Para configurar la autenticación de SSO móvil (para Apple), configure los ajustes de la autenticación basada en certificados de SSO móvil (para Apple) en la consola de Workspace ONE Access y cargue el certificado emisor para la autenticación basada en certificados.

El método de autenticación de inicio de sesión único móvil de Workspace ONE Access (para Apple) es una implementación del método de autenticación de certificado para dispositivos iOS administrados por Workspace ONE UEM(MDM). Se implementa un certificado en el perfil del dispositivo de UEM y se instala en el dispositivo cuando el dispositivo se inscribe en la administración de dispositivos. Cuando los usuarios acceden a sus aplicaciones y recursos corporativos, el certificado se presenta automáticamente, lo que elimina la necesidad de que vuelvan a introducir sus credenciales para abrir aplicaciones en sus dispositivos.

Los métodos de autenticación basados en la nube se configuran en la página Integraciones > Métodos de autenticación de la consola de Workspace ONE Access. Después de configurar el método de autenticación, asócielo a un proveedor de identidades integrado de Workspace ONE Access en la página Integraciones > Proveedor de identidades y cree reglas de directiva de acceso para aplicarlas al método de autenticación en la página Recursos > Directivas. En la consola de Workspace ONE UEM, configure el perfil de dispositivo Apple con la opción Extensión de SSO de Apple y defina el tipo de certificado de UEM que se implementará en los dispositivos Apple iOS.

Consulte la guía Implementar la autenticación de SSO móvil (para Apple) de VMware Workspace ONE Access para dispositivos móviles Apple administrados por Workspace ONE UEM para obtener información sobre cómo instalar y configurar todos los componentes de la autenticación de SSO móvil para Apple.

Nota: El método de autenticación de SSO móvil (para Apple) es el método de autenticación de Workspace ONE Access recomendado para los dispositivos iOS. Si utiliza SSO móvil para la autenticación de iOS, puede migrar a SSO móvil (por Apple).

Configurar la autenticación de certificado para SSO móvil (para Apple)

Requisitos previos

  • Guarde el certificado emisor que cargará para la autenticación de SSO móvil (para Apple). Si utiliza el certificado de Workspace ONE UEM, exporte y guarde el certificado raíz desde la página de la consola de Workspace ONE UEM Sistema > Integración empresarial > Workspace ONE Access > Configuración.
  • (Opcional) Lista de identificadores de objeto (OID) de políticas de certificados válidas para la autenticación de certificado.
  • Para comprobar la revocación, la ubicación del archivo de la CRL y la dirección URL del servidor OCSP.
  • (Opcional) Ubicación del archivo de certificado de firma para la respuesta OCSP.
  • (Opcional) Seleccione la autenticación biométrica que desea configurar.
  1. En la consola de Workspace ONE Access, vaya a la página Integraciones > Métodos de autenticación y seleccione SSO móvil (para Apple).
  2. Haga clic en CONFIGURAR y configure la autenticación con certificado.

    Opción Descripción
    Habilitar adaptador de certificados Cambie a para habilitar la autenticación con certificado.
    Certificados de CA intermedio y raíz

    Certificados de CA cargados

    		 Seleccione el certificado raíz que guardó en la consola de Workspace ONE UEM para cargarlo.

    El archivo de certificado cargado se muestra aquí.
    Orden de búsqueda de identificador de usuario Seleccione el orden de búsqueda para encontrar el identificador de usuario en el certificado.

    Para la autenticación de SSO móvil (para Apple), el valor del atributo de identificador debe ser el mismo valor en los servicios de Workspace ONE Access y Workspace ONE UEM. De lo contrario, se produce un error en el SSO de Apple.

    • upn. El valor UserPrincipalName del nombre alternativo del sujeto.
    • correo electrónico. La dirección de correo electrónico del nombre alternativo del sujeto.
    • sujeto. El valor de UID del sujeto. Si el UID no se encuentra en el DN del sujeto, se utiliza el valor de UID en el cuadro de prueba de CN, si el cuadro de texto CN está configurado.
    Nota:
    • Si se usa una entidad de certificación de Workspace ONE UEM para generar certificados de cliente, el orden de búsqueda del identificador de usuario debe ser UPN | Asunto.
    • Si se utiliza una entidad de certificación de empresa externa, el orden de búsqueda de identificador de usuario debe ser UPN | Correo electrónico | Asunto y la plantilla de certificado debe contener el nombre de asunto CN={DeviceUid}:{EnrollmentUser}. Asegúrese de incluir los dos puntos (:).
    Validar el formato UPN Cambie a para validar el formato del cuadro de texto UserPrincipalName.
    Tiempo de espera de la solicitud Introduzca el tiempo en segundos para la espera de una respuesta. Si introduce cero (0), el sistema esperará indefinidamente una respuesta.
    Directivas de certificados aceptadas Cree una lista de identificadores de objeto que se acepten en las extensiones de directivas de certificados.

