ID プロバイダの設定をデバイスにプッシュするため、Workspace ONE UEM で Apple iOS デバイス プロファイルを作成して展開します。このプロファイルには、デバイスを VMware の ID プロバイダに接続するために必要な情報と、デバイスが認証に使用する証明書が含まれます。

前提条件

  • VMware Workspace ONE Access で構成されている組み込みの Kerberos。
  • Workspace ONE UEM コンソールからアクセス可能なコンピュータに保存された VMware Workspace ONE Access KDC サーバのルート証明書ファイル。
  • 有効になっており、Workspace ONE UEM コンソールの [システム] > [エンタープライズ統合] > [VMware Workspace ONE Access] ページからダウンロードした証明書。
  • iOS デバイスの組み込みの Kerberos 認証を使用する URL とアプリケーション バンドル ID のリスト。

手順

  1. Workspace ONE UEM コンソールで、[デバイス] > [プロファイルとリソース] > [プロファイル] > [プロファイルの追加] の順に移動し、[Apple iOS] を選択します。
  2. プロファイルの [全般] 設定を構成し、デバイスの名前として iOSKerberos と入力します。
  3. 左側のナビゲーション ペインで、[SCEP] > [構成] の順に選択して認証情報を構成します。
    オプション 説明
    認証情報ソース ドロップダウン メニューから [AirWatch 認証局] を選択します。
    認証局 ドロップダウン メニューから [AirWatch 認証局] を選択します。
    証明書テンプレート [シングル サインオン] を選択して、AirWatch 認証局が発行する証明書のタイプを設定します。
  4. [資格情報] > [構成] をクリックして、2 番目の証明書を作成します。
  5. [資格情報ソース] ドロップダウン メニューで、[アップロード] を選択します。
  6. iOS Kerberos 認証情報名を入力します。
  7. [アップロード] をクリックして、[ID とアクセス管理] > [管理] > [ID プロバイダ] > [組み込みの ID プロバイダ] ページからダウンロードされた VMware Identity Manager KDC サーバ ルート証明書をアップロードします。
  8. 左側のナビゲーション ペインで、[シングル サインオン] を選択します。
  9. 接続情報を入力します。
    オプション 説明
    アカウント名 Kerberos と入力します。
    Kerberos プリンシパル名 [+] をクリックして [{EnrollmentUser}] を選択します。
    レルム

    テナントをクラウドに展開する場合、テナントに VMware Identity Manager レルム名を入力します。このパラメータのテキストは大文字で記入する必要があります。たとえば、VMWAREIDENTITY.COM のように記入します。

    オンプレミス展開では、VMware Identity Manager マシンで KDC を初期化したときに使用したレルム名を入力します。例:EXAMPLE.COM

    更新証明書

    iOS 8 以降のデバイスでは、ユーザーのシングル サインオン セッションの有効期限が切れた場合に、ユーザーの操作を必要とせずに、ユーザーを自動的に再認証するために使用する証明書を選択します。

    URL プレフィックス このアカウントを使用するために、HTTP 経由の Kerberos 認証用に一致する必要のある URL プリフィックスを入力します。

    クラウドにテナントを展開する場合、VMware Workspace ONE Access サーバ URL を https://<tenant>.vmwareidentity のように入力します。<region>

    オンプレミス展開では、VMware Workspace ONE Access サーバ URL を https://myco.example.com のように入力します。

    アプリケーション このログインで使用を許可する一連のアプリケーション ID を入力します。iOS の組み込みの Safari ブラウザを使用してシングル サインオンを実行するには、com.apple.mobilesafari のように最初のアプリケーション バンドル ID を入力します。アプリケーションを追加するには、引き続きバンドル ID を入力するか、ドロップダウン メニューからバンドル ID を選択します。バンドル ID は、アプリケーションが UEM コンソールにアップロードされた後に、ドロップダウン メニューに表示されます。たとえば、com.air-watch.secure.browser などです。これらのアプリケーションは、SAML 認証をサポートしている必要があります。
  10. [保存して公開] をクリックします。

結果

iOS プロファイルがユーザーのデバイスに正常にプッシュされたら、ユーザーは組み込みの Kerberos 認証方法を使用して、認証情報を入力することなく VMware Workspace ONE Access にログインできます。

次のタスク

スマート グループにデバイス プロファイルを割り当てます。スマート グループは、どのプラットフォーム デバイス、およびユーザーが割り当てられたアプリケーション、ブック、遵守ポリシー、デバイス プロファイル、またはプロビジョニングを受信するかを決定するカスタマイズ可能なグループです。スマート グループへの Workspace ONE UEM デバイス プロファイルの割り当て を参照してください。