Product Documentation

Para agregar una directiva de cuentas Single Sign-On para dispositivos iOS

May 05, 2016

En XenMobile, puede crear cuentas de inicio de sesión único (SSO) para que los usuarios solo deban iniciar sesión una vez para acceder a XenMobile y a los recursos internos de la empresa desde varias aplicaciones. Así, no es necesario que los usuarios almacenen credenciales en el dispositivo. Las credenciales de usuario de empresa de la cuenta SSO se pueden usar en varias aplicaciones, incluidas las aplicaciones del App Store de Apple. Esta directiva está pensada para funcionar con un servidor back-end de autenticación Kerberos.

Nota: Esta directiva solo se aplica a iOS 7.0 y versiones posteriores.
  1. En la consola de XenMobile, haga clic en Configure > Device Policies. Aparecerá la página Device Policies.


    Página de selección de directivas

  2. Haga clic en Add para agregar una nueva directiva. Aparecerá el cuadro de diálogo Add a New Policy.


    Selección de cuentas de Single Sign-on

  3. Haga clic en More y, en End user, haga clic en SSO Account. Aparecerá la página SSO Account Policy.


    Página de información acerca de la directiva de cuentas de inicio de sesión único (SSO)

  4. En el panel de información SSO Account Policy, escriba la información siguiente:
    1. Policy Name. Escriba un nombre descriptivo para la directiva.
    2. Description. Si quiere, escriba una descripción de la directiva.
  5. Haga clic en Next. Aparecerá la página de información iOS Platform.


    Página de información acerca de la directiva de cuentas de inicio de sesión único (SSO) para iOS

  6. En la página de información iOS Platform, escriba la información siguiente:
    1. Account name. Escriba el nombre de la cuenta SSO de Kerberos que aparece en los dispositivos de los usuarios. Este campo es obligatorio.
    2. Kerberos principal name. Escriba el nombre de la entidad de seguridad asignada a Kerberos. Este campo es obligatorio.
    3. Identity credential (Keystore or PKI credential). En la lista, haga clic en una de las credenciales de identidad opcionales que se pueden usar para renovar la credencial de Kerberos sin la interacción del usuario.
    4. Kerberos realm. Escriba el dominio de Kerberos designado a esta directiva. Por regla general, se trata de su nombre de dominio en letras mayúsculas (por ejemplo, EJEMPLO.COM). Este campo es obligatorio.
    5. Permitted URLs. Haga clic en Add y lleve a cabo lo siguiente:
      1. Permitted URL. Escriba la URL que requerirá el inicio de sesión único cuando un usuario la visite desde el dispositivo iOS.

        Por ejemplo: cuando un usuario intenta abrir un sitio Web y este sitio pide una comprobación de Kerberos, si ese sitio no está en la lista de direcciones URL, el dispositivo iOS no intenta el inicio de sesión único con el token de Kerberos que se haya almacenado en caché en el dispositivo como consecuencia de un inicio de sesión Kerberos previo. La coincidencia debe ser exacta en el host de la URL; por ejemplo: http://shopping.apple.com es correcta, pero http://*.apple.com no lo es. Además, si Kerberos no se activa en función de la coincidencia de host, la URL sigue recurriendo a una llamada de HTTP estándar. Esto puede tener varias consecuencias, incluida una comprobación de contraseña estándar o un error de HTTP si la URL se ha configurado solo para el inicio de sesión único mediante Kerberos.

      2. Haga clic en Add para agregar la URL, o bien haga clic en Cancel para cancelar la operación.
      3. Repita el paso de i. y ii. para cada URL que quiera agregar.
    6. App Identifiers. Haga clic en Add y lleve a cabo lo siguiente:
      1. App Identifier. Escriba el identificador de aplicación perteneciente a una aplicación que pueda utilizar esta credencial.
        Nota: Si no se agrega ningún identificador de aplicación, esta credencial coincidirá con todos los identificadores de aplicación.
      2. Haga clic en Add para agregar el identificador de aplicación, o bien haga clic en Cancel para cancelar la operación.
      3. Repita el paso de i. y ii. para cada identificador de aplicación que quiera agregar.
      Nota: Para eliminar una URL o un identificador de aplicación existente, coloque el cursor sobre la línea que los contiene y, a continuación, haga clic en el icono de papelera situado en el lado derecho. Aparecerá un cuadro de diálogo de confirmación. Haga clic en Delete para eliminar el elemento, o bien haga clic en Cancel para conservarlo.

