Чтобы отправить настройки поставщика удостоверений на устройство, создайте профиль устройства с Apple iOS в Workspace ONE UEM и разверните его. Настройки профиля содержат информацию, необходимую для подключения устройства к службе Workspace ONE Access, и сертификат, который устройство использовало для проверки подлинности.

Чтобы устройства с iOS могли подключаться к поставщику удостоверений Workspace ONE Access, сначала используйте Workspace ONE UEM для создания и развертывания профиля устройства с Apple iOS, а затем назначьте профиль смарт-группе.

Необходимые условия

  • Встроенная система Kerberos, настроенная в Workspace ONE Access.
  • Правило проверки подлинности для мобильных устройств с iOS, настроенное в политике доступа Workspace ONE Access по умолчанию.
  • Файл корневого сертификата сервера KDC для Workspace ONE Access, хранящийся на компьютере, который доступен из консоли Workspace ONE UEM.
  • Сертификат, включенный и загруженный со страницы «Система» > «Интеграция предприятий» > Workspace ONE Access в консоли Workspace ONE UEM.
  • Список URL-адресов и идентификаторов пакетов приложений, которые используют встроенный модуль проверки подлинности Kerberos на устройствах iOS.

Процедура

  1. В консоли Workspace ONE UEM выберите Устройства > Профили и ресурсы > Профиль > Добавить профиль и выберите Apple iOS.
  2. Настройте параметры профиля в разделе Общие и введите имя устройства iOSKerberos.
  3. В области переходов слева выберите SCEP > Настроить, чтобы настроить учетные данные.
    Параметр Описание
    Источник учетных данных В раскрывающемся меню выберите Центр сертификации Workspace ONE UEM.
    Центр сертификации В раскрывающемся меню выберите Центр сертификации Workspace ONE UEM.
    Шаблон сертификата Выберите Единый вход, чтобы задать тип сертификата, выдаваемого центром сертификации Workspace ONE UEM.
  4. Щелкните Учетные данные > Настроить и создайте второй набор учетных данных.
  5. В раскрывающемся меню Источник учетных данных выберите Загрузить на сервер.
  6. Введите имя учетных данных Kerberos для iOS.
  7. Нажмите Загрузить, чтобы загрузить корневой сертификат сервера KDC Workspace ONE Access, загруженный со страницы Интеграции > Поставщики удостоверений > Встроенный IDP.
  8. В области переходов слева выберите Единый вход.
  9. Введите сведения о подключении.
    Параметр Описание
    Имя учетной записи Введите учетные данные Kerberos.
    Имя участника Kerberos Щелкните + и выберите{EnrollmentUser}.
    Область

    Для развертываний арендатора в облаке введите имя области Workspace ONE Access для арендатора. Убедитесь, что в этом параметре текст набран прописными буквами. Например, WORKSPACEONEACCESS.COM.

    Для локальных развертываний введите имя области, которая использовалась при инициализации KDC на компьютере Workspace ONE Access. Например, EXAMPLE.COM.

    Сертификат продления

    На устройствах с iOS 8+ выберите сертификат, используемый для автоматической повторной проверки подлинности пользователя без его участия по истечении срока действия сеанса единого входа.

    Префиксы URL-адресов Введите соответствующие префиксы URL-адресов, чтобы использовать эту учетную запись для проверки подлинности Kerberos через HTTP.

    Для развертываний арендатора в облаке введите URL-адрес сервера Workspace ONE Access в формате https://<арендатор>.workspaceoneaccess.<область>.

    В локальных развертываниях введите URL-адрес сервера Workspace ONE Access, например, https://myco.example.com.

    Приложения Введите список удостоверений приложений, которые разрешено использовать для такого входа. Для выполнения единого входа в систему с помощью Safari (встроенного браузера iOS) введите первый идентификатор пакета приложения com.apple.mobilesafari. Затем введите идентификаторы пакетов приложений. Перечисленные приложения должны поддерживать проверку подлинности SAML.
  10. Щелкните Сохранить и опубликовать.

Результаты

Когда профиль iOS будет передан на устройства пользователей, они смогут входить в Workspace ONE Access с помощью встроенного механизма проверки подлинности Kerberos без ввода учетных данных.

Дальнейшие действия

Назначьте профиль устройства смарт-группе. Смарт-группы — это настраиваемые группы, определяющие устройства, платформы и пользователей, которые могут получить назначенное приложение, книгу, политику соответствия, профиль устройства или подготовку. См. Назначение профиля устройства Workspace ONE UEM смарт-группам.