若要設定行動 SSO (適用於 Apple) 驗證,您需要在 Workspace ONE Access 主控台中設定行動 SSO (適用於 Apple) 憑證型驗證設定,然後上傳簽發者憑證以用於進行憑證型驗證。
您可以在 Workspace ONE Access 主控台的 頁面中設定雲端式驗證方法。設定驗證方法後,需在 Workspace ONE Access 內建身分識別提供者相關聯,並在 頁面中建立要套用於該驗證方法的存取原則規則。
如何使用行動 SSO (適用於 Apple) 單一登入驗證憑證驗證設定
若要啟用使用行動 SSO (適用於 Apple) 憑證驗證進行登入,必須將根憑證和中繼憑證上傳到 Workspace ONE Access 服務。X.509 憑證將使用公開金鑰基礎結構 (PKI) 標準來確認憑證中包含的公開金鑰屬於該使用者。
設定行動 SSO (適用於 Apple) 憑證型驗證設定時,您可以設定使用者識別碼搜尋順序以在憑證中尋找使用者識別碼。對於行動 SSO (適用於 Apple) 驗證,識別碼屬性的值在 Workspace ONE Access 和 Workspace ONE UEM 服務上必須是相同的。否則,Apple SSO 將失敗。
您還可以建立憑證原則延伸中接受的物件識別碼清單 (OID)。OID 是與憑證實務作業基準關聯的識別碼。以下值是一個 OID 命名空間範例:1.3.6.1.4.1.{PENnumber}.
您可以設定憑證撤銷檢查,以防止使用者憑證已撤銷的使用者進行驗證。通常當使用者離開組織或調動部門時,就會撤銷憑證。
為了增強安全性,您可以先設定裝置設定類型,以要求使用者先使用生物識別方法解鎖裝置,然後使用憑證對登入使用者進行驗證。如果設定了此設定,則每當使用者存取需要進行憑證驗證的應用程式時,都會要求他們輸入您設定的生物識別方法。
設定撤銷檢查設定
支援使用憑證撤銷清單 (CRL) 和線上憑證狀態通訊協定 (OCSP) 的憑證撤銷檢查。CRL 是核發憑證的 CA 所發佈的撤銷憑證清單。OCSP 是用來取得憑證撤銷狀態的憑證驗證通訊協定。
您可以在相同的憑證驗證配接器組態中同時設定 CRL 和 OCSP。當您同時設定兩種類型的憑證撤銷檢查,且啟用了當 OCSP 失敗時使用 CRL 核取方塊時,將會先檢查 OCSP,如果 OCSP 失敗,撤銷檢查會回復為使用 CRL。如果 CRL 失敗,撤銷檢查不會回復為使用 OCSP。
當您啟用憑證撤銷時,Workspace ONE Access 伺服器會讀取 CRL 來判斷使用者憑證的撤銷狀態。如果憑證已撤銷,則透過憑證進行驗證將會失敗。
登入時進行 OCSP 憑證檢查是憑證撤銷清單 (CRL) 檢查的替代方案,用於執行憑證撤銷檢查。
設定憑證型驗證時,如果同時啟用「啟用憑證撤銷」和「啟用 OCSP 撤銷」,則 Workspace ONE Access 會驗證整個憑證鏈結,包括主要、中繼和根憑證。如果鏈結中的任何憑證檢查失敗或 OCSP URL 呼叫失敗,則撤銷檢查將會失敗。
您可以在文字方塊中手動設定 OCSP URL,或從正在驗證之憑證的授權機構資訊存取 (AIA) 延伸中擷取。
設定憑證驗證時,您選取的 OCSP 選項會決定 Workspace ONE Access 如何使用 OCSP URL。
- 僅組態。使用文字方塊中提供的 OCSP URL 執行憑證撤銷檢查,以驗證整個憑證鏈結。忽略憑證 AIA 延伸中的資訊。您也必須使用 OCSP 伺服器位址設定 OCSP URL 文字方塊才能進行撤銷檢查。
