Damit die von Workspace ONE UEM verwalteten Geräte die Authentifizierungsmethode „Mobile SSO (für Apple)“ verwenden können, konfigurieren Sie in der Workspace ONE UEM-Konsole das Profil des Apple iOS-Geräts mit einem SCEP- oder CA-Zertifikat und der Apple Single Sign-On-Erweiterung und weisen das Profil dann einer Smartgroup zu. Das Profil enthält die erforderlichen Informationen für das Gerät, um eine Verbindung mit dem Workspace ONE Access-Identitätsanbieter und dem für die Authentifizierung erforderlichen Zertifikat herzustellen.

Das Apple iOS-Profils enthält die Einstellungen, Konfigurationen und Restriktionen, die Sie auf Geräten erzwingen möchten. Weitere Informationen zu Profilen finden Sie im Handbuch Einführung in die Verwaltung von iOS-Geräten auf der Zielseite Workspace ONE UEM-Dokumentation.

Vorgehensweise zum Konfigurieren des Apple-Geräteprofils in Workspace ONE UEM

Workspace ONE UEM-Geräteprofile werden zur Verwaltung von Geräten verwendet. Sie enthalten die Einstellungen, Konfigurationen und Restriktionen, die Sie auf Geräten erzwingen möchten. Um die Authentifizierungsmethode „Mobile SSO (für Apple)“ in Workspace ONE Access für SSO auf verwalteten Apple iOS-Geräten zu verwenden, erstellen Sie ein Apple iOS-Profil mit einem zu verwendenden Zertifikat (SCEP oder Anmeldedaten) und der Apple Single Sign-On-Erweiterung.

  • SCEP. Workspace ONE UEM unterstützt SCEP (Simple Certificate Enrollment Protocol) für iOS- und macOS-Geräte. Die Integration umfasst die Verwendung von Schlüsselpaaren und die Übermittlung der Zertifikatssignieranforderung (CSR), die zu einem signierten Zertifikat vom SCEP-Endpoint an Geräte führt. Weitere Informationen zu SCEP finden Sie im SCEP-Artikel Integration von Workspace ONE-Zertifizierungsstellen.
  • Anmeldedaten. Bei den Anmeldedaten handelt es sich um eine von einem Dritten ausgestellte Zertifizierungsstelle (CA), die den Besitz eines öffentlichen Schlüssels durch den benannten Antragsteller des Zertifikats bescheinigt. Weitere Informationen finden Sie im Workspace ONE UEM-Artikel Integration von Zertifizierungsstellen.

Sie aktivieren die Apple-Single-Sign-On-Erweiterung im Geräteprofil, um Benutzern ein Single Sign-On für Apps und Websites zu ermöglichen, ohne dass sie ihre Anmeldedaten erneut eingeben müssen. Die Apple SSO-Erweiterung verarbeitet die Authentifizierung für Benutzer. Wenn Benutzer ihre Apple IOS-Geräte bei Workspace ONE UEM MDM registrieren, wird das Erweiterungsprofil dem App-Installationsprogramm hinzugefügt und das Zertifikat wird in den lokalen Zertifikatspeicher auf Apple-Geräten kopiert. Clients können sich dann mit dem Zertifikat für Single Sign-On authentifizieren.

Sie können auch die Anwendungsnamen auflisten, die mit der Apple SSO-Erweiterung authentifiziert werden können.

  1. Wählen Sie in der Workspace ONE UEM-Konsole die gewünschte Organisationsgruppe aus und navigieren Sie zu Ressourcen > Profile.
  2. Klicken Sie auf Hinzufügen > Profil hinzufügen und wählen Sie iOS Apple iOS > Geräteprofil aus.
  3. Benennen Sie das Profil.
  4. Wählen Sie entweder den Abschnitt Anmeldedaten oder SCEP aus und konfigurieren Sie die Zertifikatsinformationen.

    Konfigurieren eines SCEP-Zertifikats

    Klicken Sie auf HINZUFÜGEN.
    Quelle der Anmeldedaten Die Quelle ist Definierte Zertifizierungsstelle.
    Zertifizierungsstelle Wählen Sie das Zertifikat aus. Wenn kein Zertifikat verfügbar ist, wechseln Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Unternehmensintegration > Zertifizierungsstellen und folgen Sie den Aufforderungen, um ein Zertifikat hinzuzufügen.
    Zertifikatsvorlage Wählen Sie die Zertifikatsvorlage aus. Wenn keine Vorlage verfügbar ist, wechseln Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Unternehmensintegration > Zertifizierungsstellen > Vorlagen anfordern und folgen Sie den Aufforderungen, um eine Zertifikatsvorlage hinzuzufügen.

    Oder

    Konfigurieren Sie die Anmeldedaten für ein Drittanbieterzertifikat

    Klicken Sie auf HINZUFÜGEN.
    Quelle der Anmeldedaten Wählen Sie die Quelle Upload.
    Anmeldedatenname Der Anmeldedatenname wird automatisch aufgefüllt, wenn das Zertifikat hochgeladen wird
    Zertifikat Wählen Sie die hochzuladende Zertifikatsdatei aus.

  5. Konfigurieren Sie die SSO-Erweiterung, um Single Sign-On für die Workspace ONE Intelligent Hub-App zu ermöglichen, ohne dass eine Authentifizierung in jeder App erforderlich ist.

    Klicken Sie auf + HINZUFÜGEN.
    Erweiterungstyp Wählen Sie WS1 Access
    Bezeichner der Erweiterung Dieser Wert wird mit dem Bezeichner von Workspace ONE Access aufgefüllt.
    Typ Dieser Wert wird mit dem Wert Anmeldedaten ausgefüllt.
    Zusätzliche Einstellungen – Zulässige Paket-IDs Wenn die SSO-Erweiterung auf bestimmte App-Bundle-IDs beschränkt werden soll, klicken Sie auf HINZUFÜGEN und geben Sie die App-Bundle-IDs ein.
  6. Weisen Sie auf der Seite Zuweisung das Profil einer Smartgroup zu; setzen Sie Zuweisungstyp auf Automatisch und Entfernen zulassen auf Nie.
  7. Klicken Sie auf Speichern und veröffentlichen.