若要將身分識別提供者設定推送至裝置,請在 Workspace ONE UEM 中建立並部署 Apple iOS 裝置設定檔。此設定檔設定包含裝置連線至 Workspace ONE Access 服務所需的資訊,以及裝置用於進行驗證的憑證。

若要允許 iOS 裝置連線至 Workspace ONE Access 身分識別提供者,請先使用 Workspace ONE UEM 建立並部署 Apple iOS 裝置設定檔,然後將該設定檔指派給智慧群組。

必要條件

  • 已在 Workspace ONE Access 中設定內建 Kerberos
  • 已在 Workspace ONE Access 預設存取原則中設定行動 iOS 驗證規則。
  • 已將 Workspace ONE Access KDC 伺服器根憑證檔案儲存在可從 Workspace ONE UEM 主控台存取的電腦中。
  • 已從 Workspace ONE UEM 主控台的 [系統] > [企業整合] > [Workspace ONE Access] 頁面啟用及下載憑證。
  • URL 清單和 iOS 裝置上使用內建 Kerberos 驗證的應用程式服務包識別碼。

程序

  1. Workspace ONE UEM 主控台中,導覽至裝置 > 設定檔和資源 > 設定檔 > 新增設定檔,然後選取 Apple iOS
  2. 進行設定檔的一般設定,再輸入 iOSKerberos 以做為裝置名稱。
  3. 在左側導覽窗格中,選取 SCEP > 設定以設定認證。
    選項 說明
    認證來源 從下拉式功能表中選取 Workspace ONE UEM 憑證授權機構
    憑證授權機構 從下拉式功能表中選取 Workspace ONE UEM 憑證授權機構
    憑證範本 選取單一登入,以設定 Workspace ONE UEM 憑證授權機構發出的憑證類型。
  4. 按一下認證 > 設定,然後建立第二個認證。
  5. 認證來源下拉式功能表中選取上傳
  6. 輸入 iOS Kerberos 認證名稱。
  7. 按一下上傳,以上傳從 [身分識別與存取管理] > [管理] > [身分識別提供者] > [內建身分識別提供者] 頁面下載的 Workspace ONE Access KDC 伺服器根憑證。
  8. 在左側導覽窗格中選取單一登入
  9. 輸入連線資訊。
    選項 說明
    帳戶名稱 輸入 Kerberos
    Kerberos 主要名稱 按一下 +,接著選取 {EnrollmentUser}
    領域

    對於雲端中的承租人部署,輸入承租人的 Workspace ONE Access 領域名稱。請確定此參數中的文字為大寫字母。例如,VMWAREIDENTITY.COM

    針對內部部署,輸入 Workspace ONE Access 機器中初始化 KDC 時使用的領域名稱。例如 EXAMPLE.COM

    更新憑證

    在 iOS 8 和更新版本裝置上,選取在使用者的單一登入工作階段到期時,用來自動重新驗證使用者、而不需要任何使用者互動的憑證。

    URL 首碼 輸入必須相符的 URL 首碼,以透過 HTTP 將此帳戶用於 Kerberos 驗證。

    對於雲端中的承租人部署,請輸入 Workspace ONE Access 伺服器 URL,且格式為 https://<tenant>.vmwareidentity.<region>

    對於內部部署,輸入 https://myco.example.com 作為 Workspace ONE Access 伺服器 URL。

    應用程式 輸入允許使用此登入的應用程式身分識別清單。若要使用 iOS 內建的 Safari 瀏覽器來執行單一登入,請輸入 com.apple.mobilesafari 作為第一個應用程式服務包識別碼。繼續輸入應用程式服務包識別碼。列出的應用程式必須支援 SAML 驗證。
  10. 按一下儲存並發佈

結果

當 iOS 設定檔成功推送至使用者的裝置時,使用者不需要輸入認證即可使用內建 Kerberos 驗證方法登入 Workspace ONE Access

下一步

將裝置設定檔指派給智慧群組。智慧群組是可自訂的群組,可決定哪些平台、裝置和使用者會收到指派的應用程式、書籍、符合性原則、裝置設定檔或佈建。請參閱將 Workspace ONE UEM 裝置設定檔指派給智慧群組