- 僅憑證 (必要)。使用鏈結中存在於每個憑證 AIA 延伸的 OCSP URL 執行憑證撤銷檢查。系統會忽略 OCSP URL 文字方塊中的設定。鏈結中的每個憑證都必須已定義 OCSP URL,否則憑證撤銷檢查將會失敗。
- 僅憑證 (選擇性)。僅使用憑證 AIA 延伸中存在的 OCSP URL 執行憑證撤銷檢查。如果憑證 AIA 延伸中不存在 OCSP URL,則請勿檢查撤銷。系統會忽略 OCSP URL 文字方塊中的設定。當需要撤銷檢查,但部分中繼或根憑證不包含 AIA 延伸中的 OCSP URL 時,此組態非常實用。
- 具有容錯回復至組態的憑證。當 OCSP URL 可用時,使用從鏈結中每個憑證 AIA 延伸所擷取的 OCSP URL 執行憑證撤銷檢查。如果 AIA 延伸中不存在 OCSP URL,則使用 OCSP URL 文字方塊中設定的 OCSP URL 來檢查撤銷。您必須使用 OCSP 伺服器位址設定 OCSP URL 文字方塊。
設定憑證驗證以進行行動 SSO (適用於 Apple)
必要條件
- 儲存要上傳以進行行動 SSO (適用於 Apple) 驗證的簽發者憑證。如果使用的是 Workspace ONE UEM 憑證,請從 Workspace ONE UEM Console 的 頁面匯出並儲存根憑證。
- (選用) 適用於憑證驗證的有效憑證原則的物件識別碼 (OID) 清單。
- CRL 的檔案位置和 OCSP 伺服器的 URL,用於撤銷檢查。
- (選用) OCSP 回應簽署憑證檔案位置。
- (選用) 選取要設定的生物識別驗證。
- 在 Workspace ONE Access 主控台中,移至行動 SSO (適用於 Apple)。 頁面,然後選取
- 按一下設定,然後設定憑證驗證的設定。
選項 說明 啟用憑證配接器 切換為是,以啟用憑證驗證。 根和中繼 CA 憑證 已上傳的 CA 憑證
選取從 Workspace ONE UEM Console 儲存的根憑證以進行上傳。 此處將列出上傳的憑證檔案。
使用者識別碼搜尋順序 選取搜尋順序以找到憑證內的使用者識別碼。 對於行動 SSO (適用於 Apple) 驗證,識別碼屬性的值在 Workspace ONE Access 和 Workspace ONE UEM 服務中必須相同。否則,Apple SSO 將失敗。
- upn。主體別名的 UserPrincipalName 值。
- 電子郵件。來自主體別名的電子郵件地址。
- 主體。來自主體的 UID 值。如果在主體 DN 中找不到 UID,則會使用 CN 測試方塊中的 UID 值 (如果已設定 CN 文字方塊)。
備註:- 如果使用 Workspace ONE UEM CA 來產生用戶端憑證,則使用者識別碼搜尋順序必須為 UPN | 主體。
- 如果使用第三方企業 CA,則使用者識別碼搜尋順序必須為 UPN | 電子郵件 | 主體,而憑證範本必須包含主體名稱 CN={DeviceUid}:{EnrollmentUser}。請確定包含冒號 (:)。
驗證 UPN 格式 切換為是,以驗證 UserPrincipalName 文字方塊的格式。 要求逾時 輸入等待回應時間 (以秒為單位)。如果輸入零 (0),系統將無限期地等待回應。 已接受的憑證原則 建立憑證原則延伸中接受的物件識別碼清單。 輸入憑證核發原則的 objectID 號碼 (OID)。按一下新增以新增其他 OID。
啟用憑證撤銷 切換為是,以啟用憑證撤銷檢查。 撤銷檢查會導致已撤銷使用者憑證的使用者無法驗證。
