更新 MDM 設定檔以將單一登入設定檔更換為 Apple SSO 延伸設定檔

您可以在 Workspace ONE UEM Apple iOS 裝置設定檔中啟用 Apple 單一登入延伸設定，以允許使用者對應用程式和網站進行單一登入，而無需重新輸入其認證。Apple SSO 延伸可處理使用者的驗證。當使用者在 Workspace ONE UEM MDM 中註冊其 Apple iOS 裝置時，會將該延伸設定檔新增到應用程式安裝程式，並將憑證複製到 Apple 裝置上的本機憑證存放區中。然後，用戶端可以使用憑證進行驗證以進行單一登入。

1. 在 Workspace ONE UEM Console 中，選取所需的組織群組，然後導覽至裝置 > 設定檔和資源 > 設定檔。
2. 選取要編輯的 iOS 行動 SSO 裝置設定檔。
3. 如果裝置設定檔設定了可與行動 SSO (適用於 Apple) 驗證搭配使用的憑證，則無需變更憑證設定。憑證必須包含 SSL 用戶端驗證金鑰使用方法值 (EKU)。這是包含 OID 的增強金鑰使用方法 (EKU) 延伸：PKI 對等驗證和 PKI 伺服器驗證。

   如果變更裝置設定檔中的憑證，則可以在設定檔中設定 SCEP 或認證憑證。請參閱 將 Workspace ONE UEM 設定為對受管理 iOS 裝置使用 Workspace ONE Access 行動 SSO (適用於 Apple) 驗證 (僅限雲端)。

4. 刪除設定了行動 SSO (適用於 iOS) 組態的單一登入區段

5. 設定 SSO 延伸以啟用對 Workspace ONE Intelligent Hub 應用程式的單一登入，而無需在每個應用程式中進行驗證。

   按一下 +新增。

   延伸類型	選取 WS1 Access
   延伸識別碼	此值將填入 Workspace ONE Access 識別碼。
   類型	此值將填入認證。
   其他設定 - 允許的服務包識別碼	如果要將 SSO 延伸限制為特定的應用程式服務包識別碼，請按一下新增，然後輸入應用程式服務包識別碼。

6. 按一下儲存並發佈。

設定行動 SSO (適用於 Apple) 驗證方法

若要在 Workspace ONE Access 中設定行動 SSO (適用於 Apple) 驗證，您需要在 Workspace ONE Access 主控台中設定行動 SSO (適用於 Apple) 憑證型驗證設定，然後上傳在 Workspace ONE UEM 裝置設定檔中為 Apple iOS 設定的憑證檔案。然後，為內建身分識別提供者設定使用者、網路範圍和行動 SSO (適用於 Apple) 驗證方法以進行單一登入。

請參閱 在 Workspace ONE Access 中設定行動 SSO (適用於 Apple) 驗證 (僅限雲端)。

更新 Workspace ONE Access 預設存取原則

您可以編輯現有的行動 SSO (適用於 iOS) 預設存取原則規則，以新增行動 SSO (適用於 Apple) 作為後援驗證方法。

若要瞭解 Workspace ONE Access 中存取原則的運作方式，請參閱在 Workspace ONE Access 服務中管理存取原則和為行動 SSO (適用於 Apple) 設定 Workspace ONE Access 原則規則 (僅限雲端)。

程序

1. 在 Workspace ONE Access 主控台的資源 > 原則頁面中，按一下編輯預設原則。
2. 按下一步以開啟 [組態] 頁面。
3. 編輯將行動 SSO (適用於 iOS) 驗證設定為則使用者可使用下列方法進行驗證值的原則。在如果前述方法失敗或不適用，則區段中，選取行動 SSO (適用於 Apple) 作為後援方法。

   如果行動 SSO (適用於 iOS) 的存取原則規則設定為與其他驗證方法連結在一起，請在行動 SSO (適用於 Apple) 後援設定中連結相同的驗證方法。例如，如果行動 SSO (適用於 iOS) 規則還包含 [裝置符合性] 作為鏈結驗證方法，您可以在行動 SSO (適用於 Apple) 設定中新增 [裝置符合性]。

4. 按一下儲存。