iOS デバイスが Workspace ONE Access ID プロバイダに接続できるようにするには、まず iOS デバイスのシングル サインオン プロファイルを構成してから、そのプロファイルをスマート グループに割り当てます。このプロファイルには、デバイスを ID プロバイダに接続するために必要な情報と、デバイスが認証に使用する証明書が含まれます。

前提条件

  • Workspace ONE Access で構成されている iOS 版モバイル SSO。
  • Workspace ONE Access デフォルトのアクセス ポリシーで構成されたモバイル iOS 認証。
  • Workspace ONE UEM 管理者コンソールからアクセス可能なコンピュータに格納された、iOS Kerberos の認証局ファイル。
  • Workspace ONE UEM で適切に構成されている認証局と証明書テンプレート。
  • iOS デバイスの iOS 版モバイル SSO 認証を使用する URL とアプリケーション バンドル ID のリスト。

手順

  1. Workspace ONE UEM コンソールで、[デバイス] > [プロファイルとリソース] > [プロファイル] の順に移動します。
  2. [追加] > [プロファイルの追加] を選択し、[Apple iOS] を選択します。
  3. iOSKerberos という名前を入力して、[全般] の設定を構成します。
  4. 左側のナビゲーション ペインで、[資格情報] > [構成] の順に選択して認証情報を構成します。
    オプション 説明
    認証情報ソース ドロップダウン メニューから [定義済み認証局] を選択します。
    認証局 ドロップダウン メニューのリストから認証局を選択します。
    証明書テンプレート ドロップダウン メニューから、認証局を参照する要求テンプレートを選択します。これは、Workspace ONE UEM の「証明書テンプレートの追加」で作成された証明書テンプレートです。
  5. ページの右下隅にある [+] をもう一度クリックし、2 つ目の認証情報を作成します。
  6. [資格情報ソース] ドロップダウン メニューで、[アップロード] を選択します。
  7. 認証情報名を入力します。
  8. [アップロード] をクリックして、[ID とアクセス管理] > [管理] > [ID プロバイダ] > [組み込みの ID プロバイダ] ページからダウンロードされた KDC サーバ ルート証明書をアップロードします。
  9. 左側のナビゲーション ペインで、[シングル サインオン] を選択して、[構成] をクリックします。
  10. 接続情報を入力します。
    オプション 説明
    アカウント名 Kerberos と入力します。
    Kerberos プリンシパル名 [+] をクリックして [{EnrollmentUser}] を選択します。

    Active Directory で、FirstName と LastName に同じ値が設定されている従業員ユーザー名が含まれている場合は、Workspace ONE UEM コンソールの [参照フィールド] ページでカスタム属性を作成します。iOS モバイル SSO Kerberos プリンシパル名のカスタム参照値の作成を参照してください。

    レルム

    テナントをクラウドに展開する場合、テナントに Workspace ONE Access レルム名を入力します。テナントのレルム名と大文字と小文字の表記が同じであるレルム名を入力します。

    注: Kerberos レルム名では大文字と小文字が区別されます。推奨される形式は、すべて大文字のレルム名を作成することです。大文字と小文字の表記が異なるレルム名は同一ではありません。たとえば、 VMWAREIDENTITY.COMvmwareidentity.com と同じレルム名ではありません。

    オンプレミス展開では、Workspace ONE Access アプライアンスで KDC を初期化したときに使用したレルム名を入力します。たとえば、EXAMPLE.COM です。

    更新証明書 ドロップダウン メニューから [証明書 #1] を選択します。これは認証情報で最初に構成された Active Directory CA 証明書です。
    URL プレフィックス このアカウントを使用するために、HTTP 経由の Kerberos 認証用に一致する必要のある URL プリフィックスを入力します。

    クラウドにテナントを展開する場合、Workspace ONE Access サーバ URL を https://<tenant>.vmwareidentity.<region> のように入力します。

    ンプレミス展開では、Workspace ONE Access サーバ URL を https://myco.example.com のように入力します。

    アプリケーション バンドル ID このサインオンで使用を許可する一連のアプリケーション ID を入力します。iOS の組み込みの Safari ブラウザを使用してシングル サインオンを実行するには、com.apple.mobilesafariのように最初のアプリケーション バンドル ID を入力します。その後続けてアプリケーション バンドル ID を入力します。これらのアプリケーションは、SAML 認証をサポートしている必要があります。
  11. [保存して公開] をクリックします。

次のタスク

スマート グループにデバイス プロファイルを割り当てます。スマート グループは、どのプラットフォーム デバイス、およびユーザーが割り当てられたアプリケーション、ブック、遵守ポリシー、デバイス プロファイル、またはプロビジョニングを受信するかを決定するカスタマイズ可能なグループです。スマート グループへの Workspace ONE UEM デバイス プロファイルの割り当てを参照してください。