現在 Workspace ONE Access モバイル SSO(iOS 版)を認証に使用しているユーザーを Workspace ONE Intelligent Hub に移動して、Workspace ONE Access モバイル SSO(Apple 版)を認証に使用できます。

モバイル SSO(Apple 版)に移行するプロセスは次のとおりです。

  1. Workspace ONE Access コンソールでモバイル SSO(Apple 版)認証方法を構成します。
  2. iOS デバイスの Workspace ONE Access のデフォルトのアクセス ポリシー ルールを更新して、モバイル SSO(Apple 版)をフォールバック認証方法にします。
  3. Workspace ONE UEM MDM プロファイルを更新して、シングル サインオン プロファイルを Apple SSO 拡張機能プロファイルに置き換えます。
  4. ユーザーが、更新された MDM プロファイルがインストールされた最新の Hub アプリケーションを持っていることを確認します。ユーザーはこの時点で移行を開始できます。個々の移行のダウンタイムは通常数秒です。
  5. すべてのデバイスを移行したら、Workspace ONE Access コンソールからモバイル SSO(iOS 版)認証方法を無効にし、アクセス ポリシーを更新して、ルールからモバイル SSO(iOS 版)を削除します。

MDM プロファイルを更新して、シングル サインオン プロファイルを Apple SSO 拡張機能プロファイルに置き換えます。

Workspace ONE UEM Apple iOS デバイス プロファイルで Apple シングル サインオン拡張機能設定を有効にすると、ユーザーは、認証情報を再入力することなくアプリケーションや Web サイトにシングル サインオンできます。Apple SSO 拡張機能は、ユーザーの認証を処理します。ユーザーが Apple iOS デバイスを Workspace ONE UEM MDM に登録すると、拡張機能プロファイルがアプリケーション インストーラに追加され、証明書が Apple デバイスのローカル証明書ストアにコピーされます。その後、クライアントはシングル サインオンの証明書を使用して認証できます。

  1. Workspace ONE UEM Console で目的の組織グループを選択し、[デバイス] > [プロファイルとリソース] > [プロファイル] の順に移動します。
  2. 編集する iOS Moble SSO デバイス プロファイルを選択します。
  3. モバイル SSO(Apple 版)認証で使用できる証明書を使用してデバイス プロファイルが構成されている場合は、証明書の設定を変更する必要はありません。証明書には、SSL クライアント認証キーの使用法値 (EKU) が含まれている必要があります。これは、OID(PKI ピア認証と PKI サーバ認証)を含む拡張キー使用法 (EKU) 拡張機能です。

    デバイス プロファイルで証明書を変更する場合は、プロファイルで SCEP または認証情報証明書のいずれかを構成できます。管理対象 iOS デバイスで Workspace ONE Access モバイル SSO(Apple 版)認証を使用するように Workspace ONE UEM を構成する(クラウドのみ)を参照してください。

  4. モバイル SSO(iOS 版)構成で構成されているシングル サインオン セクションを削除します。

  5. [SSO 拡張機能] を構成して、各アプリケーションへの認証を必要とせずに Workspace ONE Intelligent Hub アプリケーションへのシングル サインオンを有効にします。

    [+追加] をクリックします。
    機能拡張タイプ [WS1 Access] を選択します。
    拡張機能識別子 この値には、Workspace ONE Access 識別子が入力されます。
    タイプ この値には、[認証情報] が入力されます。
    追加設定 - 許可済みのバンドル ID SSO 拡張機能を特定のアプリケーション バンドル ID に制限する場合は、[追加] をクリックして、アプリケーション バンドル ID を入力します。
  6. [保存して公開] を選択します。

モバイル SSO(Apple 版)認証方法の構成

Workspace ONE Access でモバイル SSO(Apple 版)認証を設定するには、Workspace ONE Access コンソールでモバイル SSO(Apple 版)証明書ベースの認証設定を構成し、Apple iOS の Workspace ONE UEM デバイス プロファイルで構成された証明書ファイルをアップロードします。次に、シングル サインオンのユーザー、ネットワーク範囲、およびモバイル SSO(Apple 版)認証方法を使用して、組み込み ID プロバイダを構成します。

Workspace ONE Access でのモバイル SSO(Apple 版)認証の構成(クラウドのみ)を参照してください。

Workspace ONE Access のデフォルトのアクセス ポリシーの更新

既存のモバイル SSO(iOS 版)のデフォルトのアクセス ポリシー ルールを編集して、フォールバック認証方法としてモバイル SSO(Apple 版)を追加します。

Workspace ONE Access でのアクセス ポリシーの仕組みについては、「Workspace ONE Access サービスでのアクセス ポリシーの管理」および「モバイル SSO(Apple 版)の Workspace ONE Access ポリシー ルールの構成(クラウドのみ)」を参照してください。

[手順]

  1. Workspace ONE Access コンソールの [リソース] > [ポリシー] ページで [デフォルト ポリシーの編集] をクリックします。
  2. [次へ] をクリックして [構成] ページを開きます。
  3. モバイル SSO(iOS 版)認証が [ユーザーは次を使用して認証することができます] 値として構成されているポリシーを編集します。[先の方法が失敗するか適用できない場合、次を実行] セクションで、フォールバック方法として [モバイル SSO(Apple 版)] を選択します。

    モバイル SSO(iOS 版)のアクセス ポリシー ルールが別の認証方法と連携するように構成されていた場合は、モバイル SSO(Apple 版)フォールバック設定で同じ認証方法を連携させます。たとえば、モバイル SSO(iOS 版)ルールにチェーン認証方法としてデバイス コンプライアンスも含まれている場合は、モバイル SSO(Apple 版)設定にデバイス コンプライアンスを追加します。

  4. [保存] をクリックします。