若要設定行動 SSO (適用於 Apple) 驗證,請在 Workspace ONE Access 主控台中設定憑證型行動 SSO (適用於 Apple) 驗證設定,然後上傳簽發者憑證以用於進行憑證型驗證。

Workspace ONE Access 行動單一登入 (適用於 Apple) 驗證方法是針對 Workspace ONE UEM 受管理的 iOS 裝置 (MDM) 實作的憑證驗證方法。憑證在 UEM 裝置設定檔中部署,並在裝置管理計劃中註冊裝置時安裝到裝置上。當使用者存取其公司應用程式和資源時,憑證將自動提供,因此使用者無需重新輸入認證即可在其裝置上開啟應用程式。

您可以在 Workspace ONE Access 主控台的 [整合 > 驗證方法] 頁面中,設定雲端式驗證方法。設定驗證方法後,需在 [整合 > 身分識別提供者] 頁面中,將驗證方法與 Workspace ONE Access 內建身分識別提供者相關聯,並在 [資源 > 原則] 頁面中,建立要套用至驗證方法的存取原則規則。在 Workspace ONE UEM Console 中,您可以為 Apple 裝置設定檔設定 [Apple SSO 延伸] 設定,並定義要在 Apple iOS 裝置中部署的 UEM 憑證類型。

有關如何安裝和設定行動 SSO (適用於 Apple) 驗證所需的所有元件,請參閱《對 Workspace ONE UEM 管理的 Apple 行動裝置實作 VMware Workspace ONE Access 行動 SSO (適用於 Apple) 驗證》指南。

備註: 行動 SSO (適用於 Apple) 驗證方法是用於 iOS 裝置的建議 Workspace ONE Access 驗證方法。如果您使用的是行動 SSO (適用於 iOS) 驗證,則可以移轉到行動 SSO (適用於 Apple)。

設定憑證驗證以進行行動 SSO (適用於 Apple)

必要條件

  • 儲存要上傳以進行行動 SSO (適用於 Apple) 驗證的簽發者憑證。如果使用的是 Workspace ONE UEM 憑證,請從 Workspace ONE UEM Console 的系統 > 企業整合 > Workspace ONE Access > 組態頁面匯出並儲存根憑證。
  • (選用) 適用於憑證驗證的有效憑證原則的物件識別碼 (OID) 清單。
  • CRL 的檔案位置和 OCSP 伺服器的 URL,用於撤銷檢查。
  • (選用) OCSP 回應簽署憑證檔案位置。
  • (選用) 選取要設定的生物識別驗證。
  1. 在 Workspace ONE Access 主控台中,移至整合 > 驗證方法頁面,然後選取行動 SSO (適用於 Apple)
  2. 按一下設定,然後設定憑證驗證的設定。

    選項 說明
    啟用憑證配接器 切換為,以啟用憑證驗證。
    根和中繼 CA 憑證

    已上傳的 CA 憑證

    		 選取從 Workspace ONE UEM Console 儲存的根憑證以進行上傳。

    此處將列出上傳的憑證檔案。
    使用者識別碼搜尋順序 選取搜尋順序以找到憑證內的使用者識別碼。

    對於行動 SSO (適用於 Apple) 驗證,識別碼屬性的值在 Workspace ONE Access 和 Workspace ONE UEM 服務中必須相同。否則,Apple SSO 將失敗。

    • upn。主體別名的 UserPrincipalName 值。
    • 電子郵件。來自主體別名的電子郵件地址。
    • 主體。來自主體的 UID 值。如果在主體 DN 中找不到 UID,則會使用 CN 測試方塊中的 UID 值 (如果已設定 CN 文字方塊)。
    備註:
    • 如果使用 Workspace ONE UEM CA 來產生用戶端憑證,則使用者識別碼搜尋順序必須為 UPN | 主體
    • 如果使用第三方企業 CA,則使用者識別碼搜尋順序必須為 UPN | 電子郵件 | 主體,而憑證範本必須包含主體名稱 CN={DeviceUid}:{EnrollmentUser}。請確定包含冒號 (:)。
    驗證 UPN 格式 切換為,以驗證 UserPrincipalName 文字方塊的格式。
    要求逾時 輸入等待回應時間 (以秒為單位)。如果輸入零 (0),系統將無限期地等待回應。
    已接受的憑證原則 建立憑證原則延伸中接受的物件識別碼清單。

