Чтобы устройства с iOS могли подключаться к поставщику удостоверений Workspace ONE Access, сначала настройте профиль единого входа для устройств с iOS, а затем назначьте профиль смарт-группе. Этот профиль содержит информацию, необходимую для подключения устройства к поставщику удостоверений, и сертификат, который устройство использовало для проверки подлинности.

Необходимые условия

  • Единый вход для мобильных устройств с iOS настраивается в Workspace ONE Access.
  • Проверка подлинности для мобильных устройств с iOS, настроенная в политике доступа Workspace ONE Access по умолчанию.
  • Файл центра сертификации Kerberos для iOS хранится на компьютере, доступ к которому можно получить из консоли администрирования Workspace ONE UEM.
  • В Workspace ONE UEM правильно настроен центр сертификации и шаблон сертификата.
  • Список URL-адресов и идентификаторов пакетов приложений, которые используют единый вход для проверки подлинности на мобильных устройствах с iOS.

Процедура

  1. В консоли Workspace ONE UEM выберите Устройства > Профили и ресурсы > Профили.
  2. Выберите Добавить > Добавить профиль, а затем выберите Apple iOS.
  3. Введите имя iOSKerberos и настройте параметры в разделе Общие.
  4. В области переходов слева выберите Учетные данные > Настроить, чтобы настроить учетные данные.
    Параметр Описание
    Источник учетных данных Выберите в раскрывающемся меню Определенный центр сертификации.
    Центр сертификации Выберите в раскрывающемся меню центр сертификации.
    Шаблон сертификата Выберите в раскрывающемся меню шаблон запроса, который ссылается на центр сертификации. Этот шаблон сертификата создается в дополнение к шаблону сертификата в Workspace ONE UEM.
  5. Щелкните + в правом нижнем углу страницы снова и создайте второй набор учетных данных.
  6. В раскрывающемся меню Источник учетных данных выберите Загрузить на сервер.
  7. Введите имя учетных данных.
  8. Нажмите Загрузить, чтобы загрузить корневой сертификат сервера KDC, загруженный со страницы Интеграции > Поставщики удостоверений > Встроенный IDP.
  9. В области переходов слева выберите Единый вход и нажмите кнопку Настроить.
  10. Введите сведения о подключении.
    Параметр Описание
    Имя учетной записи Введите учетные данные Kerberos.
    Имя участника Kerberos Щелкните + и выберите{EnrollmentUser}.

    Если Active Directory включает в себя имена пользователей, которые настроены с одинаковым значением для FirstName и LastName, создайте настраиваемый атрибут на странице полей поиска в консоли Workspace ONE UEM. См. Создание настраиваемого значения подстановки для имени субъекта Kerberos для единого входа с мобильных устройств с iOS.
    Область

    Для развертываний арендатора в облаке введите имя области Workspace ONE Access для арендатора. Убедитесь, что имя области введено в том же регистре, что и имя области для арендатора.

    Примечание: В именах областей Kerberos учитывается регистр. При создании имен областей рекомендуется использовать буквы в верхнем регистре. Имена областей, которые отличаются регистром букв, не считаются одинаковыми. Например, имя WORKSPACEONEACCESS.COM отличается от имени области workspaceoneaccess.com.

    Для локальных развертываний введите имя области, которая использовалось при инициализации KDC на устройстве Workspace ONE Access. Например, EXAMPLE.COM

    Сертификат продления В раскрывающемся меню выберите пункт Сертификат № 1. Это сертификат ЦС Active Directory, который был настроен первым согласно учетным данным.
    Префиксы URL-адресов Введите соответствующие префиксы URL-адресов, чтобы использовать эту учетную запись для проверки подлинности Kerberos через HTTP.

    Для развертываний арендатора в облаке введите URL-адрес сервера Workspace ONE Access в формате https://<tenant>.workspaceoneaccess.<region>.

    В локальных развертываниях введите URL-адрес сервера Workspace ONE Access в формате https://myco.example.com.

    Идентификатор пакета приложений Введите список удостоверений приложений, которые разрешено использовать для такого входа. Для выполнения единого входа в систему с помощью Safari (встроенного браузера iOS) введите первый идентификатор пакета приложения в следующем формате: com.apple.mobilesafari. Затем введите идентификаторы пакетов приложений. Перечисленные приложения должны поддерживать проверку подлинности SAML.
  11. Щелкните Сохранить и опубликовать.

Дальнейшие действия

Назначьте профиль устройства смарт-группе. Смарт-группы — это настраиваемые группы, определяющие устройства, платформы и пользователей, которые могут получить назначенное приложение, книгу, политику соответствия, профиль устройства или подготовку. См. Назначение профиля устройства Workspace ONE UEM смарт-группам.