Creare e distribuire il profilo di dispositivo Apple iOS in Workspace ONE UEM per inserire le impostazioni del provider di identità nel dispositivo. Questo profilo contiene le informazioni necessarie al dispositivo per connettersi al provider di identità di VMware e il certificato utilizzato dal dispositivo stesso per l'autenticazione.

Prerequisiti

  • Kerberos incorporato configurato in VMware Workspace ONE Access.
  • File del certificato root del server KDC di VMware Workspace ONE Access salvato in un computer accessibile dalla console di Workspace ONE UEM.
  • Certificato abilitato e scaricato dalla pagina Sistema > Integrazione aziendale > VMware Workspace ONE Access della console di Workspace ONE UEM.
  • Elenco degli URL e degli ID dei pacchetti applicazione che utilizzano l'autenticazione Kerberos integrata sui dispositivi iOS.

Procedura

  1. Nella console di Workspace ONE UEM passare a Dispositivi > Profili e risorse > Profilo > Aggiungi profilo e selezionare Apple iOS.
  2. Configurare le impostazioni della sezione Generale del profilo e specificare iOSKerberos come nome del dispositivo.
  3. Nel riquadro di navigazione di sinistra, selezionare SCEP > Configura per configurare la credenziale.
    Opzione Descrizione
    Origine credenziali Selezionare AirWatch Certificate Authority dal menu a discesa.
    Autorità di certificazione Selezionare la AirWatch Certificate Authority dal menu a discesa.
    Modello di certificato Selezionare Single Sign On per impostare il tipo di certificato emesso dalla CA di AirWatch.
  4. Fare clic su Credenziali > Configura e creare una seconda credenziale.
  5. Dal menu a discesa Origine credenziali, selezionare Carica.
  6. Immettere il nome della credenziale iOS Kerberos.
  7. Fare clic su Carica per caricare il certificato root del server KDC di VMware Identity Manager scaricato dalla pagina Gestione identità e accessi > Gestione > Provider di identità > Provider di identità integrato.
  8. Nel riquadro di navigazione di sinistra, selezionare Single Sign-On.
  9. Immettere le informazioni di connessione.
    Opzione Descrizione
    Nome account Inserire Kerberos.
    Nome principale Kerberos Fare clic su + e scegliere {EnrollmentUser}.
    Area di autenticazione

    Per le distribuzioni tenant nel cloud, immettere il nome dell'area di autenticazione di VMware Identity Manager per il tenant. Il testo di questo parametro deve essere in maiuscolo. Ad esempio, VMWAREIDENTITY.COM.

    Per distribuzioni in locale, immettere il nome dell'area di autenticazione utilizzato durante l'inizializzazione del KDC nella macchina VMware Identity Manager. Ad esempio EXAMPLE.COM.

    Certificati di rinnovo

    Nei dispositivi iOS 8 o versione successiva, selezionare il certificato utilizzato per eseguire nuovamente l'autenticazione dell'utente in modo automatico senza alcuna interazione da parte dell'utente quando la sessione Single Sign-On dell'utente scade.

    Prefissi URL Immettere i prefissi di URL che devono corrispondere per poter utilizzare questo con autenticazione Kerberos su HTTP.

    Per le distribuzioni tenant nel cloud, immettere l'URL del server VMware Workspace ONE Access nella forma https://<tenant>.vmwareidentity.<region>.

    Per distribuzioni in locale, immettere l'URL del server VMware Workspace ONE Access nella forma https://myco.example.com.

    Applicazioni Inserire l'elenco di identificatori di applicazione a cui è consentito l'uso di questo accesso. Per eseguire un singolo accesso utilizzando il browser Safari integrato in iOS, immettere il primo ID di pacchetto applicazione com.apple.mobilesafari. Per aggiungere altre applicazioni, continuare a immettere gli ID bundle o selezionare gli ID bundle dal menu a discesa. Dopo il caricamento di un'applicazione in UEM Console, nel menu a discesa viene visualizzato un ID bundle. Ad esempio: com.air-watch.secure.browser. Le applicazioni elencate devono supportare l'autenticazione SAML.
  10. Fare clic su Salva e pubblica.

risultati

Dopo aver inserito il profilo iOS nei dispositivi degli utenti, questi possono accedere a VMware Workspace ONE Access utilizzando il metodo di autenticazione Kerberos integrato senza dover immettere le proprie credenziali.

Operazioni successive

Assegnare il profilo dispositivo a un gruppo smart. I gruppi smart sono gruppi personalizzabili che determinano quali piattaforme, dispositivi e quali utenti riceveranno un'applicazione, una rubrica, un criterio di conformità, un profilo dispositivo o un provisioning assegnato. Vedere Assegnazione di un profilo dispositivo Workspace ONE UEM ai gruppi smart.