Per configurare l'autenticazione SSO mobile (per Apple), configurare le impostazioni dell'autenticazione tramite certificato SSO mobile (per Apple) nella console di Workspace ONE Access e caricare il certificato dell'emittente per l'autenticazione basata su certificato.

Il metodo di autenticazione Single Sign-On mobile (per Apple) di Workspace ONE Access è un'implementazione del metodo di autenticazione basata su certificato per i dispositivi iOS gestiti da Workspace ONE UEM (MDM). Quando il dispositivo viene registrato nella gestione dei dispositivi, un certificato viene distribuito nel profilo del dispositivo UEM e viene installato sul dispositivo. Quando gli utenti accedono alle app e alle risorse aziendali, il certificato viene presentato automaticamente. Gli utenti non devono quindi reinserire le loro credenziali per aprire le app sul dispositivo.

I metodi di autenticazione basati su cloud vengono configurati nella pagina Integrazioni > Metodi di autenticazione della console di Workspace ONE Access. Dopo aver configurato il metodo di autenticazione, associarlo a un provider di identità integrato in Workspace ONE Access nella pagina Integrazioni > Provider di identità e creare regole dei criteri di accesso da applicare al metodo di autenticazione nella pagina Risorse > Criteri. In Workspace ONE UEM Console configurare il profilo del dispositivo Apple con l'impostazione Estensione SSO Apple e definire il tipo di certificato UEM da distribuire nei dispositivi Apple iOS.

Per informazioni su come installare e configurare tutti i componenti per l'autenticazione SSO mobile per Apple, vedere la guida Implementazione dell'autenticazione SSO mobile (per Apple) di VMware Workspace ONE Access per i dispositivi mobili Apple gestiti da Workspace ONE UEM.

Nota: Il metodo di autenticazione SSO mobile (per Apple) è il metodo di autenticazione di Workspace ONE Access consigliato per l'utilizzo con i dispositivi iOS. Se si utilizza l'autenticazione SSO mobile per iOS, è possibile eseguire la migrazione a SSO mobile (per Apple).

Configurazione dell'autenticazione tramite certificato per SSO mobile (per Apple)

Prerequisiti

  • Salvare il certificato dell'emittente che verrà caricato per l'autenticazione SSO mobile (per Apple). Se si utilizza il certificato di Workspace ONE UEM, esportare e salvare il certificato root dalla pagina Sistema > Integrazione aziendale > Workspace ONE Access > Configurazione di Workspace ONE UEM Console.
  • (Facoltativo) Elenco di identificatori di oggetto (OID) di criteri di certificato validi per l'autenticazione del certificato.
  • Per il controllo della revoca, la posizione del file del CRL e l'URL del server OCSP.
  • (Facoltativo) La posizione del file del certificato Firma risposta OCSP.
  • (Facoltativo) Selezionare l'autenticazione biometrica da configurare.
  1. Nella console di Workspace ONE Access, passare alla pagina Integrazioni > Metodi di autenticazione e selezionare SSO mobile (per Apple).
  2. Fare clic su CONFIGURA e configurare le impostazioni dell'autenticazione tramite certificato.

    Opzione Descrizione
    Abilita adattatore certificato Passare a per abilitare l'autenticazione tramite certificato.
    Certificati CA intermedi e root

    Certificati CA caricati

    Selezionare il certificato root salvato da Workspace ONE UEM Console da caricare.

    Qui sono elencati i file del certificato caricati.

    Ordine di ricerca ID utente Selezionare l'ordine di ricerca per individuare l'ID utente nel certificato.

    Per l'autenticazione SSO mobile (per Apple), il valore dell'attributo identificatore deve essere lo stesso nei servizi Workspace ONE Access e Workspace ONE UEM. In caso contrario, l'autenticazione SSO per Apple non riesce.

    • upn. Valore UserPrincipalName del nome alternativo del soggetto.
    • email. Indirizzo di posta elettronica del nome alternativo del soggetto.
    • soggetto. Valore UID del soggetto. Se l'UID non viene trovato nel DN soggetto, viene utilizzato il valore UID nella casella di testo CN, se la casella di testo CN è configurata.
    Nota:
    • Se per la generazione del certificato del client viene utilizzata un'autorità di certificazione di Workspace ONE UEM, l'ordine di ricerca dell'identificatore utente deve essere UPN | Soggetto.
    • Se si utilizza una CA aziendale di terze parti, l'ordine di ricerca dell'identificatore utente deve essere UPN | E-mail | Soggetto e il modello del certificato deve contenere il nome del soggetto CN={DeviceUid}:{EnrollmentUser}. Assicurarsi di includere il segno di due punti (:).
    Convalida formato UPN Passare a per convalidare il formato della casella di testo UserPrincipalName.
    Timeout richiesta Immettere il tempo di attesa di una risposta, in secondi. Se si immette zero (0), il sistema attenderà una risposta indefinitamente.
    Criteri dei certificati accettati Creare un elenco di identificatori di oggetto accettati nelle estensioni dei criteri di certificato.

