Um eine Anwendung auf dem Gerät so zu konfigurieren, dass Single Sign-on (SSO) mit der Kerberos-Erweiterung durchgeführt wird, konfigurieren Sie das SSO-Erweiterungsprofil. Mit dem SSO-Erweiterungsprofil müssen Benutzer Ihren Benutzernamen und Ihr Kennwort nicht angeben, um auf bestimmte URLs zugreifen zu können. Dieses Profil gilt nur für Geräte mit iOS 13 und höher.

Prozedur

  1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile und wählen Sie Hinzufügen> Apple iOS.
  2. Konfigurieren Sie die Einstellungen des Profils unter Allgemein.
  3. Wählen Sie als Nutzlast SSO-Erweiterung aus.
  4. Konfigurieren Sie die Profileinstellungen.
    Einstellung Beschreibung
    Erweiterungstyp Wählen Sie den Typ der SSO-Erweiterung für die Anwendung aus. Wenn Sie „Generisch“ auswählen, geben Sie im Feld Erweiterungsbezeichner die Paket-ID der Anwendungserweiterung an, die SSO für die angegebenen URLs ausführt. Wenn „Kerberos“ ausgewählt ist, geben Sie den Active Directory-Bereich und die Domänen an.
    Typ Wählen Sie als Erweiterungstyp entweder „Anmeldedaten“ oder „Umleiten“ aus. Die Erweiterung „Anmeldedaten“ wird für Authentifizierung per Aufforderung/Rückmeldung verwendet. Die Erweiterung „Umleiten“ kann die OpenID Connect-, Oauth- und SAML-Authentifizierung verwenden.
    Team-Bezeichner Geben Sie den Team-Bezeichner der Anwendungserweiterung ein, die SSO für die angegebenen URLs ausführt.
    URLs Geben Sie ein oder mehrere URL-Präfixe von Identitätsanbietern ein, bei denen die Anwendungserweiterung SSO ausführt.
    Zusätzliche Einstellungen Geben Sie zusätzliche Einstellungen für das Profil in XML-Code ein, der dem ExtensionData-Knoten hinzugefügt wird.
    Active Directory-Bereich Diese Option wird nur angezeigt, wenn „Kerberos“ als Erweiterungstyp ausgewählt ist. Geben Sie den Namen für den Kerberos-Bereich ein.
    Domänen Geben Sie die Hostnamen oder die Domänennamen ein, die über die Anwendungserweiterung authentifiziert werden können.
    Site-AutoErmittlung verwenden Aktivieren Sie die Option, damit die Kerberos-Erweiterung automatisch LDAP und DNS verwendet, um den Namen der Active Directory-Site zu ermitteln.
    Automatische Anmeldung zulassen Aktivieren Sie die Option, damit Kennwörter im Schlüsselbund gespeichert werden können.
    Benutzer-Touch-ID oder -kennwort anfordern Aktivieren Sie die Option, damit der Benutzer die Touch ID, die FaceID oder die Kennung für den Zugriff auf den Schlüsselbundeintrag bereitstellen kann.
    Zertifikat Wählen Sie das Zertifikat aus, das auf das Gerät übertragen werden soll, das sich im selben MDM-Profil befindet.
    Zulässige Paket-IDs Geben Sie eine Liste der Anwendungspaket-IDs ein, um den Zugriff auf das Kerberos Ticket Granting Ticket (TGT) zuzulassen.
  5. Klicken Sie auf Speichern und veröffentlichen.