Skip Navigation
  1. BlackBerry Docs
  2. 12.20
  3. Verwalten sicherer Verbindungen
  4. Verwalten von geschäftlichen Verbindungen mithilfe von Profilen
  5. Aktivieren der automatischen Authentifizierung für iOS-Geräte

Aktivieren der automatischen Authentifizierung für
iOS
-Geräte

Sie können es
iOS
-Geräten ermöglichen, sich bei Domänen und Webdiensten Ihres Unternehmensnetzwerks automatisch zu authentifizieren. Nach Zuweisung eines Profils oder eines Erweiterungsprofils für die einmalige Anmeldung (Single Sign-On, SSO) wird der Benutzer aufgefordert, beim erstmaligen Zugriff auf eine von Ihnen festgelegte sichere Domäne einen Benutzernamen und ein Kennwort einzugeben. Die Anmeldeinformationen werden auf dem Gerät des Benutzers gespeichert und automatisch verwendet, wenn er versucht, auf die in seinem Profil festgelegten sicheren Domänen zuzugreifen. Wenn der Benutzer das Kennwort ändert, wird er beim nächsten Zugriff auf eine sichere Domäne zur Eingabe aufgefordert.
Sie müssen ein Profil für die SSO-Erweiterung verwenden, damit sich Geräte automatisch bei Domänen und Webservices im Netzwerk Ihres Unternehmens authentifizieren können. Sie können Einstellungen für eine benutzerdefinierte Erweiterung angeben oder die
Kerberos
-Erweiterung verwenden, die von
Apple
 bereitgestellt wird.
Wenn Sie eine zertifikatbasierte Authentifizierung verwenden möchten, erstellen Sie das erforderliche Profil für das Zertifikat.
  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf
    Richtlinien und Profile > Netzwerke und Verbindungen > Single Sign-On-Erweiterung
    .
  2. Klicken Sie auf Das Symbol „Hinzufügen“.
  3. Geben Sie einen Namen und eine Beschreibung für das Profil ein.
  4. Klicken Sie in der Dropdown-Liste
    Erweiterungstyp für einmalige Anmeldung
     auf
    Benutzerdefinierte Erweiterung
     oder
    Integrierte Kerberos-Erweiterung
    , die von
    Apple
     bereitgestellt wird.
    Aufgabe
    Schritte
    Wenn Sie
    Benutzerdefinierte Erweiterung
     auswählen
    1. Geben Sie im Feld
      Erweiterungs-ID
       die Kennung für die App ein, die die einmalige Anmeldung durchführt.
    2. Wählen Sie die passende Anmeldeart aus.
    3. Wenn Sie
      Anmeldedaten
       als Anmeldeart ausgewählt haben, führen Sie die folgenden Schritte aus:
      1. Geben Sie im Feld
        Bereich
         den Bereichsnamen für die Anmeldedaten ein.
      2. Klicken Sie im Abschnitt
        Domänen
         auf Das Symbol „Hinzufügen“, um eine Domäne hinzuzufügen.
      3. Geben Sie im Feld
        Name
         die Domäne ein, für die die App-Erweiterung die einmalige Anmeldung (Single Sign-On) durchführt.
      4. Fügen Sie nach Bedarf weitere Domänen hinzu.
    4. Wenn Sie als Anmeldeart
      Umleiten
       ausgewählt haben, führen Sie die folgenden Schritte aus:
      1. Klicken Sie im Abschnitt
        URLs
         auf Das Symbol „Hinzufügen“, um eine URL hinzuzufügen.
      2. Geben Sie im Feld
        Name
         das URL-Präfix des Identitätsanbieters ein, für den die App-Erweiterung die einmalige Anmeldung (Single Sign-On) durchführt. Fügen Sie nach Bedarf weitere URLs hinzu.
    5. Geben Sie im Feld
      Benutzerdefinierter Payload-Code
       den benutzerdefinierten Payload-Code für die App-Erweiterung ein.
    Wenn Sie
    Integrierte Kerberos-Erweiterung
     auswählen
    1. Klicken Sie im Abschnitt
      Domänen
       auf Das Symbol „Hinzufügen“, um eine Domäne hinzuzufügen.
    2. Geben Sie im Feld
      Bereichsname
       den Bereichsnamen für die Anmeldedaten ein.
    3. Wählen Sie die entsprechenden
      Apple Kerberos SSO-Erweiterungsdaten
       für Ihre Umgebung aus. Automatische Anmeldung und
      Active Directory
       automatisch erkennen sind standardmäßig zulässig. Sie können auch den Standardbereich angeben, nur verwalteten Apps die Verwendung von Single Sign-On erlauben und den Zugriff durch Benutzer bestätigen lassen.
    4. Legen Sie den
      Prinzipalnamen
       für die Verbindung fest.
    5. Wenn Sie ein Zertifikatprofil verwenden möchten, um das PKINIT-Zertifikat für die Authentifizierung bereitzustellen, wählen Sie den Profiltyp aus der Dropdown-Liste
      PKINIT-Zertifikat für Authentifizierung auswählen
       aus, und wählen Sie dann das entsprechende Profil aus.
    6. Wenn Sie die Generic Security Service API verwenden, geben Sie den
      GSS-Namen des Kerberos-Cache
       an.
    7. Klicken Sie im Abschnitt
      App-Bundle-IDs
       auf Das Symbol „Hinzufügen“, um die Bundle-IDs anzugeben, die auf das Ticket Granting Ticket zugreifen können.
    8. Klicken Sie im Abschnitt
      Bevorzugte Schlüsselverteilungscenter (KDC)
       auf das Symbol Hinzufügen, um bevorzugte Server anzugeben, wenn sie nicht über DNS erkannt werden können. Geben Sie jeden Server im gleichen Format an, das in der krb5.conf-Datei verwendet wird. Die angegebenen Server werden für Konnektivitätsprüfungen verwendet, wobei zuerst der
      Kerberos
      -Datenverkehr getestet wird. Wenn die Server nicht reagieren, verwendet das Gerät die DNS-Erkennung.
    9. Geben Sie im Feld
      Benutzerdefinierte Domain-Realm-Zuordnung
       alle erforderlichen benutzerdefinierten Zuordnungen von Domänen zu Realm-Namen im Payload-Format ein, z. B.
      <key>sample-realm1</key><array><string>org</string></array>
      .
    10. Geben Sie im Feld
      Anmeldehinweis
       den Text an, der unten im
      Kerberos
      -Anmeldefenster angezeigt werden soll.
  5. Klicken Sie auf
    Speichern
    .