Skip Navigation
  1. BlackBerry Docs
  2. BlackBerry UEM 12.18
  3. Verwaltung
  4. Schützen von Netzwerkverbindungen
  5. Einrichten einer Authentifizierung bei einmaliger Anmeldung für Geräte
  6. SSO-Erweiterungsprofil erstellen

SSO-Erweiterungsprofil erstellen

Single Sign-On-Erweiterungen werden auf Geräten mit
iOS
 und
iPadOS
 13 und höher unterstützt. Sie können Einstellungen für eine benutzerdefinierte Erweiterung angeben oder die
Kerberos
-Erweiterung verwenden, die von
Apple
 bereitgestellt wird.
Wenn Sie eine zertifikatbasierte Authentifizierung verwenden möchten, erstellen Sie das erforderliche Profil für das Zertifikat.
  1. Klicken Sie in der Menüleiste auf
    Richtlinien und Profile
    .
  2. Klicken Sie auf
    Netzwerke und Verbindungen
     >
    SSO-Erweiterung
    .
  3. Klicken Sie auf Das Symbol „Hinzufügen“.
  4. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
  5. Geben Sie in der Dropdown-Liste
    Erweiterungstyp für einmalige Anmeldung
     an, ob Sie eine benutzerdefinierte Erweiterung oder die von
    Apple
     bereitgestellte
    Kerberos
    -Erweiterung verwenden.
    Aufgabe
    Schritte
    Wenn Sie
    Benutzerdefinierte Erweiterung
     auswählen
    1. Geben Sie im Feld
      Erweiterungs-ID
       die Kennung für die App ein, die die einmalige Anmeldung durchführt.
    2. Geben Sie die Art der Anmeldung an:
      Anmeldedaten
       oder
      Umleitung
      .
    3. Wenn Sie
      Anmeldedaten
       als Anmeldeart ausgewählt haben, führen Sie die folgenden Schritte aus:
      1. Geben Sie im Feld
        Bereich
         den Bereichsnamen für die Anmeldedaten ein.
      2. Klicken Sie im Abschnitt
        Domänen
         auf Das Symbol „Hinzufügen“, um eine Domäne hinzuzufügen.
      3. Geben Sie im Feld
        Name
         die Domäne ein, für die die App-Erweiterung die einmalige Anmeldung (Single Sign-On) durchführt.
      4. Fügen Sie nach Bedarf weitere Domänen hinzu.
    4. Wenn Sie als Anmeldeart
      Umleiten
       ausgewählt haben, führen Sie die folgenden Schritte aus:
      1. Klicken Sie im Abschnitt
        URLs
         auf Das Symbol „Hinzufügen“, um eine URL hinzuzufügen.
      2. Geben Sie im Feld
        Name
         das URL-Präfix des Identitätsanbieters ein, für den die App-Erweiterung die einmalige Anmeldung (Single Sign-On) durchführt. Fügen Sie nach Bedarf weitere URLs hinzu.
    5. Geben Sie im Feld
      Benutzerdefinierter Payload-Code
       den benutzerdefinierten Payload-Code für die App-Erweiterung ein.
    Wenn Sie
    Integrierte Kerberos-Erweiterung
     auswählen
    1. Klicken Sie im Abschnitt
      Domänen
       auf Das Symbol „Hinzufügen“, um eine Domäne hinzuzufügen.
    2. Geben Sie im Feld
      Bereichsname
       den Bereichsnamen für die Anmeldedaten ein.
    3. Wählen Sie die entsprechenden
      Apple Kerberos SSO-Erweiterungsdaten
       für Ihre Umgebung aus. Automatische Anmeldung und
      Active Directory
       automatisch erkennen sind standardmäßig zulässig. Sie können auch den Standardbereich angeben, nur verwalteten Apps die Verwendung von Single Sign-On erlauben und den Zugriff durch Benutzer bestätigen lassen.
    4. Legen Sie den
      Prinzipalnamen
       für die Verbindung fest.
    5. Wenn Sie ein Zertifikatprofil verwenden möchten, um das PKINIT-Zertifikat für die Authentifizierung bereitzustellen, wählen Sie den Profiltyp aus der Dropdown-Liste
      PKINIT-Zertifikat für Authentifizierung auswählen
       aus, und wählen Sie dann das entsprechende Profil aus.
    6. Wenn Sie die Generic Security Service API verwenden, geben Sie den
      GSS-Namen des Kerberos-Cache
       an.
    7. Klicken Sie im Abschnitt
      App-Bundle-IDs
       auf Das Symbol „Hinzufügen“, um die Bundle-IDs anzugeben, die auf das Ticket Granting Ticket zugreifen können.
    8. Klicken Sie im Abschnitt
      Bevorzugte Schlüsselverteilungscenter (KDC)
       auf das Symbol Hinzufügen, um bevorzugte Server anzugeben, wenn sie nicht über DNS erkannt werden können. Geben Sie jeden Server im gleichen Format an, das in der krb5.conf-Datei verwendet wird. Die angegebenen Server werden für Konnektivitätsprüfungen verwendet, wobei zuerst der
      Kerberos
      -Datenverkehr getestet wird. Wenn die Server nicht reagieren, verwendet das Gerät die DNS-Erkennung.
    9. Geben Sie im Feld
      Benutzerdefinierte Domain-Realm-Zuordnung
       alle erforderlichen benutzerdefinierten Zuordnungen von Domains zu Realm-Namen im Payload-Format ein, z. B.
      <key>sample-realm1</key><array><string>org</string></array>
      .
    10. Geben Sie im Feld
      Anmeldehinweis
       den Text an, der unten im
      Kerberos
      -Anmeldefenster angezeigt werden soll.
  6. Klicken Sie auf
    Speichern
    .