Erstellen Sie das Apple iOS-Geräteprofil in AirWatch an und stellen Sie dieses bereit, um die Einstellungen des Identitätsanbieters zum Gerät zu senden. Dieses Profil enthält die Informationen, die das Gerät zur Herstellung einer Verbindung mit dem VMware-Identitätsanbieter und für das zur Authentifizierung verwendete Zertifikat benötigt.

Voraussetzungen

  • In VMware Identity Manager konfiguriertes integriertes Kerberos.

  • VMware Identity Manager-Stammzertifikatdatei des KDC-Servers, gespeichert auf einem Computer, auf den von der AirWatch-Verwaltungskonsole aus zugegriffen werden kann.

  • Aktiviertes und von der Seite „System“ > „Enterprise Integration“ > „VMware Identity Manager“ der AirWatch-Verwaltungskonsole heruntergeladenes Zertifikat.

  • Liste der URLs und Anwendungspaket-IDs, die auf iOS-Geräten die integrierte Kerberos-Authentifizierung verwenden.

Prozedur

  1. Wechseln Sie in der AirWatch-Verwaltungskonsole zu Geräte > Profile und Ressourcen > Profil > Profil hinzufügen und wählen Sie Apple iOS aus.
  2. Konfigurieren Sie die allgemeinen Einstellungen des Profils und geben Sie den Namen der Geräts als iOSKerberos ein.
  3. Im linken Navigationsbereich wählen Sie SCEP > Konfigurieren zur Konfiguration der Anmeldedaten aus.

    Option

    Beschreibung

    Quelle der Anmeldedaten

    Wählen Sie die AirWatch-Zertifizierungsstelle aus dem Dropdown-Menü aus.

    Zertifizierungsstelle

    Wählen Sie die AirWatch-Zertifizierungsstelle aus dem Dropdown-Menü aus.

    Zertifikatsvorlage

    Wählen Sie Single Sign On für den Typ des Zertifikats aus, das von der AirWatch-Zertifizierungsstelle ausgestellt wurde.

  4. Klicken Sie auf Anmeldedaten > Konfigurieren und erstellen Sie ein zweites Set an Anmeldedaten.
  5. Im Dropdown-Menü Quelle der Anmeldedaten wählen Sie Hochladen aus.
  6. Geben Sie den Namen der iOS-Kerberos-Anmeldedaten ein.
  7. Klicken Sie auf Hochladen, um das VMware Identity Manager-Stammzertifikat des KDC-Servers hochzuladen, das von der Seite „Identitäts- und Zugriffsmanagement“ > „Verwalten“ > „Identitätsanbieter“ > „Integrierter Identitätsanbieter“ heruntergeladen wurde.
  8. Im linken Navigationsbereich wählen Sie Single Sign-On aus.
  9. Geben Sie die Verbindungsinformationen ein.

    Option

    Beschreibung

    Kontoname

    Geben Sie Kerberos ein.

    Kerberos-Prinzipalname

    Klicken Sie auf + und wählen Sie {EnrollmentUser} aus.

    Bereich

    Geben Sie den Identity Manager-Bereichsnamen für Ihren Mandanten ein. Der Text für diesen Parameter muss in Großbuchstaben eingegeben werden. Mögliche Bereichsnamen sind VMWAREIDENTITY.COM, VMWAREIDENTITY.EU und VMWAREIDENTITY.ASIA.

    Geben Sie den für die Initialisierung von KDC in der VMware Identity Manager-Appliance verwendeten Bereichsnamen ein. Beispiel: EXAMPLE.COM

    Zertifikat erneuern

    Auf Geräten mit iOS 8 und höher wählen Sie das Zertifikat aus, das zur erneuten automatischen Authentifizierung des Benutzers ohne Benutzerinteraktion verwendet wird, wenn die Sitzung mit einer einmaligen Anmeldung (Single Sign-On) des Benutzers abläuft.

    URL-Präfixe

    Geben Sie die URL-Präfixe ein, die übereinstimmen müssen, damit dieses Konto für die Kerberos-Authentifizierung über HTTP verwendet werden kann.

    Geben Sie als VMware Identity Manager-Server-URL https://myco.example.com ein.

    Geben Sie als VMware Identity Manager-Server-URL https://<tenant>.vmwareidentity.<region> ein.

    Anwendungen

    Geben Sie die Liste der Anwendungen ein, die diese Anmeldung verwenden können. Um eine einmalige Anmeldung (SSO, Single Sign-On) mit dem in iOS integrierten Safari-Browser durchzuführen, geben Sie die erste Anwendungspaket-ID im Format com.apple.mobilesafari ein. Geben Sie die weiteren Anwendungspaket-IDs ein. Die aufgeführten Anwendungen müssen die SAML-Authentifizierung unterstützen.

  10. Klicken Sie auf Speichern und veröffentlichen.

Ergebnisse

Wenn das iOS-Profil erfolgreich zu den Geräten des Benutzers gesendet wird, können sich die Benutzer mit der integrierten Kerberos-Authentifizierungsmethode bei VMware Identity Manager anmelden, ohne ihre Anmeldedaten einzugeben.

Nächste Maßnahme

Weisen Sie das Geräteprofil einer Smartgruppe zu. Smartgruppen sind benutzerdefinierte Gruppen, die festlegen, welche Plattformen, Geräte und Benutzer eine zugewiesene Anwendung, ein Buch, eine Compliance-Richtlinie, ein Geräteprofil oder eine Bereitstellung erhalten.