設定行動單一登入精靈

設定行動單一登入 (SSO)，可讓使用者安全地從 AirWatch 註冊的裝置登入其已啟用的應用程式，而無須輸入多個密碼。

執行這項作業的原因和時機

此精靈會執行一系列的步驟，以為所有支援的平台進行所有設定。您可以在精靈組態完成後編輯組態。

精靈組態可能需要數分鐘的時間。在組態進行期間，請勿重新整理或離開精靈組態頁面。

您也可以選取個別元件，以手動方式加以設定。

程序

使用管理員密碼登入 AirWatch 主控台。
選取開始使用 > Workspace ONE。
在 [行動單一登入] 區段中，按一下設定。
在 [快速簡易設定!]頁面中按一下開始使用，讓精靈設定 Workspace ONE 的所有行動單一登入元件。

按一下手動設定，可以手動方式設定行動單一登入。
在 [開始使用] 頁面中按一下繼續。
在 [自動設定] 頁面中，按一下啟動組態。

步驟完成時，步驟前面會顯示一個核取記號。
在組態完成後，按一下完成。

您可以按一下編輯設定以變更或檢閱元件組態，或按一下關閉。

結果

行動單一登入精靈會自動設定下列元件，進而為 iOS、Android for Work 和 Windows 10 裝置設定 Workspace ONE 的行動單一登入。

表格 1. 為行動單一登入設定的元件
設定的元件	說明	管理主控台設定頁面
憑證授權機構	系統會設定原生 AirWatch 憑證授權機構的連線，以用來為受管理 iOS 裝置核發行動 SSO 的驗證憑證。	AirWatch 主控台 > 系統 > 企業整合 > 憑證授權單位
憑證範本	預先設定 AirWatch 憑證範本，以核發行動單一登入的憑證。	AirWatch 主控台 > 系統 > 企業整合 > 要求範本
VMware Tunnel	設定 VMware Tunnel，並設定為連線至 VMware Identity Manager 之第三方 Android 應用程式所提供本機單一登入服務的憑證。	AirWatch 主控台 > 系統 > 企業整合 > VMware Tunnel
驗證方法	在 VMware Identity Manager 服務中設定行動單一登入所需的驗證方法。這些驗證方法會建立 AirWatch 憑證授權機構與 VMware Identity Manager 服務之間的信任鏈結。設定的驗證方法為 iOS 版行動 SSO、Android 版行動 SSO、密碼 (AirWatch Connector) 和憑證 (雲端部署)。此外，系統會啟用 [裝置符合性 (與 AirWatch)]。	VMware Identity Manager 管理主控台 > 身分識別與存取管理 > 管理 > 驗證方法
使用者驗證設定檔	即會建立適用於 iOS 和 Windows 的 AirWatch 組態設定檔。這些設定檔會用來發佈憑證，以及將裝置設定為使用 VMware Identity Manager 服務進行驗證。	AirWatch 主控台 > 裝置 > 設定檔和資源 > 設定檔
存取原則	VMware Identity Manager 服務中的預設存取原則會使用每個 iOS 裝置、Android 裝置和 Windows 10 裝置的存取規則進行設定。使用者會使用行動單一登入為受管理的裝置進行驗證。請參閱管理要套用至使用者的存取原則。	VMware Identity Manager 管理主控台 > 身分識別與存取管理 > 管理 > 原則

下一步

對於 iOS 裝置，這些服務必須與 Kerberos 整合。iOS 裝置的這種驗證方法會使用金鑰發佈中心 (KDC)，而不使用第三方系統。對於內部部署，有兩個 KDC 選項可供使用。作為 VMware identity Manager 雲端主控服務的 KDC，以及應用裝置上的內建 KDC。您可以從 VMware Identity Manager 管理主控台進行設定。請參閱使用金鑰發佈中心從 iOS 裝置進行驗證。
透過 AirWatch 管理主控台，為每個使用應用程式通道功能的 Android 應用程式啟用 VPN。
從 AirWatch 管理主控台發佈用來啟用 SSO 的 iOS 設定檔。設定檔已產生，但不會自動發佈。
對於 Windows 部署，雲端部署的憑證必須以手動方式設定。您可以從 VMware Identity Manager 管理主控台進行設定。請參閱《VMware Identity Manager 管理指南》。
為應用程式建立存取原則，以限制僅有受管理的裝置才能存取。請參閱管理要套用至使用者的存取原則。