-Speicherort Geben Sie den Serverdateipfad oder den lokalen Dateipfad ein, aus dem die Zertifikatsperrliste abgerufen werden soll.
    OCSP-Sperrung aktivieren Schalten Sie auf Ja um, um das Zertifikatvalidierungsprotokoll „Online Certificate Status Protocol (OCSP)“ zu verwenden, um den Sperrstatus des Zertifikats zu erfahren.
    CRL im Falle eines OCSP-Fehlers verwenden Wenn Sie sowohl CRL als auch OCSP einrichten, können Sie diesen Schalter aktivieren, um CRL zu verwenden, wenn die OCSP-Überprüfungsoption nicht verfügbar ist.
    OCSP-Nonce senden Aktivieren Sie diesen Schalter, wenn der eindeutige Bezeichner der OCSP-Anforderung in der Antwort gesendet werden soll.
    OCSP-URL Wenn Sie OCSP-Widerruf aktiviert haben, geben Sie die OCSP-Serveradresse für die Widerrufsprüfung ein.
    OCSP-URL-Quelle Wählen Sie die Quelle für die Sperrüberprüfung.
    • Wählen Sie Nur Konfiguration aus, um eine Zertifikatsperrüberprüfung mit der im Textfeld OCSP-URL angegebenen OCSP-URL durchzuführen, um die gesamte Zertifikatskette zu validieren.
    • Wählen Sie Nur Zertifikat (erforderlich), um eine Zertifikatsperrüberprüfung mithilfe der OCSP-URL durchzuführen, die in der AIA-Erweiterung (Authority Information Access) jedes Zertifikats in der Kette vorhanden ist. Für alle Zertifikate in der Kette muss eine OCSP-URL definiert sein, sonst schlägt die Zertifikatsperrüberprüfung fehl.
    • Wählen Sie Nur Zertifikat (optional) aus, um die Zertifikatsperrüberprüfung nur anhand der OCSP-URL durchzuführen, die in der AIA-Erweiterung des Zertifikats enthalten ist. Überprüfen Sie die Sperrung nicht, wenn die OCSP-URL in der AIA-Erweiterung des Zertifikats nicht vorhanden ist.
    • Wählen Sie Zertifikat mit Fallback auf Konfiguration, um eine Zertifikatsperrüberprüfung mithilfe der OCSP-URL durchzuführen, die aus der AIA-Erweiterung jedes Zertifikats in der Kette extrahiert wird, wenn die OCSP-URL verfügbar ist.

      Wenn die OCSP-URL nicht in der AIA-Erweiterung enthalten ist, besteht der Fallback darin, die Sperrung mithilfe der im Textfeld OCSP-URL konfigurierten OCSP-URL zu prüfen. Das OCSP-URL-Textfeld muss mit der OCSP-Serveradresse konfiguriert werden.

    Signaturzertifikate des OCSP-Antwortdienstes

    Hochgeladene OCSP-Signaturzertifikate

    Wählen Sie die hochzuladenden Dateien für OCSP-Responder-Signierungszertifikate aus.

    Die hochgeladenen Dateien für OCSP-Responder-Signierungszertifikate werden hier aufgelistet.

    Geräte-Authentifizierungstyp Mobile SSO (für Apple) unterstützt die Anforderung, dass sich der Benutzer mit einem biometrischen Merkmal (FaceID oder TouchID) oder einem Kenncode am Gerät authentifizieren muss, bevor das Zertifikat auf dem Gerät zur Durchführung der Authentifizierung mit Workspace ONE Access verwendet wird. Wenn Benutzer ihre Identität mit einem biometrischen Merkmal oder einem biometrischen Merkmal in Kombination mit einem Kenncode als Backup verifizieren müssen, wählen Sie die richtige Option. Wählen Sie andernfalls KEINE aus.
  3. Klicken Sie auf SPEICHERN.

    Die Konfigurationseinstellungen werden auf der Seite „Mobile SSO-Authentifizierungsmethoden (für Apple)“ angezeigt.

    Konfigurationsbildschirm für die Mobile SSO-Authentifizierung (für Apple) in der Workspace ONE Access-Konsole

Konfigurieren eines integrierten Identitätsanbieters

Konfigurieren Sie auf der Seite des integrierten Workspace ONE Access-Identitätsanbieters die Benutzer, Netzwerkbereiche und Authentifizierungsmethoden, die Benutzer für die Single Sign-On-Anmeldung in ihrem App-Portal verwenden.

Voraussetzungen

Um den integrierten Identitätsanbieter zu konfigurieren, stellen Sie sicher, dass Sie die folgenden Aufgaben ausführen.

  • Benutzer und Gruppen, die sich in Ihrem Unternehmensverzeichnis befinden, werden mit den Workspace ONE Access-Verzeichnissen synchronisiert.
  • Netzwerkbereiche wurden auf der Seite Ressourcen > Richtlinien > Netzwerkbereiche erstellt.
  • Die Authentifizierungsmethoden für Mobile SSO (für Apple) sind konfiguriert.

Prozedur

  1. Klicken Sie auf der Seite „Integrationen > Identitätsanbieter“ der Workspace ONE Access-Konsole auf „HINZUFÜGEN“, wählen Sie den Identitätsanbieter mit der Bezeichnung „Integrierter Identitätsanbieter“ aus und konfigurieren Sie die Einstellungen des Identitätsanbieters.
    Option Beschreibung
    Name des Identitätsanbieters Geben Sie den Namen für diese Instanz des integrierten Identitätsanbieters ein.
    Benutzer Wählen Sie die zu authentifizierenden Benutzer aus. Die von Ihnen konfigurierten Verzeichnisse werden aufgelistet.
    Hinzufügen eines Konnektors / der Konnektor-Authentifizierungsmethoden N.V.
    Authentifizierungsmethoden Die Authentifizierungsmethoden, die auf der Seite „Integrationen“ > „Authentifizierungsmethoden“ konfiguriert wurden, werden angezeigt. Wählen Sie Mobile SSO (für Apple).
    Netzwerk Die im Dienst konfigurierten vorhandenen Netzwerkbereiche werden aufgeführt. Wählen Sie die Netzwerkbereiche der Benutzer anhand der IP-Adressen aus, die Sie zu dieser Identitätsanbieter-Instanz für die Authentifizierung umleiten möchten.
    KDC-Zertifikat exportieren N.V.
  2. Klicken Sie auf SPEICHERN.

Nächste Schritte

Konfigurieren Sie die Standardregel der Zugriffsrichtlinie für Mobile SSO (für Apple).