モバイル SSO(Apple 版)認証を設定するには、Workspace ONE Access コンソールでモバイル SSO(Apple 版)証明書ベースの認証設定を構成し、証明書ベースの認証用の発行者証明書をアップロードします。
Workspace ONE Access モバイル シングル サインオン(Apple 版)認証方法は、Workspace ONE UEM により管理される iOS デバイス (MDM) 向けの証明書による認証方法の実装です。証明書は UEM デバイス プロファイルに展開され、デバイスがデバイス管理に加入するとデバイスにインストールされます。ユーザーが社内アプリケーションやリソースにアクセスすると、証明書が自動的に表示されるため、自分のデバイスでアプリケーションを開くために認証情報を再入力する必要がなくなります。
クラウドベースの認証方法は、Workspace ONE Access コンソールの [統合] > [認証方法] ページで構成します。認証方法を構成したら、[統合] > [ID プロバイダ] ページでその認証方法を Workspace ONE Access 組み込み ID プロバイダに関連付け、[リソース] > [ポリシー] ページで認証方法に適用するアクセス ポリシー ルールを作成します。Workspace ONE UEM Console で、Apple SSO 拡張設定を使用して Apple デバイス プロファイルを構成し、Apple iOS デバイスに展開する UEM 証明書のタイプを定義します。
モバイル SSO(Apple 版)認証のすべてのコンポーネントをインストールして構成する方法については、「Workspace ONE UEM により管理される Apple モバイル デバイス向けの VMware Workspace ONE Access モバイル SSO(Apple 版)認証の実装」ガイドを参照してください。
モバイル SSO(Apple 版)の証明書認証の構成
[前提条件]
- モバイル SSO(Apple 版)認証用にアップロードする発行者証明書を保存します。Workspace ONE UEM 証明書を使用している場合は、Workspace ONE UEM Console の ページからルート証明書をエクスポートして保存します。
- (オプション)証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。
- 失効チェックのための、CRL のファイルの場所および OCSP サーバの URL。
- (オプション)OCSP 応答署名証明書ファイルの場所。
- (オプション)構成する生体認証を選択します。
- Workspace ONE Access コンソールで、[モバイル SSO (Apple 版)] を選択します。 ページに移動し、
- [構成] をクリックし、証明書認証設定を構成します。
オプション 説明 証明書アダプタを有効にする トグルを [はい] に切り替えると、証明書認証が有効になります。 ルートおよび中間 CA 証明書 アップロードされた CA 証明書
保存したルート証明書を Workspace ONE UEM Console から選択してアップロードします。 アップロードされた証明書ファイルがここに表示されます。
ユーザー ID の検索順序 証明書内のユーザー ID を特定する検索順序を選択します。 モバイル SSO(Apple 版)認証の場合、ID 属性の値は、Workspace ONE Access サービスと Workspace ONE UEM サービスの両方で同じ値にする必要があります。そうしないと、Apple SSO が失敗します。
- [upn]:サブジェクトの別名の UserPrincipalName 値。
- [email]:Subject Alternative Name のメール アドレス。
- [subject]:サブジェクトの UID 値。サブジェクト DN に UID が見つからない場合、CN テキスト ボックスが構成されている場合は、CN テスト ボックスの UID 値が使用されます。
注:- クライアント証明書の生成に Workspace ONE UEM 認証局 (CA) を使用している場合、ユーザー ID の検索順序は [UPN | サブジェクト] にする必要があります。
- サードパーティのエンタープライズ認証局 (CA) を使用している場合、ユーザー ID の検索順序は [UPN | E メール | サブジェクト] にする必要があり、また証明書テンプレートにはサブジェクト名 [CN={DeviceUid}:{EnrollmentUser}] が含まれている必要があります。必ずコロン (:) を含めるようにしてください。
UPN フォーマットを検証 トグルを [はい] に切り替えて、[UserPrincipalName] テキスト ボックスの形式を検証します。 要求のタイムアウト 応答を待機する時間を秒単位で入力します。ゼロ (0) を入力すると、システムは応答を無期限に待機します。 承認された証明書ポリシー 証明書ポリシー拡張機能で受け入れられるオブジェクト識別子のリストを作成します。 証明書発行ポリシーの objectID 番号 (OID) を入力します。[追加] をクリックして、OID を追加します。
証明書の失効を有効にする トグルを [はい] に切り替えると、証明書の失効チェックが有効になります。 失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。
証明書の CRL を使用する 証明書を発行した CA が公開する証明書失効リスト (CRL) を使用して証明書のステータス(失効しているかどうか)を確認するには、トグルを [はい] に切り替えます。 CRL の場所 証明書失効リストを取得するサーバ ファイル パスまたはローカル ファイル パスを入力します。 OCSP の失効を有効にする 証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを設定するには、トグルを [はい] に切り替えます。 OCSP の障害時に CRL を使用する CRL と OCSP の両方を設定した場合、OCSP チェック オプションが使用できない場合に CRL を使用するようにフォールバックするには、このトグルを有効にします。 OCSP Nonce を送信する 応答で OCSP 要求の一意の識別子を送信する場合は、このトグルを有効にします。 OCSP の URL OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバ アドレスを入力します。 OCSP URL のソース 失効チェックに使用するソースを選択します。 - OCSP URL のテキスト ボックスで指定した OCSP URL を使用して証明書の失効チェックを実行し、証明書チェーン全体を検証するには、[構成のみ] を選択します。
- チェーン内の各証明書の AIA (Authority Information Access) 拡張機能にある OCSP URL を使用して証明書の失効チェックを実行するには、[証明書のみ (必須)] を選択します。チェーン内のすべての証明書には OCSP URL が定義されている必要があります。定義されていない場合、証明書失効チェックは失敗します。
- 証明書の AIA 拡張機能にある OCSP URL のみを使用して証明書の失効チェックを実行するには、[証明書のみ (オプション)] を選択します。証明書の AIA 拡張機能に OCSP URL がない場合は、失効チェックを実行しません。
- OCSP URL が使用可能なときに、チェーン内の各証明書の AIA 拡張機能から抽出された OCSP URL を使用して証明書の失効チェックを実行するには、[構成へのフォールバック付き証明書] を選択します。
OCSP URL が AIA 拡張機能にない場合、フォールバックは OCSP URL テキスト ボックスで構成された OCSP URL を使用して失効を確認することです。OCSP URL のテキスト ボックスには、OCSP サーバ アドレスを設定する必要があります。
OCSP レスポンダの署名証明書 アップロードされた OCSP 署名証明書
アップロードする OCSP レスポンダ署名証明書ファイルを選択します。 アップロードされた OCSP レスポンダ署名証明書ファイルがここに表示されます。
デバイス認証タイプ モバイル SSO(Apple 版)は、デバイス上の証明書を使用して Workspace ONE Access による認証を実行する前に、生体認証メカニズム(FaceID または TouchID)またはパスコードを使用してデバイスに対してユーザーを認証することを要求する仕組みをサポートしています。ユーザーがパスコードを使用して生体認証または生体認証をバックアップとして検証する必要がある場合は、正しいオプションを選択します。それ以外の場合は、[なし] を選択します。 - [保存] をクリックします。
構成設定は、モバイル SSO(Apple 版)認証方法ページに表示されます。
次のステップ
組み込み ID プロバイダでモバイル SSO(Apple 版)認証方法を関連付けます。
モバイル SSO(Apple 版)のデフォルトのアクセス ポリシー ルールを構成します。