BlackBerry UEM のシングルサインオンの設定
BlackBerry UEM
のシングルサインオンの設定BlackBerry UEM
を Microsoft Active
Directory
に接続する場合は、シングルサインオン認証を設定すると、管理者またはユーザーがログイン Web ページをバイパスし、管理コンソールまたは BlackBerry UEM Self-Service
に直接アクセスできるようになります。管理者またはユーザーが Windows
にログインした場合、ブラウザーは資格情報を使用して、UEM
で自動的に認証を行います。Windows
のログイン情報は、Active
Directory
の資格情報または派生した資格情報を含めることができます(たとえば、CAC リーダーやデジタルトークンから)。この機能は
UEM Cloud
ではサポートされていません。- 次の操作を実行して、Active Directoryがディレクトリ接続に使用するUEMアカウントの制約付き委任を設定します。
- Windows Serverの ADSI Edit ツールまたは setspn コマンドラインツールを使用して、UEMの次の SPN をActive Directoryアカウントに追加します。HTTP/<host_FQDN_or_pool_name>(HTTP/domain123.example.com など)BASPLUGIN111/<host_FQDN_or_pool_name>(BASPLUGIN111/domain123.example.com など)
- Microsoft Active Directory Users and ComputersのMicrosoft Active Directoryアカウントプロパティの[委任]タブで、[指定されたサービスへの委任でのみこのユーザーを信頼する]および[Kerberos のみを使用]を有効にします。
- SPN をサービスリストに追加します。
- 複数のActive Directory接続用にシングルサインオンを有効にする場合は、Active Directoryフォレスト間に信頼関係がないことを確認します。
- UEM管理コンソールのメニューバーで、[設定] > [外部統合] > [会社のディレクトリ]の順にクリックします。
- [設定されたディレクトリ接続]セクションで、Active Directory接続をクリックします。
- [認証]タブで、[Windows シングルサインオンを有効にする]チェックボックスをオンにします。
- [保存]をクリックします。
- [保存]を再度クリックします。
- [閉じる]をクリックします。
- UEMインスタンスをホストする各コンピューターで、UEMサービスを再起動します。
- 管理者とユーザーに次の URL を使用するように指示します。
- 管理コンソール:https://<host_FQDN_or_pool_name>:<port>/admin
- UEM Self-Service:https://<host_FQDN_or_pool_name>:<port>/mydevice
シングルサインオン認証は、他の認証方式よりも優先されます。組織のセキュリティ標準で、管理者またはユーザーが別の認証方法を使用する必要がある場合は、上記の URL の末尾に「?sso=n」を追加することで、シングルサインオン方式を回避できます。 - 管理者およびUEM Self-Serviceユーザーに、UEMのシングルサインオンをサポートするようにブラウザを設定するよう指示します。
- Microsoft Edge:管理コンソールおよびUEM Self-Serviceの URL は、ローカルイントラネットゾーンに割り当てられる必要があります。統合Windows認証を有効にします。
- Mozilla Firefox:about:config リストで、https://、<host_FQDN_or_pool_name>を「network.negotiate-auth.trusted-uris」設定に追加します。
- Google Chrome:管理コンソールおよびUEM Self-Serviceの URL は、ローカルイントラネットゾーンに割り当てられる必要があります。