Per consentire ai dispositivi iOS di connettersi al provider di identità di Workspace ONE Access, configurare innanzitutto il profilo Single Sign-On per i dispositivi iOS, quindi assegnare il profilo a un gruppo smart. Questo profilo contiene le informazioni necessarie al dispositivo per connettersi al provider di identità e il certificato utilizzato dal dispositivo stesso per l'autenticazione.

Prerequisiti

  • SSO mobile per iOS è configurato in Workspace ONE Access.
  • L'autenticazione mobile per iOS è configurata nel criterio di accesso predefinito di Workspace ONE Access.
  • File dell'autorità di certificazione iOS Kerberos salvato su un computer a cui sia possibile accedere dalla console di amministrazione di Workspace ONE UEM.
  • Configurazione corretta in Workspace ONE UEM della propria autorità di certificazione e del modello di certificato.
  • Elenco degli URL e degli ID dei pacchetti applicazione che utilizzano l'autenticazione SSO mobile per iOS sui dispositivi iOS.

Procedura

  1. Nella console di Workspace ONE UEM, passare a Dispositivi > Profili e risorse > Profili.
  2. Selezionare Aggiungi > Aggiungi profilo e selezionare Apple iOS.
  3. Immettere il nome iOSKerberos e configurare le impostazioni in Generale.
  4. Nel riquadro di navigazione di sinistra, selezionare Credenziali > Configura per configurare la credenziale.
    Opzione Descrizione
    Origine credenziali Selezionare Autorità di certificazione definita dal menu a discesa.
    Autorità di certificazione Selezionare l'autorità di certificazione nell'elenco del menu a discesa.
    Modello di certificato Selezionare il modello di richiesta che fa riferimento all'autorità di certificazione dal menu a discesa. Questo è il modello di certificato creato in Aggiunta del modello di certificato in Workspace ONE UEM.
  5. Fare di nuovo clic sul + nell'angolo inferiore destro della pagina e creare una seconda credenziale.
  6. Dal menu a discesa Origine credenziali, selezionare Carica.
  7. Immettere il nome della credenziale.
  8. Fare clic su Carica per caricare il certificato root del server KDC scaricato dalla pagina Gestione identità e accessi > Gestione > Provider di identità > Provider di identità integrato.
  9. Nel riquadro di navigazione a sinistra, selezionare Single Sign-On e fare clic su Configura.
  10. Immettere le informazioni di connessione.
    Opzione Descrizione
    Nome account Inserire Kerberos.
    Nome principale Kerberos Fare clic su + e scegliere {EnrollmentUser}.

    Se Active Directory include nomi utente dei dipendenti configurati con lo stesso valore per FirstName e LastName, creare un attributo personalizzato nella pagina Campi di ricerca della console di Workspace ONE UEM. Vedere Creazione di un valore di ricerca personalizzato per il nome dell'entità Kerberos SSO mobile per iOS.

    Area di autenticazione

    Per le distribuzioni tenant nel cloud, immettere il nome dell'area di autenticazione di Workspace ONE Access per il tenant. Assicurarsi di immettere il nome dell'area di autenticazione nello stesso formato del nome dell'area di autenticazione per il tenant.

    Nota: Per i nomi delle aree di autenticazione Kerberos viene fatta distinzione tra maiuscole e minuscole. Il formato consigliato per la creazione dei nomi delle aree di autenticazione è con lettere maiuscole. I nomi delle aree di autenticazione che differiscono tra maiuscole e minuscole non sono equivalenti. Ad esempio, VMWAREIDENTITY.COM non corrisponde allo stesso nome dell'area di autenticazione di vmwareidentity.com.

    Per distribuzioni in locale, immettere il nome dell'area di autenticazione utilizzato durante l'inizializzazione del KDC nell'appliance Workspace ONE Access. Ad esempio, EXAMPLE.COM

    Certificati di rinnovo Selezionare Certificato 1 dal menu a discesa. Questo è il certificato della CA di Active Directory che è stato configurato per primo con le credenziali.
    Prefissi URL Immettere i prefissi di URL che devono corrispondere per poter utilizzare questo con autenticazione Kerberos su HTTP.

    Per le distribuzioni tenant nel cloud, immettere l'URL del server Workspace ONE Access nella forma https://<tenant>.vmwareidentity.<region>.

    Per distribuzioni in locale, immettere l'URL del server Workspace ONE Access nella forma https://myco.example.com.

    ID pacchetto applicazione Inserire l'elenco di identificatori di applicazione a cui è consentito l'uso di questo accesso. Per eseguire un singolo accesso utilizzando il browser Safari integrato in iOS, immettere il primo ID di pacchetto applicazione nella forma com.apple.mobilesafari. Continuare l'immissione degli altri ID di pacchetti applicazione. Le applicazioni elencate devono supportare l'autenticazione SAML.
  11. Fare clic su Salva e pubblica.

Operazioni successive

Assegnare il profilo dispositivo a un gruppo smart. I gruppi smart sono gruppi personalizzabili che determinano quali piattaforme, dispositivi e quali utenti riceveranno un'applicazione, una rubrica, un criterio di conformità, un profilo dispositivo o un provisioning assegnato. Vedere Assegnazione di un profilo dispositivo Workspace ONE UEM ai gruppi smart.