Product Documentation

シングルサインオンアカウントデバイスポリシー

Apr 27, 2017

XenMobileでシングルサインオン(SSO)アカウントを作成して、ユーザーが1回サインオンするだけで、さまざまなアプリケーションからXenMobileおよび社内リソースにアクセスすることができるようにします。デバイスに資格情報を保存する必要はありません。SSOアカウントエンタープライズユーザーの資格情報は、App Storeからのアプリケーションを含む複数のアプリケーションで使用されます。このポリシーは、Kerberos認証バックエンドで動作するように設計されています。 

注:このポリシーはiOS 7.0以降にのみ適用されます。

1. XenMobileコンソールで、[Configure]の[Device Policies]をクリックします。[Device Policies]ページが開きます。

2.[Add]をクリックします。[Add a New Policy]ダイアログボックスが開きます。

3.[More]をクリックした後、[End user]の下の[SSO Account]をクリックします。[SSO Account Policy]ページが開きます。

localized image

4.[SSO Account Policy]情報ペインで、以下の情報を入力します。

  • Policy Name:ポリシーの説明的な名前を入力します。
  • Description:任意で、ポリシーの説明を入力します。

5.[Next]をクリックします。[iOS Platform]情報ページが開きます。

localized image

6. 次の設定を構成します。

  • Account name:ユーザーのデバイスで表示されるKerberos SSOアカウント名を入力します。このフィールドは必須です。
  • Kerberos principal name:Kerberosプリンシパル名を入力します。このフィールドは必須です。
  • Identity credential(Keystore or PKI credential):一覧から、オプションとして、ID資格情報を選択します。これを使用して、Kerberos資格情報をユーザー操作なしで更新できます。
  • Kerberos realm:このポリシーのKerberosレルムを入力します。これは通常、ドメイン名をすべて大文字にしたものです(例:EXAMPLE.COM)。このフィールドは必須です。
  • Permitted URLs:シングルサインオンを要求するURLごとに、[Add]をクリックして以下の操作を行います。
    • Permitted URL:ユーザーがiOSデバイスからアクセスしたときにSSOを要求するURLを入力します。たとえば、ユーザーがサイトを参照しようとし、WebサイトがKerberosチャレンジを開始した場合、そのサイトがURL一覧にないと、iOSデバイスでは、前のKerberosログオンでデバイスにキャッシュされた可能性があるKerberosトークンを提供したSSOは試行されません。URLのホスト部分が正確に一致する必要があります。たとえば、http://shopping.apple.comは有効ですが、http://*.apple.comは有効ではありません。また、Kerberosがホストの一致に基づいてアクティブ化されない場合でも、URLは標準のHTTP呼び出しにフォールバックします。これは、URLにKerberosを使用するSSOだけが構成されている場合であっても、標準パスワードチャレンジやHTTPエラーなどを含むほとんどすべてのことを意味する可能性があります。
    • [Add]をクリックしてURLを追加するか、[Cancel]をクリックしてURLの追加を取り消します。
  • App Identifiers:このログインを許可するアプリケーションごとに、[Add]をクリックして以下の操作を行います。
    • App Identifier:このログインを使用できるアプリケーションのアプリケーションIDを入力します。アプリケーションIDを追加しなかった場合、このログインはすべてのアプリケーションIDに一致します。
    • [Add]をクリックしてアプリケーションIDを追加するか、[Cancel]をクリックしてアプリケーションIDの追加を取り消します。

注:既存のURLまたはアプリケーションIDを削除するには、項目が含まれる行の上にマウスポインターを置き、右側のごみ箱アイコンをクリックします。確認ダイアログボックスが開きます。項目を削除するには[Delete]をクリックし、項目をそのままにするには[Cancel]をクリックします。

既存のURLまたはアプリケーションIDを編集するには、項目が含まれる行の上にマウスポインターを置き、右側のペンアイコンをクリックします。項目を変更し、[Save]をクリックして変更した項目を保存するか、[Cancel]をクリックして項目を変更せずそのままにします。

  • ポリシー設定
    • [Remove policy]の横にある[Selectdate]または[Duration until removal (in days)]をクリックします。
    • [Select date]をクリックした場合、カレンダーをクリックして削除を実行する特定の日付を選択します。
    • [Allow user to remove policy]の一覧で、[Always][Password required][Never]のいずれかを選択します。
    • [Password required]を選択した場合、[Removal password]の横に必要なパスワードを入力します。
7. 展開規則を構成します。

8.[Next]をクリックします。[SSO Account Policy]割り当てページが開きます。

localized image

9.[Choose delivery groups]の横に、ポリシーを割り当てるデリバリーグループを入力して検索するか、一覧でグループを選択します。選択したグループが[Delivery groups to receive app assignment]一覧に表示されます。

10.[Deployment Schedule]を展開して以下の設定を構成します。

  • [Deploy]の横の[ON]をクリックすると展開がスケジュールされ、[OFF]をクリックすると展開が行われません。デフォルトのオプションは[ON]です。[OFF]を選択した場合、そのほかのオプションを構成する必要はありません。
  • [Deployment schedule]の横の[Now]または[Later]をクリックします。デフォルトのオプションは[Now]です。
  • [Later]をクリックした場合は、カレンダーアイコンをクリックして展開日時を選択します。
  • [Deployment condition]の横の[On every connection]をクリックするか、[Only when previous deployment has failed]をクリックします。デフォルトのオプションは、[On every connection]です。
  • [Deploy for always-on connection]の横の[ON]または[OFF]をクリックします。デフォルトのオプションは[OFF]です。

注:

  • このオプションは、[Settings]>[Server Properties]において、バックグラウンドで展開するキーのスケジュールを構成した場合に適用されます。常時接続オプションは、iOSデバイスでは使用できません。
  • 構成した展開スケジュールはすべてのプラットフォームについて同一です。すべてのプラットフォームに変更が適用されます。ただしiOSには、[Deploy for always on connection]は適用されません。

11.[Save]をクリックします。