シングルサインオン拡張プロファイルの作成

シングルサインオン拡張機能は、

iOS

および

iPadOS

13 以降を実行しているデバイスでサポートされています。カスタム拡張の設定を指定することも、

Apple

で提供されている

Kerberos

拡張を使用することもできます。

証明書ベースの認証を使用する場合は、必要な証明書プロファイルを作成します。

メニューバーで

［ポリシーとプロファイル］

をクリックします。

［ネットワークと接続］

［シングルサインオン拡張］

をクリックします。

をクリックします。

プロファイルの名前と説明を入力します。

［シングルサインオン拡張タイプ］

ドロップダウンリストで、カスタム拡張機能を使用するか、または

Apple

によって提供される

Kerberos

拡張機能を使用するかを指定します。

タスク	手順
［カスタム拡張機能］を選択した場合	［拡張識別子］フィールドに、シングルサインオンを実行するアプリの識別子を入力します。サインオンタイプが［資格情報］または［リダイレクト］のどちらであるかを指定します。サインオンタイプとして［資格情報］を選択した場合は、次の手順を実行します。［領域］フィールドに、資格情報の領域名を入力します。［ドメイン］セクションで、をクリックしてドメインを追加します。［名前］フィールドに、アプリ拡張機能がシングルサインオンを実行するドメインを入力します。必要に応じて追加のドメインを追加します。サインオンタイプとして［リダイレクト］を選択した場合は、次の手順を実行します。［URL］セクションで、をクリックして URL を追加します。［名前］フィールドに、アプリ拡張機能がシングルサインオンを実行する ID プロバイダーの URL プレフィックスを入力します。必要に応じて追加の URL を追加します。［カスタムペイロードコード］フィールドに、アプリ拡張機能のカスタムペイロードコードを入力します。
［Kerberos 組み込み拡張機能］を選択した場合	［ドメイン］セクションで、をクリックしてドメインを追加します。［領域名］フィールドに、資格情報の領域名を入力します。環境に適した［Apple Kerberos SSO 拡張データ］を選択します。デフォルトでは、自動ログインと Active Directory 自動検出が許可されています。また、デフォルトの領域を指定することも、管理対象アプリのみがシングルサインオンを使用できるようにすることも、ユーザーにアクセスの確認を要求することもできます。接続の［プリンシパル名］を設定します。証明書プロファイルを使用して認証用の PKINIT 証明書を提供する場合は、［認証用の PKINIT 証明書の選択］ドロップダウンリストからプロファイルタイプを選択し、適切なプロファイルを選択します。 Generic Security Service API を使用している場合は、［Kerberos キャッシュの GSS 名］を指定します。［アプリケーションバンドル ID］セクションで、をクリックして、チケット認可チケットへのアクセスを許可するバンドル ID を指定します。［優先キー配布センター］セクションでをクリックして、優先サーバーが DNS を使用して検出できない場合に指定します。各サーバーを krb5.conf ファイルで使用されているものと同じ形式で指定します。指定されたサーバーは接続性チェックに使用され、まず Kerberos トラフィックに対して試行されます。サーバーが応答しない場合、デバイスは DNS 検出を使用します。［カスタムドメイン領域マッピング］フィールドに、ドメインから領域名への必要なカスタムマッピングをペイロード形式で入力します（たとえば、 <key>サンプル領域 1</key><array><string>org</string></array> ）。［ログインヒント］フィールドで、 Kerberos ログインウィンドウの下部に表示するテキストを指定します。

タスク

手順

［カスタム拡張機能］

を選択した場合

［拡張識別子］

フィールドに、シングルサインオンを実行するアプリの識別子を入力します。

サインオンタイプが

［資格情報］

または

［リダイレクト］

のどちらであるかを指定します。

サインオンタイプとして

［資格情報］

を選択した場合は、次の手順を実行します。

［領域］

フィールドに、資格情報の領域名を入力します。

［ドメイン］

セクションで、

をクリックしてドメインを追加します。

［名前］

フィールドに、アプリ拡張機能がシングルサインオンを実行するドメインを入力します。

必要に応じて追加のドメインを追加します。

サインオンタイプとして

［リダイレクト］

を選択した場合は、次の手順を実行します。

［URL］

セクションで、

をクリックして URL を追加します。

［名前］

フィールドに、アプリ拡張機能がシングルサインオンを実行する ID プロバイダーの URL プレフィックスを入力します。必要に応じて追加の URL を追加します。

［カスタムペイロードコード］

フィールドに、アプリ拡張機能のカスタムペイロードコードを入力します。

［Kerberos 組み込み拡張機能］

を選択した場合

［ドメイン］

セクションで、

をクリックしてドメインを追加します。

［領域名］

フィールドに、資格情報の領域名を入力します。

環境に適した

［Apple Kerberos SSO 拡張データ］

を選択します。デフォルトでは、自動ログインと

Active Directory

自動検出が許可されています。また、デフォルトの領域を指定することも、管理対象アプリのみがシングルサインオンを使用できるようにすることも、ユーザーにアクセスの確認を要求することもできます。

接続の

［プリンシパル名］

を設定します。

証明書プロファイルを使用して認証用の PKINIT 証明書を提供する場合は、

［認証用の PKINIT 証明書の選択］

ドロップダウンリストからプロファイルタイプを選択し、適切なプロファイルを選択します。

Generic Security Service API を使用している場合は、

［Kerberos キャッシュの GSS 名］

を指定します。

［アプリケーションバンドル ID］

セクションで、

をクリックして、チケット認可チケットへのアクセスを許可するバンドル ID を指定します。

［優先キー配布センター］

セクションで

をクリックして、優先サーバーが DNS を使用して検出できない場合に指定します。各サーバーを krb5.conf ファイルで使用されているものと同じ形式で指定します。指定されたサーバーは接続性チェックに使用され、まず

Kerberos

トラフィックに対して試行されます。サーバーが応答しない場合、デバイスは DNS 検出を使用します。

［カスタムドメイン領域マッピング］

フィールドに、ドメインから領域名への必要なカスタムマッピングをペイロード形式で入力します（たとえば、

<key>サンプル領域 1</key><array><string>org</string></array>

）。

［ログインヒント］

フィールドで、

Kerberos

ログインウィンドウの下部に表示するテキストを指定します。

［保存］

をクリックします。

Section:

デバイスでシングルサインオン認証を設定