Als u iOS-apparaten toestemming wilt geven om verbinding te maken met de Workspace ONE Access-identiteitsprovider, configureert u eerst het Single Sign-On-profiel voor iOS-apparaten en wijst u vervolgens het profiel toe aan een smart group. Dit profiel bevat de informatie die het apparaat nodig heeft om verbinding te maken met de identiteitsprovider, evenals het certificaat dat het apparaat heeft gebruikt voor verificatie.

Voorwaarden

  • Mobiele SSO voor iOS wordt geconfigureerd in Workspace ONE Access.
  • Mobiele iOS-verificatie geconfigureerd in het standaardtoegangsbeleid van Workspace ONE Access.
  • iOS Kerberos-certificaatautoriteitbestand is opgeslagen op een computer die toegankelijk is via de Workspace ONE UEM-beheerconsole.
  • Uw certificaatautoriteit en de certificaatsjabloon zijn goed geconfigureerd in Workspace ONE UEM.
  • Lijst met URL's en id's van de applicatiesbundel die Mobiele SSO gebruiken voor iOS-verificatie op iOS-apparaten.

Procedure

  1. Ga in de Workspace ONE UEM Console naar Toestellen > Profielen en resources > Profielen.
  2. Selecteer Toevoegen > Profiel toevoegen en selecteer vervolgens Apple iOS.
  3. Voer de naam in als iOSKerberos en configureer de instellingen Algemeen.
  4. Selecteer in het linkernavigatievenster Verificatiegegevens > Configureren om de verificatiegegevens te configureren.
    Optie Beschrijving
    Bron verificatiegegevens Selecteer Gedefinieerde certificaatautoriteit in het vervolgkeuzemenu.
    Certificaatautoriteit Selecteer de certificaatautoriteit in de lijst in het vervolgkeuzemenu.
    Certificaatsjabloon Selecteer in het vervolgkeuzemenu de verzoeksjabloon die verwijst naar de certificaatautoriteit. Dit is de certificaatsjabloon die is gemaakt in Certificaatsjabloon in Workspace ONE UEM toevoegen.
  5. Klik op + in de hoek rechtsonder op de pagina en maak een tweede verificatiegegeven aan.
  6. Selecteer Uploaden in het vervolgkeuzemenu Bron verificatiegegevens.
  7. Voer een naam voor de verificatiegegevens in.
  8. Klik op Uploaden om het rootcertificaat van de KDC-server te uploaden dat is gedownload van de pagina Integraties > Identiteitsproviders > Ingebouwde IDP.
  9. Selecteer in het linker navigatiedeelvenster Single Sign-On en klik op Configureren.
  10. Voer de verbindingsinformatie in.
    Optie Beschrijving
    Accountnaam Voer Kerberos in.
    Primaire naam Kerberos Klik op + en selecteer {Registratie gebruiker}.

    Als uw Active Directory gebruikersnamen van medewerkers bevat die zijn geconfigureerd met dezelfde waarde voor FirstName en LastName, maakt u een aangepast kenmerk op de pagina Opzoekvelden in de Workspace ONE UEM Console. Zie Aangepaste opzoekwaarde maken voor Kerberos Principal-naam voor Mobiele SSO voor iOS.

    Realm

    Voor implementaties van de tenant in de cloud voert u de realmnaam voor Workspace ONE Access voor uw tenant in. Zorg ervoor dat u de realmnaam met hetzelfde hoofdlettergebruik invoert als de realmnaam voor uw tenant.

    Opmerking: Namen van Kerberos-realms zijn hoofdlettergevoelig. De aanbevolen indeling is om realmnamen met alleen hoofdletters te maken. Realmnamen met een verschillend hoofdlettergebruik komen niet overeen. WORKSPACEONEACCESS.COM is bijvoorbeeld niet dezelfde realmnaam als workspaceoneaccess.com.

    Voor implementaties op locatie voert u de realmnaam in die u heeft gebruikt toen u KDC in de Workspace ONE Access-appliance heeft geïnitialiseerd. Bijvoorbeeld: EXAMPLE.COM.

    Certificaat vernieuwen Selecteer Certificaat #1 in het vervolgkeuzemenu. Dit is het CA-certificaat voor Active Directory dat oorspronkelijk is geconfigureerd met de verificatiegegevens.
    URL-voorvoegsels Voer de voorvoegsels van de URL in die overeen moeten komen om dit account te gebruiken voor Kerberos-verificatie over HTTP.

    Voor implementaties van de tenant in de cloud voert u de URL van de Workspace ONE Access-server in als https://<tenant>.workspaceoneaccess.<region>.

    Voor implementaties op locatie voert u de URL van de Workspace ONE Access-server in als https://myco.example.com.

    Applicatiebundel-ID Voer de lijst in met applicatiesidentiteiten die deze sign-on mogen gebruiken. Voer de eerste id van de applicatiesbundel in als com.apple.mobilesafari om Single Sign-On uit te voeren met een iOS ingebouwde Safari-browser. Ga door met het invoeren van id's voor de applicatiesbundel. De opgegeven applicaties moeten SAML-verificatie ondersteunen.
  11. Klik op Opslaan en publiceren.

Volgende stappen

Wijs het apparaatprofiel toe aan een slimme groep. Slimme groepen zijn aanpasbare groepen die bepalen voor welke platforms, apparaten en gebruikers toegewezen applicaties, boeken, compliancebeleid, apparaatprofielen of inrichtingen beschikbaar komen. Zie Een Workspace ONE UEM-apparaatprofiel toewijzen aan smart groups.