Product Documentation

Pour ajouter une stratégie de compte SSO pour iOS

Jul 25, 2016

Vous créez des comptes SSO dans XenMobile pour permettre aux utilisateurs de s'authentifier une seule fois pour accéder à XenMobile et à vos ressources d'entreprise internes à partir de différentes applications. Les utilisateurs n'ont pas à stocker d'informations d'identification sur l'appareil. Les informations d'identification utilisateur d'entreprise du compte SSO sont utilisées pour toutes les applications, y compris les applications provenant de l'App Store. Cette stratégie est conçue pour fonctionner avec l'authentification Kerberos.

Remarque : cette stratégie s'applique uniquement à iOS 7.0 et versions supérieures.
  1. Dans la console XenMobile, cliquez sur Configurer > Stratégies d'appareil. La page Stratégies d'appareil s'affiche.


    Sélection de la page de stratégies

  2. Cliquez sur Ajouter pour ajouter une nouvelle stratégie. La boîte de dialogue Ajouter une nouvelle stratégie apparaît.


    Sélection de comptes SSO

  3. Cliquez sur Plus, puis, sous Utilisateur final, cliquez sur Compte SSO. La page Stratégie de compte SSO s'affiche.


    Page d'informations sur la stratégie de compte SSO

  4. Dans le panneau d'informations Stratégie de compte SSO, entrez les informations suivantes :
    1. Nom de la stratégie : entrez un nom descriptif pour la stratégie.
    2. Description : entrez une description pour la stratégie (facultatif).
  5. Cliquez sur Suivant. La page d'informations Plate-forme iOS s'affiche.


    Page d'informations sur la stratégie de compte SSO pour iOS

  6. Sur la page d'informations Plate-forme iOS, entrez les informations suivantes :
    1. Nom du compte : entrez le nom du compte SSO Kerberos qui s'affiche sur les appareils des utilisateurs. Ce champ est obligatoire.
    2. Nom principal Kerberos : entrez le nom principal Kerberos. Ce champ est obligatoire.
    3. Infos d'identification de l'identité (infos d'identification magasin de clés ou PKI) : dans la liste, cliquez sur des infos d'identification de l'identité qui peuvent être utilisées pour renouveler les infos d'identification Kerberos sans intervention de l'utilisateur.
    4. Domaine Kerberos : entrez le domaine Kerberos pour cette stratégie. Il s'agit généralement de votre nom de domaine en lettres majuscules (par exemple, EXAMPLE.COM). Ce champ est obligatoire.
    5. URL autorisées : cliquez sur Ajouter, puis effectuez les opérations suivantes :
      1. URL autorisée : entrez une adresse URL pour laquelle vous souhaitez demander l'authentification unique (SSO) lorsqu'un utilisateur visite l'URL à partir d'un appareil iOS.

        Par exemple, lorsqu'un utilisateur tente d'accéder à un site dans Safari et que le site Web lance une demande d'authentification Kerberos, si ce site ne figure pas dans la liste des URL, l'appareil iOS ne tentera pas une authentification unique en fournissant le jeton Kerberos qui a été mis en cache sur l'appareil lors d'une précédente ouverture de session Kerberos. La correspondance doit être exacte sur la partie hôte de l'URL, par exemple : http://shopping.apple.com est valide, mais http://*.apple.com ne l'est pas. De même, si Kerberos n'est pas activé en fonction d'une correspondance à l'hôte, l'URL utilise un appel HTTP standard. Cela peut signifier presque tout, y compris un défi de mot de passe standard ou une erreur HTTP si l'URL est uniquement configurée pour l'authentification unique (SSO) à l'aide de Kerberos.

      2. Cliquez sur Ajouter pour ajouter l'URL, ou cliquez sur Annuler pour annuler l'ajout de l'URL.
      3. Répétez les étapes i et ii pour chaque adresse URL que vous souhaitez ajouter.
    6. Identifiants application : cliquez sur Ajouter, puis effectuez les opérations suivantes :
      1. Identifiant app : entrez un identifiant d'application pour une application qui est autorisée à utiliser cette connexion.
        Remarque : si vous n'ajoutez aucun identifiant d'application, cette connexion correspond à tous les identifiants d'application.
      2. Cliquez sur Ajouter pour ajouter l'identifiant d'application, ou cliquez sur Annuler pour annuler l'ajout de l'identifiant d'application.
      3. Répétez les étapes i et ii pour chaque identifiant d'application que vous souhaitez ajouter.
      Remarque : pour supprimer une URL ou un identifiant d'application, placez le curseur sur la ligne contenant la liste, puis cliquez sur l'icône de corbeille sur le côté droit. Une boîte de dialogue de confirmation s'affiche. Cliquez sur Supprimer pour supprimer la liste ou sur Annuler pour conserver la liste.

