若要允許 iOS 裝置連線至 Workspace ONE Access 身分識別提供者,請先為 iOS 裝置設定單一登入設定檔,然後將該設定檔指派給智慧群組。該設定檔包含裝置用來連線至身分識別提供者所需的資訊,以及裝置用來進行驗證的憑證。

必要條件

  • 已在 Workspace ONE Access 中設定 iOS 版行動 SSO。
  • 已在 Workspace ONE Access 預設存取原則中設定行動 iOS 驗證。
  • 已將 iOS Kerberos 憑證授權機構檔案儲存在可從 Workspace ONE UEM 管理主控台存取的電腦中。
  • 已在 Workspace ONE UEM 中適當設定憑證授權機構和憑證範本。
  • URL 清單和 iOS 裝置上使用 iOS 版行動 SSO 驗證的應用程式服務包識別碼。

程序

  1. Workspace ONE UEM 主控台中,導覽至裝置 > 設定檔和資源 > 設定檔
  2. 選取新增 > 新增設定檔,然後選取 Apple iOS
  3. 輸入 iOSKerberos 作為名稱,然後設定一般設定。
  4. 在左側導覽窗格中,選取認證 > 設定以設定認證。
    選項 說明
    認證來源 從下拉式功能表選取定義的憑證授權機構
    憑證授權機構 從下拉式功能表中的清單選取憑證授權機構。
    憑證範本 從下拉式功能表選取參考憑證授權機構的要求範本。這是在 Workspace ONE UEM 的「新增憑證範本」中建立的憑證範本。
  5. 再按一下頁面右下角的 +,然後建立第二個認證。
  6. 認證來源下拉式功能表中選取上傳
  7. 輸入認證名稱。
  8. 按一下上傳,以上傳從 [身分識別與存取管理] > [管理] > [身分識別提供者] > [內建身分識別提供者] 頁面下載的 KDC 伺服器根憑證。
  9. 在左側導覽窗格中選取單一登入,然後按一下設定
  10. 輸入連線資訊。
    選項 說明
    帳戶名稱 輸入 Kerberos
    Kerberos 主要名稱 按一下 +,接著選取 {EnrollmentUser}

    如果您的 Active Directory 所包含的員工使用者名稱,與設定給 FirstName 和 LastName 的值相同,請在 Workspace ONE UEM Console 的 [查閱欄位] 頁面中建立自訂屬性。請參閱 為 iOS 行動 SSO Kerberos 主體名稱建立自訂查閱值

    領域

    對於雲端中的承租人部署,輸入承租人的 Workspace ONE Access 領域名稱。請確定在輸入領域名稱時,其大小寫與您承租人的領域名稱相同。

    備註: Kerberos 領域名稱區分大小寫。建議全部使用大寫字母來建立領域名稱。大小寫不同,領域名稱也不相同。例如, VMWAREIDENTITY.COMvmwareidentity.com 不是相同的領域名稱。

    針對內部部署,輸入 Workspace ONE Access 應用裝置中初始化 KDC 時使用的領域名稱。例如,EXAMPLE.COM

    更新憑證 從下拉式功能表選取 Certificate#1。這是先在認證下設定的 Active Directory CA 憑證。
    URL 首碼 輸入必須相符的 URL 首碼,以透過 HTTP 將此帳戶用於 Kerberos 驗證。

    對於雲端中的承租人部署,輸入 https://<tenant>.vmwareidentity.<region> 作為 Workspace ONE Access 伺服器 URL。

    對於內部部署,輸入 https://myco.example.com 作為 Workspace ONE Access 伺服器 URL。

    應用程式服務包識別碼 輸入允許使用此登入的應用程式身分識別清單。若要使用 iOS 內建的 Safari 瀏覽器來執行單一登入,請輸入com.apple.mobilesafari以當做第一個應用程式服務包識別碼。繼續輸入應用程式服務包識別碼。列出的應用程式必須支援 SAML 驗證。
  11. 按一下儲存並發佈

下一步

將裝置設定檔指派給智慧群組。智慧群組是可自訂的群組,可決定哪些平台、裝置和使用者會收到指派的應用程式、書籍、符合性原則、裝置設定檔或佈建。請參閱 將 Workspace ONE UEM 裝置設定檔指派給智慧群組