ID プロバイダ設定をデバイスにプッシュするには、Workspace ONE UEM で Apple iOS デバイス プロファイルを作成して展開します。このプロファイル設定には、デバイスを Workspace ONE Access サービスに接続するために必要な情報と、デバイスが認証に使用する証明書が含まれます。

iOS デバイスが Workspace ONE Access ID プロバイダに接続できるようにするには、最初に Workspace ONE UEM を使用して Apple iOS デバイス プロファイルを作成して展開し、次にそのプロファイルをスマート グループに割り当てます。

前提条件

  • Workspace ONE Access で構成されている組み込みの Kerberos。
  • Workspace ONE Access デフォルトのアクセス ポリシーで構成された Mobile iOS 認証ルール。
  • Workspace ONE UEM コンソールからアクセス可能なコンピュータに保存された Workspace ONE Access KDC サーバのルート証明書ファイル。
  • 有効になっており、Workspace ONE UEM コンソールの [システム] > [エンタープライズ統合] > [Workspace ONE Access] ページからダウンロードした証明書。
  • iOS デバイスの組み込みの Kerberos 認証を使用する URL とアプリケーション バンドル ID のリスト。

手順

  1. Workspace ONE UEM コンソールで、[デバイス] > [プロファイルとリソース] > [プロファイル] > [プロファイルの追加] の順に移動し、[Apple iOS] を選択します。
  2. プロファイルの [全般] 設定を構成し、デバイスの名前として iOSKerberos と入力します。
  3. 左側のナビゲーション ペインで、[SCEP] > [構成] の順に選択して認証情報を構成します。
    オプション 説明
    認証情報ソース ドロップダウン メニューから [Workspace ONE UEM 認証局] を選択します。
    認証局 ドロップダウン メニューから [Workspace ONE UEM 認証局] を選択します。
    証明書テンプレート [シングル サインオン] を選択して、Workspace ONE UEM 認証局が発行する証明書のタイプを設定します。
  4. [資格情報] > [構成] をクリックして、2 番目の証明書を作成します。
  5. [資格情報ソース] ドロップダウン メニューで、[アップロード] を選択します。
  6. iOS Kerberos 認証情報名を入力します。
  7. [アップロード] をクリックして、[統合] > [ID プロバイダ] > [組み込み ID プロバイダ] ページからダウンロードした Workspace ONE Access KDC サーバのルート証明書をアップロードします。
  8. 左側のナビゲーション ペインで、[シングル サインオン] を選択します。
  9. 接続情報を入力します。
    オプション 説明
    アカウント名 Kerberos と入力します。
    Kerberos プリンシパル名 [+] をクリックして [{EnrollmentUser}] を選択します。
    レルム

    テナントをクラウドに展開する場合、テナントに Workspace ONE Access レルム名を入力します。このパラメータのテキストは大文字にする必要があります。例:WORKSPACEONEACCESS.COM

    オンプレミス展開では、Workspace ONE Access マシンで KDC を初期化したときに使用したレルム名を入力します。例:EXAMPLE.COM

    更新証明書

    iOS 8 以降のデバイスでは、ユーザーのシングル サインオン セッションの有効期限が切れた場合に、ユーザーの操作を必要とせずに、ユーザーを自動的に再認証するために使用する証明書を選択します。

    URL プレフィックス このアカウントを使用するために、HTTP 経由の Kerberos 認証用に一致する必要のある URL プリフィックスを入力します。

    クラウドにテナントを展開する場合、Workspace ONE Access サーバ URL を https://<tenant>.workspaceoneaccess のように入力します。<region>

    オンプレミス展開では、Workspace ONE Access サーバ URL を https://myco.example.com のように入力します。

    アプリケーション このログインで使用を許可する一連のアプリケーション ID を入力します。iOS の組み込みの Safari ブラウザを使用してシングル サインオンを実行するには、com.apple.mobilesafari のように最初のアプリケーション バンドル ID を入力します。その後続けてアプリケーション バンドル ID を入力します。これらのアプリケーションは、SAML 認証をサポートしている必要があります。
  10. [保存して公開] をクリックします。

結果

iOS プロファイルがユーザーのデバイスに正常にプッシュされたら、ユーザーは組み込みの Kerberos 認証方法を使用して、認証情報を入力することなく Workspace ONE Access にログインできます。

次のタスク

スマート グループにデバイス プロファイルを割り当てます。スマート グループは、どのプラットフォーム デバイス、およびユーザーが割り当てられたアプリケーション、ブック、遵守ポリシー、デバイス プロファイル、またはプロビジョニングを受信するかを決定するカスタマイズ可能なグループです。スマート グループへの Workspace ONE UEM デバイス プロファイルの割り当て を参照してください。