SSOアカウントデバイスポリシー

SSOアカウントデバイスポリシーでは、Endpoint Managementでのシングルサインオン(SSO)アカウントを作成できます。これらのアカウントを作成することにより、ユーザーが1回サインオンするだけで、さまざまなアプリからEndpoint Managementおよび社内リソースにアクセスできるようになります。デバイスに資格情報を保存する必要はありません。SSOアカウントエンタープライズユーザーの資格情報は、App Storeからのアプリを含む複数のアプリで使用されます。このポリシーは、Kerberos認証バックエンドで動作するように設計されています。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、デバイスポリシーを参照してください。

iOS設定

  • アカウント名: ユーザーのデバイスで表示されるKerberos SSOアカウント名を入力します。このフィールドは必須です。
  • Kerberosプリンシパル名: Kerberosプリンシパル名を入力します。このフィールドは必須です。
  • ID資格情報(キーストアまたはPKI資格情報): 一覧から、オプションとして、ID資格情報を選択します。これを使用して、Kerberos資格情報をユーザー操作なしで更新できます。
  • Kerberos領域: このポリシーのKerberosレルムを入力します。これは通常、ドメイン名をすべて大文字にしたものです(例:EXAMPLE.COM)。このフィールドは必須です。
  • 許可されているURL: シングルサインオンを要求するURLごとに、[追加] をクリックして以下の操作を行います。
    • 許可されているURL: ユーザーがiOSデバイスからアクセスしたときにSSOを要求するURLを入力します。

      たとえば、ユーザーがサイトを参照しようとし、WebサイトがKerberosチャレンジを開始した場合、そのサイトがURL一覧にないと、iOSデバイスでは、前のKerberosログオンでデバイスにキャッシュされた可能性があるKerberosトークンを提供したSSOは試行されません。URLは、ホスト部分が正確に一致する必要があります。たとえば、https://shopping.apple.comは有効ですが、https://*.apple.comは有効ではありません。

      また、Kerberosがホストの一致に基づいてアクティブ化されない場合でも、URLは標準のHTTP呼び出しにフォールバックします。これは、URLにKerberosを使用するSSOだけが構成されている場合であっても、標準パスワードチャレンジやHTTPエラーなどを含むほとんどすべてのことを意味する可能性があります。

    • [Add]をクリックしてURLを追加するか、[Cancel]をクリックしてURLの追加を取り消します。

  • アプリ識別子: このログインを許可するアプリごとに、[追加] をクリックして以下の操作を行います。
    • アプリ識別子: このログインを使用できるアプリのアプリIDを入力します。アプリIDを追加しなかった場合、このログインはすべてのアプリIDに一致します。

SSOアカウントデバイスポリシー