    Introduzca los números de objectID (OID) para la directiva de emisión de certificados. Haga clic en Agregar para agregar más OID.
    Habilitar revocación de certificados Cambie a para habilitar la comprobación de revocación del certificado.

    La comprobación de la revocación impide la autenticación de los usuarios con certificados de usuario revocados.
    Usar CRL de los certificados Cambie a para usar la lista de revocación de certificados (CRL) publicada por la CA que emitió los certificados para validar el estado de un certificado, es decir, si está revocado o no.
    Ubicación de la CRL Introduzca la ruta del archivo del servidor o la ruta de acceso del archivo local desde la que se recuperará la lista de revocación de certificados.
    Habilitar revocación con OCSP Cambie a para usar el protocolo de validación de certificados Protocolo de estado de certificados en línea (OCSP) para obtener el estado de revocación de un certificado.
    Usar CRL en caso de error de OCSP Si configura tanto CRL como OCSP, puede habilitar esta opción para recurrir a la CRL si la opción de comprobación de OCSP no está disponible.
    Enviar nonce de OCSP Habilite esta opción si desea que se envíe el identificador único de la solicitud de OCSP en la respuesta.
    URL de OCSP Si habilitó la revocación con OCSP, escriba la dirección del servidor OCSP para la comprobación de la revocación.
    Origen de URL de OCSP Seleccione el origen que se utilizará para la comprobación de revocación.
    • Seleccione Solo configuración para realizar la comprobación de revocación de certificados mediante la URL de OCSP proporcionada en el cuadro de texto de la URL de OCSP para validar la cadena de certificados completa.
    • Seleccione Solo certificado (obligatorio) para realizar la comprobación de revocación de certificados mediante la URL de OCSP que existe en la extensión de acceso a información de autoridad (AIA) de cada certificado de la cadena. Todos los certificados de la cadena deben tener la URL de OCSP definida, de lo contrario, se produce un error en la comprobación de revocación de certificados.
    • Seleccione Solo certificado (opcional) para realizar la comprobación de revocación de certificados solo mediante la URL de OCSP que existe en la extensión AIA del certificado. No compruebe la revocación si la URL de OCSP no existe en la extensión AIA del certificado.
    • Seleccione Certificado con reserva de configuración para realizar la comprobación de revocación de certificados mediante la URL de OCSP extraída de la extensión AIA de cada certificado de la cadena, si la URL de OCSP está disponible.

      Si la URL de OCSP no está en la extensión AIA, la reserva consiste en comprobar la revocación mediante la URL de OCSP configurada en el cuadro de texto URL de OCSP. El cuadro de texto URL de OCSP debe configurarse con la dirección del servidor OCSP.
    Certificados firmados del respondedor OCSP

    Certificados firmados OCSP cargados

    		 Seleccione los archivos de certificados de firma del respondedor OCSP que desea cargar.

    Los archivos cargados de certificados de firma del respondedor OCSP se enumeran aquí.

    Tipo de autenticación del dispositivo El SSO móvil (para Apple) admite el requisito de que el usuario se autentique con el dispositivo mediante un mecanismo biométrico (FaceID o TouchID) o un código de acceso antes de utilizar el certificado del dispositivo para realizar la autenticación con Workspace ONE Access. Si los usuarios deben verificar con biométrica o biométrica con código de acceso como copia de seguridad, seleccione la opción correcta. De lo contrario, seleccione NINGUNO.
  3. Haga clic en GUARDAR.

    Los ajustes de configuración se muestran en la página de métodos de autenticación de SSO móvil (para Apple).

    Pantalla de configuración de la autenticación de SSO móvil (para Apple) en la consola de Workspace ONE Access

Pasos siguientes

Asocie el método de autenticación de SSO móvil (para Apple) en el proveedor de identidades integrado.

Configure la regla de directiva de acceso predeterminada para el SSO móvil (para Apple).