Pour autoriser les terminaux iOS à se connecter au fournisseur d'identité de Workspace ONE Access, configurez d'abord le profil d'authentification Single Sign-On pour les terminaux iOS, puis attribuez le profil à un Smart Group. Ce profil contient les informations nécessaires pour que le terminal se connecte au fournisseur d'identité et le certificat que le terminal a utilisé pour s'authentifier.

Conditions préalables

  • Mobile SSO pour iOS est configuré dans Workspace ONE Access.
  • Authentification mobile pour iOS configurée dans la stratégie d'accès par défaut de Workspace ONE Access.
  • Fichier d'autorité de certification Kerberos iOS enregistré sur un ordinateur accessible depuis la console d'administration d'Workspace ONE UEM.
  • L'autorité de certification et le modèle de certificat sont correctement configurés dans Workspace ONE UEM.
  • Liste d'URL et d'ID de bundle d'application qui utilisent l'authentification Mobile SSO pour iOS sur des périphériques iOS.

Procédure

  1. Dans la console Workspace ONE UEM, accédez à Terminaux >Profils et ressources > Profils.
  2. Sélectionnez Ajouter > Ajouter un profil et sélectionnez Apple iOS.
  3. Entrez le nom iOSKerberos et configurez les paramètres Général.
  4. Dans le volet de navigation de gauche, sélectionnez Informations d'identification > Configurer pour configurer les informations d'identification.
    Option Description
    Source des informations d'identification Sélectionnez Autorité de certification définie dans le menu déroulant.
    Autorité de certification Sélectionnez l'autorité de certification dans la liste du menu déroulant.
    Modèle de certificat Sélectionnez le modèle de demande qui fait référence à l'autorité de certification dans le menu déroulant. Il s'agit du modèle de certificat créé dans Ajout du modèle de certificat dans Workspace ONE UEM.
  5. Cliquez de nouveau sur + dans l'angle inférieur droit de la page et créez un second lot d'informations d'identification.
  6. Dans le menu déroulant Source des informations d'identification, sélectionnez Télécharger.
  7. Entrez un nom d'informations d'identification.
  8. Cliquez sur Charger pour charger le certificat racine du serveur KDC qui est téléchargé depuis la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité > Fournisseur d'identité intégré.
  9. Dans le volet de navigation de gauche, sélectionnez Single Sign-On et cliquez sur Configurer.
  10. Entrez les informations de connexion.
    Option Description
    Nom de compte Entrez Kerberos.
    Nom principal Kerberos Cliquez sur + et sélectionnez {EnrollmentUser}.

    Si votre répertoire Active Directory inclut des noms d'utilisateurs d'employés qui sont configurés avec la même valeur pour FirstName et LastName, créez un attribut personnalisé dans la page Champs de recherche de la console Workspace ONE UEM. Reportez-vous à la section Créer une valeur de recherche personnalisée pour le nom principal Kerberos Mobile SSO pour iOS.

    Domaine

    Pour les déploiements de locataire dans le cloud, entrez le nom de domaine Workspace ONE Access pour votre locataire. Assurez-vous que vous entrez le nom de domaine dans la même casse que le nom de domaine de votre locataire.

    Note : Les noms de domaine Kerberos sont sensibles à la casse. Le format recommandé consiste à créer des noms de domaine en majuscules. Les noms de domaine qui diffèrent dans la casse ne sont pas équivalents. Par exemple, VMWAREIDENTITY.COM n'est pas le même nom de domaine que vmwareidentity.com.

    Pour sur les déploiements sur site, entrez le nom de domaine que vous avez utilisé lorsque vous avez initialisé le service KDC dans le dispositif Workspace ONE Access. Par exemple, EXAMPLE.COM

    Renouvellement de certificat Sélectionnez Certificate#1 dans le menu déroulant. Il s'agit du certificat d'autorité de certification Active Directory qui a été configuré en premier avec des informations d'identification.
    Préfixes d'URL Entrez les préfixes d'URL qui doivent correspondre pour utiliser ce compte pour l'authentification Kerberos sur HTTP.

    Pour les déploiements de locataire dans le cloud, entrez l'URL du serveur Workspace ONE Access sous la forme https://<tenant>.vmwareidentity.<region>.

    Pour sur les déploiements sur , entrez l'URL du serveur Workspace ONE Access sous la forme https://myco.example.com.

    ID du bundle d'applications Entrez la liste des identités d'application qui sont autorisées à utiliser cette connexion. Pour exécuter Single Sign-On à l'aide du navigateur Safari intégré d'iOS, entrez le premier ID de bundle d'application sous la forme com.apple.mobilesafari. Entrez les ID de bundle d'application suivants. Les applications répertoriées doivent prendre en charge l'authentification SAML.
  11. Cliquez sur Enregistrer et publier.

Que faire ensuite

Attribuez le profil de périphérique à un groupe intelligent. Les groupes intelligents sont des groupes personnalisables qui déterminent les périphériques de plate-forme, et les utilisateurs reçoivent une application attribuée, un livre, une stratégie de conformité, un profil de périphérique ou un provisionnement. Reportez-vous à la section Attribuer un profil de terminal Workspace ONE UEM aux Smart Groups.