      Para modificar una URL o un identificador de aplicación existentes, coloque el cursor sobre la línea que los contiene y, a continuación, haga clic en el icono con forma de lápiz situado en el lado derecho. Realice los cambios necesarios y, a continuación, haga clic en Save para guardar los cambios, o bien en Cancel para no guardarlos.

  7. En Policy Settings, junto a Remove policy, haga clic en Select date o Duration until removal (in days).
  8. Si hace clic en Select date, haga clic en el calendario para seleccionar la fecha específica de la eliminación.
  9. En la lista Allow user to remove policy, haga clic en Always, Password required o Never.
  10. Si hace clic en Password required, junto a Removal password, escriba la contraseña en cuestión.


    Parámetros de eliminación de directivas

  11. Expanda Deployment Rules y, a continuación, configure los siguientes parámetros: La ficha Base aparece de forma predeterminada.


    Reglas de implementación

    1. En las listas, haga clic en las diferentes opciones para determinar cuándo debe implementarse la directiva.
      1. Puede optar por implementar la directiva cuando se cumplan todas las condiciones o cuando se cumpla cualquiera de ellas. La opción predeterminada es All.
      2. Haga clic en New Rule para definir las condiciones.
      3. En las listas, haga clic en las condiciones (por ejemplo, Device ownership y BYOD) tal y como se muestra en la ilustración anterior.
      4. Si quiere agregar más condiciones, haga clic en New Rule de nuevo. Puede agregar cuantas condiciones quiera.
    2. Haga clic en la ficha Advanced para combinar las reglas con opciones booleanas.


      Reglas avanzadas de implementación con reglas de base

      Las condiciones que haya elegido aparecerán en la ficha Base.
    3. Puede usar lógica booleana más avanzada para combinar, modificar o agregar reglas.
      1. Haga clic en AND, OR o NOT.
      2. En la lista que aparece, seleccione las condiciones que quiere agregar a la regla y, a continuación, haga clic en el signo más (+) situado en el lado derecho para agregarlas.

        En cualquier momento, puede hacer clic y seleccionar una condición para modificarla o eliminarla si hace clic en EDIT o en Delete respectivamente.

      3. Si quiere agregar más condiciones, haga clic en New Rule de nuevo.

        En este ejemplo, el dispositivo debe ser personal del empleado, el cifrado local del dispositivo debe ser True y el código móvil del país del dispositivo no puede ser solo Andorra.

        Reglas avanzadas de implementación completadas

  12. Haga clic en Next. Aparecerá la página de asignación SSO Account Policy.
  13. Junto a Choose delivery groups, escriba lo que necesite para buscar un grupo de entrega, o bien seleccione un grupo o varios grupos de la lista a la que quiera asignar la directiva. Los grupos que seleccione aparecerán en la lista Delivery groups to receive app assignment, situada a la derecha.


    Página de asignación de directivas

  14. Expanda Deployment Schedule y, a continuación, configure los siguientes parámetros:
    1. Junto a Deploy, haga clic en ON para programar la implementación o haga clic en OFF para cancelarla. La opción predeterminada es ON. Si elige OFF, no habrá ninguna otra opción a configurar.
    2. Junto a Deployment schedule, haga clic en Now o en Later. La opción predeterminada es Now.
    3. Si hace clic en Later, haga clic en el icono de calendario y seleccione la fecha y la hora previstas para la implementación.
    4. Junto a Deployment condition, puede hacer clic en On every connection o en Only when previous deployment has failed. La opción predeterminada es On every connection.
    5. Junto a Deploy for always-on connection, haga clic en ON o en OFF. La opción predeterminada es OFF.
      Nota: Esta opción se aplica cuando se ha configurado la clave de implementación en segundo plano para la programación. Esta opción se configura en Settings > Server Properties. La opción Deploy for always-on connection no está disponible para dispositivos iOS.
    Nota: La programación de implementaciones que configure es la misma para todas las plataformas. Todos los cambios que se realicen se aplicarán a todas las plataformas, excepto la opción Deploy for always on connection, que no se aplicará para iOS.


    Programación de implementaciones

  15. Haga clic en Save para guardar la directiva.