SSO 帐户设备策略

可在 XenMobile 中创建单点登录 (SSO) 帐户,使用户只需登录设备一次,即可从各种应用程序访问 XenMobile 和内部的公司资源。用户无需在设备上存储任何凭据。可以跨应用程序(包括 App Store 中的应用程序)使用此 SSO 帐户企业用户凭据。此策略专为 Kerberos 身份验证后端设计。

此策略仅适用于 iOS 7.0 及更高版本。

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

iOS 设置

  • 帐户名称: 输入显示在用户设备上的 Kerberos SSO 帐户名称。此字段为必填字段。
  • Kerberos 主体名称: 输入 Kerberos 主体名称。此字段为必填字段。
  • 身份凭据(密钥库或 PKI 凭据): 在此列表中,单击可用于在无需用户交互的情况下续订 Kerberos 凭据的可选身份凭据。
  • Kerberos 领域: 输入此策略的 Kerberos 领域。这通常是您的域名,所有字母均大写(例如,EXAMPLE.COM)。此字段为必填字段。
  • 允许访问的 URL: 对于需要 SSO 的每个 URL,单击添加,然后执行以下操作:
    • 允许访问的 URL: 输入当用户从 iOS 设备访问时需要 SSO 的 URL。

      例如,当用户尝试浏览某个站点,且该 Web 站点发起 Kerberos 质询时:如果该站点不在此 URL 列表中,iOS 设备将不会通过提供 Kerberos 在以前的 Kerberos 登录中缓存到设备上的 Kerberos 令牌来尝试 SSO。URL 的主机部分必须完全匹配。例如,https://shopping.apple.com 有效,但 https://*.apple.com 无效。

      此外,如果 Kerberos 未基于主机匹配激活,URL 将仍然回退到标准 HTTP 调用。如果 URL 仅配置为使用 Kerberos 实现 SSO,这可能意味着一切,包括标准密码质询或 HTTP 错误。

    • 单击添加以添加 URL,或单击取消以取消添加 URL。

  • 应用程序标识符: 对于允许使用此登录的每个应用程序,单击添加,然后执行以下操作:
    • 应用程序标识符: 输入允许使用此登录的应用程序的应用程序标识符。如果不添加任何应用程序标识符,此登录将匹配所有应用程序标识符。
    • 单击添加以添加应用程序标识符,或单击取消以取消添加应用程序标识符。

SSO 帐户设备策略

In this article