      Pour modifier une URL ou un identifiant d'application, placez le curseur sur la ligne contenant la liste, puis cliquez sur l'icône de crayon sur le côté droit. Effectuez toutes les modifications nécessaires à la liste, puis cliquez sur Enregistrer pour enregistrer la nouvelle liste ou sur Annuler pour laisser la liste inchangée.

  7. Sous Paramètres de stratégie, à côté de Supprimer la stratégie, cliquez sur Sélectionner une date ou Délai avant suppression (en jours).
  8. Si vous cliquez sur Sélectionner une date, cliquez sur le calendrier pour sélectionner la date spécifique de la suppression.
  9. Dans la liste Autoriser l'utilisateur à supprimer la stratégie, cliquez sur Toujours, Mot de passe requis ou Jamais.
  10. Si vous cliquez sur Mot de passe requis, à côté de Code secret de suppression, entrez le mot de passe requis.


    Paramètres de suppression de stratégie

  11. Développez Règles de déploiement, puis configurez les paramètres suivants : L'onglet Base s'affiche par défaut.


    Des règles de déploiement

    1. Dans la liste, cliquez sur les options pour déterminer quand la stratégie doit être déployée.
      1. Vous pouvez déployer la stratégie lorsque toutes les conditions sont remplies ou lorsque l'une des conditions est remplie. L'option par défaut est Toutes.
      2. Cliquez sur Nouvelle règle pour définir les conditions.
      3. Dans la liste, cliquez sur les conditions, telles que Propriétaire et BYOD, comme illustré dans la figure qui précède.
      4. Cliquez sur Nouvelle règle de nouveau pour ajouter davantage de conditions. Vous pouvez ajouter autant de conditions que vous le souhaitez.
    2. Cliquez sur l'onglet Avancé pour combiner les règles avec des options booléennes.


      Règles de déploiement avancées avec règles de base

      Les conditions que vous avez choisies sur l'onglet Base s'affichent.
    3. Vous pouvez utiliser une logique booléenne plus avancée pour combiner, modifier ou ajouter des règles.
      1. Cliquez sur ET, OU ou SAUF.
      2. Dans la liste qui s'affiche, sélectionnez les conditions que vous voulez ajouter à la règle, puis cliquez sur le signe plus (+) sur le côté droit pour ajouter la condition à la règle.

        Vous pouvez à tout moment cliquer pour sélectionner une condition et cliquer sur MODIFIER pour modifier la condition ou sur Supprimer pour supprimer la condition.

      3. Cliquez sur Nouvelle règle de nouveau pour ajouter davantage de conditions.

        Dans cet exemple, le propriétaire doit être BYOD, le chiffrement sur l'appareil local doit être Vrai et l'indicatif de pays de l'appareil mobile ne peut pas être uniquement Andorre.

        Règles de déploiement avancées terminées

  12. Cliquez sur Suivant. La page d'attribution de la Stratégie de compte SSO s'affiche.
  13. En regard de Choisir des groupes de mise à disposition, tapez pour trouver un groupe de mise à disposition ou sélectionnez un ou plusieurs groupes dans la liste auxquels vous souhaitez attribuer la stratégie. Les groupes que vous sélectionnez s'affichent dans liste de droite Groupes de mise à disposition qui vont recevoir l'attribution d'applications.


    Page d'attribution de stratégie

  14. Développez Calendrier de déploiement et configurez les paramètres suivants :
    1. En regard de Déployer, cliquez sur ON pour planifier le déploiement ou cliquez sur OFF pour empêcher le déploiement. L'option par défaut est ON. Si vous choisissez OFF, aucune autre option ne doit être configurée.
    2. En regard de Calendrier de déploiement, cliquez sur Maintenant ou Plus tard. L'option par défaut est Maintenant.
    3. Si vous cliquez sur Plus tard, cliquez sur l'icône du calendrier, puis sélectionnez la date et l'heure pour le déploiement.
    4. En regard de Conditions de déploiement, cliquez sur À chaque connexion ou Uniquement lorsque le déploiement précédent a échoué. L'option par défaut est À chaque connexion.
    5. En regard de Déployer pour les connexions permanentes, cliquez sur ON ou OFF. L'option par défaut est OFF.
      Remarque : cette option s'applique lorsque vous avez configuré la clé de déploiement d'arrière-plan de planification dans Paramètres > Propriétés du serveur. L'option de calendrier permanent n'est pas disponible pour iOS.
    Remarque : le calendrier de déploiement que vous configurez est identique pour toutes les plates-formes. Les modifications que vous apportez s'appliquent à toutes les plates-formes, à l'exception de Déployer pour les connexions permanentes, qui ne s'applique pas à iOS.


    Une planification du déploiement

  15. Cliquez sur Enregistrer pour enregistrer la stratégie.