iOS 디바이스가 Workspace ONE Access ID 제공자에 연결되도록 허용하려면 먼저 iOS 디바이스를 위한 Single Sign-On 프로파일을 구성한 다음 프로파일을 스마트 그룹에 할당합니다. 이 프로파일에는 디바이스가 ID 제공자에 연결하는 데 필요한 정보와 디바이스가 인증하는 데 사용하는 인증서가 포함되어 있습니다.

사전 요구 사항

  • iOS용 모바일 SSO는 Workspace ONE Access에서 구성됩니다.
  • 모바일 iOS 인증은 Workspace ONE Access 기본 액세스 정책에서 구성됩니다.
  • iOS Kerberos 인증 기관 파일이 Workspace ONE UEM 관리 콘솔에서 액세스할 수 있는 컴퓨터에 저장되어 있습니다.
  • 사용자의 인증 기관 및 인증서 템플릿이 Workspace ONE UEM에 제대로 구성되어 있습니다.
  • iOS 디바이스에서 iOS용 모바일 SSO 인증을 사용하는 URL 및 애플리케이션 번들 ID 목록.

프로시저

  1. Workspace ONE UEM 콘솔에서 디바이스 > 프로파일 및 리소스 > 프로파일로 이동합니다.
  2. 추가 > 프로파일 추가를 선택하고 Apple iOS를 선택합니다.
  3. 이름으로 iOSKerberos를 입력하고 일반 설정을 구성합니다.
  4. 왼쪽 탐색 창에서 자격 증명 > 구성을 선택하여 자격 증명을 구성합니다.
    옵션 설명
    자격 증명 소스 드롭다운 메뉴에서 정의된 인증서 기관을 선택합니다.
    CA(인증 기관) 드롭다운 메뉴의 목록에서 인증 기관을 선택합니다.
    인증서 템플릿 드롭다운 메뉴에서 인증 기관을 참조하는 요청 템플릿을 선택합니다. 이는 Workspace ONE UEM의 [인증서 템플릿 추가]에서 만들어진 인증서 템플릿입니다.
  5. 페이지 오른쪽 아래 모서리의 +를 다시 클릭하고 두 번째 자격 증명을 만듭니다.
  6. 자격 증명 소스 드롭다운 메뉴에서 업로드를 선택합니다.
  7. 자격 증명 이름을 입력합니다.
  8. 업로드를 클릭하여 통합 > ID 제공자 > 기본 제공 IDP 페이지에서 다운로드한 KDC 서버 루트 인증서를 업로드합니다.
  9. 왼쪽 탐색 창에서 Single Sign-On을 선택하고 구성을 클릭합니다.
  10. 연결 정보를 입력합니다.
    옵션 설명
    계정 이름 Kerberos를 입력합니다.
    Kerberos 계정 이름 +를 클릭하고 {EnrollmentUser}를 선택합니다.

    Active Directory에 FirstName 및 LastName에 대해 동일한 값으로 구성된 직원 사용자 이름이 포함된 경우 Workspace ONE UEM Console [조회 필드] 페이지에서 사용자 지정 특성을 생성합니다. iOS 모바일 SSO Kerberos 주체 이름에 대한 사용자 지정 조회 값 생성의 내용을 참조하십시오.
    영역

    클라우드에 있는 테넌트 배포의 경우 테넌트에 대한 Workspace ONE Access 영역 이름을 입력합니다. 영역 이름을 테넌트의 영역 이름과 동일한 대/소문자로 입력해야 합니다.

    참고: Kerberos 영역 이름은 대/소문자를 구분합니다. 권장 형식은 영역 이름을 모두 대문자로 생성하는 것입니다. 대/소문자가 다른 영역 이름은 동일하지 않습니다. 예를 들어, WORKSPACEONEACCESS.COMworkspaceoneaccess.com과 동일한 영역 이름이 아닙니다.

    온-프레미스 배포의 경우 Workspace ONE Access 장치에서 KDC를 초기화할 때 사용한 영역 이름을 입력합니다. 예: EXAMPLE.COM

    갱신 인증서 드롭다운 메뉴에서 Certificate#1을 선택합니다. 이는 처음에 자격 증명에서 구성된 Active Directory CA 인증서입니다.
    URL 접두사 HTTP를 통한 Kerberos 인증에 이 계정을 사용하기 위해 일치해야 하는 URL 접두사를 입력합니다.

    클라우드에 있는 테넌트 배포의 경우 Workspace ONE Access 서버 URL을 https://<tenant>.workspaceoneaccess.<region>으로 입력합니다.

    온-프레미스 배포의 경우 Workspace ONE Access 서버 URL을 https://myco.example.com으로 입력합니다.

    애플리케이션 번들 ID 이 로그온을 사용하도록 허용되는 애플리케이션 ID 목록을 입력합니다. iOS 기본 제공 Safari 브라우저를 사용하여 Single Sign-On을 수행하려면 첫 번째 애플리케이션 번들 ID를 com.apple.mobilesafari로 입력합니다. 애플리케이션 번들 ID를 계속 입력합니다. 나열된 애플리케이션은 SAML 인증을 지원해야 합니다.
  11. 저장 및 게시를 클릭합니다.

다음에 수행할 작업

스마트 그룹에 디바이스 프로파일을 할당합니다. 스마트 그룹은 할당된 애플리케이션, 책, 준수 정책, 디바이스 프로파일 또는 프로비전을 수신하는 플랫폼, 디바이스 및 사용자를 결정하는 사용자 지정 가능 그룹입니다. 스마트 그룹에 Workspace ONE UEM 디바이스 프로파일 할당의 내용을 참조하십시오.