    Immettere i numeri objectID (OID) per il criterio di emissione dei certificati. Fare clic su Aggiungi per aggiungere altri OID.

    Abilita revoca certificato Passare a per abilitare il controllo della revoca del certificato.

    Il controllo della revoca impedirà l'autenticazione degli utenti che hanno certificati revocati.

    Usa CRL dai certificati Passare a per utilizzare l'elenco di revoche di certificati (CRL) pubblicato dall'autorità di certificazione che ha emesso i certificati per convalidare lo stato di un certificato, revocato o non revocato.
    Posizione CRL Immettere il percorso del file server o del file locale da cui recuperare l'elenco di revoche di certificati.
    Abilita revoca OCSP Passare a per utilizzare il protocollo OCSP (Online Certificate Status Protocol) per impostare lo stato di revoca di un certificato.
    Usa CRL in caso di errore OCSP Se si configurano CRL e OCSP, è possibile abilitare questo interruttore per eseguire il fallback e utilizzare CRL se l'opzione di controllo di OCSP non è disponibile.
    Invia nonce OCSP Abilitare questo interruttore se si desidera che l'identificativo univoco della richiesta OCSP venga inviato nella risposta.
    URL OCSP Se la revoca OCSP è stata abilitata, immettere l'indirizzo del server OCSP per il controllo della revoca.
    Origine URL OCSP Selezionare l'origine da utilizzare per il controllo della revoca.
    • Selezionare Solo configurazione per eseguire il controllo della revoca del certificato utilizzando l'URL dell'OCSP specificato nella casella di testo URL OCSP per convalidare l'intera catena di certificati.
    • Selezionare Solo certificato (obbligatorio) per eseguire il controllo della revoca del certificato utilizzando l'URL dell'OCSP esistente nell'estensione AIA (Authority Information Access) di ciascun certificato nella catena. In ogni certificato della catena deve essere definito l'URL dell'OCSP. In caso contrario, il controllo della revoca del certificato non riesce.
    • Selezionare Solo certificato (facoltativo) per eseguire il controllo della revoca del certificato solo utilizzando l'URL dell'OCSP esistente nell'estensione AIA del certificato. Non esegue il controllo della revoca se l'URL dell'OCSP non esiste nell'estensione AIA del certificato.
    • Selezionare Certificato con fallback alla configurazione per eseguire il controllo della revoca del certificato utilizzando l'URL dell'OCSP estratto dall'estensione AIA di ogni certificato della catena quando l'URL dell'OCSP è disponibile.

      Se l'URL dell'OCSP non è presente nell'estensione AIA, il fallback fa in modo che venga controllata la revoca utilizzando l'URL dell'OCSP configurato nella casella di testo URL OCSP. La casella di testo URL OCSP deve essere configurata con l'indirizzo del server OCSP.

    Certificati di firma risponditore OCSP

    Certificati di firma OCSP caricati

    Selezionare i file dei certificati di firma del risponditore OCSP da caricare.

    Qui sono elencati i file dei certificati di firma del risponditore OCSP caricati.

    Tipo di autenticazione dispositivo SSO mobile (per Apple) supporta la richiesta che l'utente esegua l'autenticazione nel dispositivo utilizzando un meccanismo biometrico (FaceID o TouchID) o un codice d'accesso prima che il certificato sul dispositivo venga utilizzato per eseguire l'autenticazione in Workspace ONE Access. Se gli utenti devono eseguire la verifica con un meccanismo biometrico o con un meccanismo biometrico con un codice d'accesso come backup, selezionare l'opzione corretta. Altrimenti, selezionare NESSUNO.
  3. Fare clic su SALVA.

    Le impostazioni di configurazione vengono visualizzate nella pagina dei metodi di autenticazione SSO mobile (per Apple).

    Schermata di configurazione dell'autenticazione SSO mobile (per Apple) nella console di Workspace ONE Access

Operazioni successive

Associare il metodo di autenticazione SSO mobile (per Apple) nel provider di identità integrato.

Configurare la regola del criterio di accesso predefinito per SSO mobile (per Apple).