Чтобы применить параметры поставщика удостоверений к устройству, создайте и разверните профиль устройства Apple iOS в Workspace ONE UEM. Этот профиль содержит информацию, необходимую для подключения устройства к поставщику удостоверений VMware и сертификат, который устройство использует для проверки подлинности.

Необходимые условия

  • Встроенная система Kerberos, настроенная в VMware Workspace ONE Access.
  • Файл корневого сертификата сервера KDC для VMware Workspace ONE Access, хранящийся на компьютере, который доступен из консоли Workspace ONE UEM.
  • Сертификат, включенный и загруженный со страницы «Система» > «Интеграция предприятий» > VMware Workspace ONE Access в консоли Workspace ONE UEM.
  • Список URL-адресов и идентификаторов пакетов приложений, которые используют встроенный модуль проверки подлинности Kerberos на устройствах iOS.

Процедура

  1. В консоли Workspace ONE UEM выберите Устройства > Профили и ресурсы > Профиль > Добавить профиль и укажите Apple iOS.
  2. Настройте параметры профиля в разделе Общие и введите имя устройства iOSKerberos.
  3. В области переходов слева выберите SCEP > Настроить, чтобы настроить учетные данные.
    Параметр Описание
    Источник учетных данных Выберите в раскрывающемся меню Центр сертификации AirWatch.
    Центр сертификации Выберите в раскрывающемся меню Центр сертификации AirWatch.
    Шаблон сертификата Выберите Единый вход, чтобы задать тип сертификата, выданного центром сертификации AirWatch.
  4. Щелкните Учетные данные > Настроить и создайте второй набор учетных данных.
  5. В раскрывающемся меню Источник учетных данных выберите Загрузить на сервер.
  6. Введите имя учетных данных Kerberos для iOS.
  7. Щелкните Загрузить на сервер, чтобы передать корневой сертификат сервера KDC для VMware Identity Manager, загруженный на странице «Управление учетными данными и доступом > Управление > Поставщики удостоверений > Встроенный поставщик удостоверений».
  8. В области переходов слева выберите Единый вход.
  9. Введите сведения о подключении.
    Параметр Описание
    Имя учетной записи Введите учетные данные Kerberos.
    Имя участника Kerberos Щелкните + и выберите{EnrollmentUser}.
    Область

    Для развертываний арендатора в облаке введите имя области VMware Identity Manager для арендатора. Текст в этом параметре должен быть написан с заглавной буквы. Например, VMWAREIDENTITY.COM.

    Для локальных развертываний введите имя области, которая использовалась при инициализации KDC на компьютере VMware Identity Manager. Например, EXAMPLE.COM.

    Сертификат продления

    На устройствах с iOS 8+ выберите сертификат, используемый для автоматической повторной проверки подлинности пользователя без его участия по истечении срока действия сеанса единого входа.

    Префиксы URL-адресов Введите соответствующие префиксы URL-адресов, чтобы использовать эту учетную запись для проверки подлинности Kerberos через HTTP.

    Для развертываний арендатора в облаке введите URL-адрес сервера VMware Workspace ONE Access в формате https://<арендатор>.vmwareidentity.<область>.

    В локальных развертываниях введите URL-адрес сервера VMware Workspace ONE Access, например, https://myco.example.com.

    Приложения Введите список удостоверений приложений, которые разрешено использовать для такого входа. Для выполнения единого входа в систему с помощью Safari (встроенного браузера iOS) введите первый идентификатор пакета приложения com.apple.mobilesafari. Для добавления других приложений продолжайте вводить идентификаторы пакетов или выбирать идентификаторы пакетов в раскрывающемся меню. Идентификатор пакета появляется в раскрывающемся меню после загрузки приложения в консоль UEM. Пример: com.air-watch.secure.browser. Перечисленные приложения должны поддерживать проверку подлинности SAML.
  10. Щелкните Сохранить и опубликовать.

Результаты

Когда профиль iOS будет передан на устройства пользователей, они смогут входить в VMware Workspace ONE Access с помощью встроенного механизма проверки подлинности Kerberos без ввода учетных данных.

Дальнейшие действия

Назначьте профиль устройства смарт-группе. Смарт-группы — это настраиваемые группы, определяющие устройства, платформы и пользователей, которые могут получить назначенное приложение, книгу, политику соответствия, профиль устройства или подготовку. См. раздел Назначение профиля устройства Workspace ONE UEM смарт-группам.