使用來自憑證的 CRL 切換為是,以使用由核發憑證的 CA 所發佈的憑證撤銷清單 (CRL) 來驗證憑證的狀態 (已撤銷或未撤銷)。 CRL 位置 輸入要從中擷取憑證撤銷清單的伺服器檔案路徑或本機檔案路徑。 啟用 OCSP 撤銷 切換為是,以使用線上憑證狀態通訊協定 (OCSP) 憑證驗證通訊協定來設定憑證的撤銷狀態。 OCSP 失敗時使用 CRL 如果同時設定了 CRL 和 OCSP,則可以啟用此切換以便在無法使用 OCSP 檢查選項時回復為使用 CRL。 傳送 OCSP Nonce 如果您希望在回應中傳送 OCSP 要求的唯一識別碼,請選取此切換。 OCSP URL 如果您已啟用 OCSP 撤銷,請輸入用於撤銷檢查的 OCSP 伺服器位址。 OCSP URL 來源 選取用於撤銷檢查的來源。 - 選取僅組態,以使用 [OCSP URL] 文字方塊中提供的 OCSP URL 執行憑證撤銷檢查,進而驗證整個憑證鏈結。
- 選取僅憑證 (必要),以使用憑證鏈結中每個憑證的授權機構資訊存取 (AIA) 延伸中存在的 OCSP URL 執行憑證撤銷檢查。鏈結中的每個憑證都必須已定義 OCSP URL,否則憑證撤銷檢查將會失敗。
- 選取僅憑證 (選擇性),以僅使用憑證的 AIA 延伸中存在的 OCSP URL 執行憑證撤銷檢查。如果憑證 AIA 延伸中不存在 OCSP URL,則請勿檢查撤銷。
- 選取具有容錯回復至組態的憑證,以便在 OCSP URL 可用時,使用從憑證鏈結中每個憑證的 AIA 延伸中擷取的 OCSP URL 執行憑證撤銷檢查。
如果 AIA 延伸中沒有 OCSP URL,則將回復為使用 [OCSP URL] 文字方塊中設定的 OCSP URL 來檢查撤銷。您必須使用 OCSP 伺服器位址設定 OCSP URL 文字方塊。
OCSP 回應程式的簽署憑證 已上傳的 OCSP 簽署憑證
選取要上傳的 OCSP 回應程式簽署憑證檔案。 此處列出上傳的 OCSP 回應程式簽署憑證檔案。
裝置驗證類型 行動 SSO (適用於 Apple) 支援要求使用者先使用生物識別機制 (FaceID 或 TouchID) 或通行碼向裝置進行驗證,然後再使用裝置上的憑證向 Workspace ONE Access 進行驗證。如果使用者必須使用生物識別和/或通行碼 (作為備選方法) 進行驗證,請選取正確的選項。否則,請選取無。 - 按一下儲存。
組態設定將顯示在行動 SSO (適用於 Apple) 驗證方法頁面上。
設定內建身分識別提供者
在 Workspace ONE Access 內建身分識別提供者頁面中,設定使用者、網路範圍以及使用者用於對其應用程式入口網站進行單一登入的驗證方法。
必要條件
若要設定內建身分識別提供者,請確定完成下列工作。
- 已將位於企業目錄的使用者和群組同步至 Workspace ONE Access 目錄。
- 網路範圍已在 頁面中建立。
- 已設定行動 SSO (適用於 Apple) 驗證方法。
程序
- 在 Workspace ONE Access 主控台的 [整合 > 身分識別提供者] 頁面中,按一下 [新增],然後選取標示為 [內建 IDP] 的身分識別提供者,並設定身分識別提供者設定。
選項 說明 身分識別提供者名稱 輸入此內建身分識別提供者執行個體的名稱。 使用者 選取要驗證的使用者。將列出您設定的目錄。 新增連接器/連接器驗證方法 不適用 驗證方法 系統會顯示 [整合] > [驗證方法] 頁面中所設定的驗證方法。選取行動 SSO (適用於 Apple)。 網路 列出了服務中設定的現有網路範圍。根據要導向至此身分識別提供者執行個體以進行驗證的 IP 位址,選取使用者的網路範圍。 KDC 憑證匯出 不適用 - 按一下儲存。
後續步驟
設定行動 SSO (適用於 Apple) 的預設存取原則規則。