Skip Navigation

Aktivieren der automatischen Authentifizierung für
iOS
-Geräte

Sie können es
iOS
-Geräten ermöglichen, sich bei Domänen und Webdiensten Ihres Unternehmensnetzwerks automatisch zu authentifizieren. Nach Zuweisung eines Profils oder eines Erweiterungsprofils für die einmalige Anmeldung (Single Sign-On, SSO) wird der Benutzer aufgefordert, beim erstmaligen Zugriff auf eine von Ihnen festgelegte sichere Domäne einen Benutzernamen und ein Kennwort einzugeben. Die Anmeldeinformationen werden auf dem Gerät des Benutzers gespeichert und automatisch verwendet, wenn er versucht, auf die in seinem Profil festgelegten sicheren Domänen zuzugreifen. Wenn der Benutzer das Kennwort ändert, wird er beim nächsten Zugriff auf eine sichere Domäne zur Eingabe aufgefordert.
Sie müssen ein Profil für die SSO-Erweiterung verwenden, damit sich Geräte automatisch bei Domänen und Webservices im Netzwerk Ihres Unternehmens authentifizieren können. Sie können Einstellungen für eine benutzerdefinierte Erweiterung angeben oder die
Kerberos
-Erweiterung verwenden, die von
Apple
bereitgestellt wird.
Wenn Sie eine zertifikatbasierte Authentifizierung verwenden möchten, erstellen Sie das erforderliche Profil für das Zertifikat.
  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf
    Richtlinien und Profile > Netzwerke und Verbindungen > Single Sign-On-Erweiterung
    .
  2. Klicken Sie auf Das Symbol „Hinzufügen“.
  3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
  4. Klicken Sie in der Dropdown-Liste
    Erweiterungstyp für einmalige Anmeldung
    auf
    Benutzerdefinierte Erweiterung
    oder
    Integrierte Kerberos-Erweiterung
    , die von
    Apple
    bereitgestellt wird.
    Aufgabe
    Schritte
    Wenn Sie
    Benutzerdefinierte Erweiterung
    auswählen
    1. Geben Sie im Feld
      Erweiterungs-ID
      die Kennung für die App ein, die die einmalige Anmeldung durchführt.
    2. Wählen Sie die passende Anmeldeart aus.
    3. Wenn Sie
      Anmeldedaten
      als Anmeldeart ausgewählt haben, führen Sie die folgenden Schritte aus:
      1. Geben Sie im Feld
        Bereich
        den Bereichsnamen für die Anmeldedaten ein.
      2. Klicken Sie im Abschnitt
        Domänen
        auf Das Symbol „Hinzufügen“, um eine Domäne hinzuzufügen.
      3. Geben Sie im Feld
        Name
        die Domäne ein, für die die App-Erweiterung die einmalige Anmeldung (Single Sign-On) durchführt.
      4. Fügen Sie nach Bedarf weitere Domänen hinzu.
    4. Wenn Sie als Anmeldeart
      Umleiten
      ausgewählt haben, führen Sie die folgenden Schritte aus:
      1. Klicken Sie im Abschnitt
        URLs
        auf Das Symbol „Hinzufügen“, um eine URL hinzuzufügen.
      2. Geben Sie im Feld
        Name
        das URL-Präfix des Identitätsanbieters ein, für den die App-Erweiterung die einmalige Anmeldung (Single Sign-On) durchführt. Fügen Sie nach Bedarf weitere URLs hinzu.
    5. Geben Sie im Feld
      Benutzerdefinierter Payload-Code
      den benutzerdefinierten Payload-Code für die App-Erweiterung ein.
    Wenn Sie
    Integrierte Kerberos-Erweiterung
    auswählen
    1. Klicken Sie im Abschnitt
      Domänen
      auf Das Symbol „Hinzufügen“, um eine Domäne hinzuzufügen.
    2. Geben Sie im Feld
      Bereichsname
      den Bereichsnamen für die Anmeldedaten ein.
    3. Wählen Sie die entsprechenden
      Apple Kerberos SSO-Erweiterungsdaten
      für Ihre Umgebung aus. Automatische Anmeldung und
      Active Directory
      automatisch erkennen sind standardmäßig zulässig. Sie können auch den Standardbereich angeben, nur verwalteten Apps die Verwendung von Single Sign-On erlauben und den Zugriff durch Benutzer bestätigen lassen.
    4. Legen Sie den
      Prinzipalnamen
      für die Verbindung fest.
    5. Wenn Sie ein Zertifikatprofil verwenden möchten, um das PKINIT-Zertifikat für die Authentifizierung bereitzustellen, wählen Sie den Profiltyp aus der Dropdown-Liste
      PKINIT-Zertifikat für Authentifizierung auswählen
      aus, und wählen Sie dann das entsprechende Profil aus.
    6. Wenn Sie die Generic Security Service API verwenden, geben Sie den
      GSS-Namen des Kerberos-Cache
      an.
    7. Klicken Sie im Abschnitt
      App-Bundle-IDs
      auf Das Symbol „Hinzufügen“, um die Bundle-IDs anzugeben, die auf das Ticket Granting Ticket zugreifen können.
    8. Klicken Sie im Abschnitt
      Bevorzugte Schlüsselverteilungscenter (KDC)
      auf das Symbol Hinzufügen, um bevorzugte Server anzugeben, wenn sie nicht über DNS erkannt werden können. Geben Sie jeden Server im gleichen Format an, das in der krb5.conf-Datei verwendet wird. Die angegebenen Server werden für Konnektivitätsprüfungen verwendet, wobei zuerst der
      Kerberos
      -Datenverkehr getestet wird. Wenn die Server nicht reagieren, verwendet das Gerät die DNS-Erkennung.
    9. Geben Sie im Feld
      Benutzerdefinierte Domain-Realm-Zuordnung
      alle erforderlichen benutzerdefinierten Zuordnungen von Domänen zu Realm-Namen im Payload-Format ein, z. B.
      <key>sample-realm1</key><array><string>org</string></array>
      .
    10. Geben Sie im Feld
      Anmeldehinweis
      den Text an, der unten im
      Kerberos
      -Anmeldefenster angezeigt werden soll.
  5. Klicken Sie auf
    Speichern
    .