    輸入憑證核發原則的 objectID 號碼 (OID)。按一下新增以新增其他 OID。
    啟用憑證撤銷 切換為,以啟用憑證撤銷檢查。

    撤銷檢查會導致已撤銷使用者憑證的使用者無法驗證。
    使用來自憑證的 CRL 切換為,以使用由核發憑證的 CA 所發佈的憑證撤銷清單 (CRL) 來驗證憑證的狀態 (已撤銷或未撤銷)。
    CRL 位置 輸入要從中擷取憑證撤銷清單的伺服器檔案路徑或本機檔案路徑。
    啟用 OCSP 撤銷 切換為,以使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定來設定憑證的撤銷狀態。
    OCSP 失敗時使用 CRL 如果同時設定了 CRL 和 OCSP,則可以啟用此切換以便在無法使用 OCSP 檢查選項時回復為使用 CRL。
    傳送 OCSP Nonce 如果您希望在回應中傳送 OCSP 要求的唯一識別碼,請選取此切換。
    OCSP URL 如果您已啟用 OCSP 撤銷,請輸入用於撤銷檢查的 OCSP 伺服器位址。
    OCSP URL 來源 選取用於撤銷檢查的來源。
    • 選取僅組態,以使用 [OCSP URL] 文字方塊中提供的 OCSP URL 執行憑證撤銷檢查,進而驗證整個憑證鏈結。
    • 選取僅憑證 (必要),以使用憑證鏈結中每個憑證的授權機構資訊存取 (AIA) 延伸中存在的 OCSP URL 執行憑證撤銷檢查。鏈結中的每個憑證都必須已定義 OCSP URL,否則憑證撤銷檢查將會失敗。
    • 選取僅憑證 (選擇性),以僅使用憑證的 AIA 延伸中存在的 OCSP URL 執行憑證撤銷檢查。如果憑證 AIA 延伸中不存在 OCSP URL,則請勿檢查撤銷。
    • 選取具有容錯回復至組態的憑證,以便在 OCSP URL 可用時,使用從憑證鏈結中每個憑證的 AIA 延伸中擷取的 OCSP URL 執行憑證撤銷檢查。

      如果 AIA 延伸中沒有 OCSP URL,則將回復為使用 [OCSP URL] 文字方塊中設定的 OCSP URL 來檢查撤銷。您必須使用 OCSP 伺服器位址設定 OCSP URL 文字方塊。
    OCSP 回應程式的簽署憑證

    已上傳的 OCSP 簽署憑證

    		 選取要上傳的 OCSP 回應程式簽署憑證檔案。

    此處列出上傳的 OCSP 回應程式簽署憑證檔案。

    裝置驗證類型 行動 SSO (適用於 Apple) 支援要求使用者先使用生物識別機制 (FaceID 或 TouchID) 或通行碼向裝置進行驗證,然後再使用裝置上的憑證向 Workspace ONE Access 進行驗證。如果使用者必須使用生物識別和/或通行碼 (作為備選方法) 進行驗證,請選取正確的選項。否則,請選取
  3. 按一下儲存

    組態設定將顯示在行動 SSO (適用於 Apple) 驗證方法頁面上。

    Workspace ONE Access 主控台中的行動 SSO (適用於 Apple) 驗證組態畫面

後續步驟

在內建身分識別提供者中建立行動 SSO (適用於 Apple) 驗證方法的關聯。

設定行動 SSO (適用於 Apple) 的預設存取原則規則。