SSOアカウントデバイスポリシー

Endpoint Managementでシングルサインオン(SSO)アカウントを作成して、ユーザーが1回サインオンするだけで、さまざまなアプリケーションからEndpoint Managementおよび社内リソースにアクセスすることができるようにします。デバイスに資格情報を保存する必要はありません。SSOアカウントエンタープライズユーザーの資格情報は、App Storeからのアプリケーションを含む複数のアプリケーションで使用されます。このポリシーは、Kerberos認証バックエンドで動作するように設計されています。

このポリシーはiOS 7.0以降にのみ適用されます。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

iOS 設定

  • アカウント名: ユーザーのデバイスで表示されるKerberos SSOアカウント名を入力します。このフィールドは必須です。
  • Kerberosプリンシパル名: Kerberosプリンシパル名を入力します。このフィールドは必須です。
  • ID資格情報(キーストアまたはPKI資格情報): 一覧から、オプションとして、ID資格情報を選択します。これを使用して、Kerberos資格情報をユーザー操作なしで更新できます。
  • Kerberos領域: このポリシーのKerberosレルムを入力します。これは通常、ドメイン名をすべて大文字にしたものです(例:EXAMPLE.COM)。このフィールドは必須です。
  • 許可されているURL: シングルサインオンを要求するURLごとに、[追加] をクリックして以下の操作を行います。
    • 許可されているURL: ユーザーがiOSデバイスからアクセスしたときにSSOを要求するURLを入力します。

      たとえば、ユーザーがサイトを参照しようとし、WebサイトがKerberosチャレンジを開始した場合、そのサイトがURL一覧にないと、iOSデバイスでは、前のKerberosログオンでデバイスにキャッシュされた可能性があるKerberosトークンを提供したSSOは試行されません。URLは、ホスト部分が正確に一致する必要があります。たとえば、https://shopping.apple.comは有効ですが、https://*.apple.comは有効ではありません。

      また、Kerberosがホストの一致に基づいてアクティブ化されない場合でも、URLは標準のHTTP呼び出しにフォールバックします。これは、URLにKerberosを使用するSSOだけが構成されている場合であっても、標準パスワードチャレンジやHTTPエラーなどを含むほとんどすべてのことを意味する可能性があります。

    • [Add]をクリックしてURLを追加するか、[Cancel]をクリックしてURLの追加を取り消します。

  • アプリ識別子: このログインを許可するアプリケーションごとに、[追加] をクリックして以下の操作を行います。
    • アプリ識別子: このログインを使用できるアプリケーションのアプリケーションIDを入力します。アプリケーションIDを追加しなかった場合、このログインはすべてのアプリケーションIDに一致します。
    • [Add]をクリックしてアプリケーションIDを追加するか、[Cancel]をクリックしてアプリケーションIDの追加を取り消します。

SSOアカウントデバイスポリシー

In this article