iOS
デバイスの自動認証の有効化

iOS

デバイスを有効にして、組織のネットワーク内のドメインおよび Web サービスでの認証を自動的に実行できます。シングルサインオンプロファイルまたはシングルサインオン拡張プロファイルを割り当てると、ユーザーは、指定したセキュリティ保護されたドメインに初めてアクセスを試行したときに、ユーザー名とパスワードの入力が求められます。ログイン情報はユーザーのデバイスに保存され、ユーザーがプロファイルに指定されたセキュリティ保護されたドメインにアクセスを試行すると自動的に使用されます。ユーザーがパスワードを変更した場合は、セキュリティ保護されたドメインへの次回アクセス試行時に、パスワードの入力が求められます。

シングルサインオン拡張プロファイルを使用して、組織のネットワーク内のドメインおよび Web サービスでデバイスが自動的に認証されるようにします。カスタム拡張の設定を指定することも、

Apple

で提供されている

Kerberos

拡張を使用することもできます。

証明書ベースの認証を使用する場合は、必要な証明書プロファイルを作成します。

管理コンソールのメニューバーで、

［ポリシーとプロファイル］ > ［ネットワークと接続］ > ［シングルサインオン拡張］

をクリックします。

をクリックします。

プロファイルの名前と説明を入力します。

［シングルサインオン拡張タイプ］

ドロップダウンリストで、

Apple

により提供される

［カスタム拡張］

または

［Kerberos 組み込み拡張機能］

をクリックします。

タスク	手順
［カスタム拡張機能］を選択した場合	［拡張識別子］フィールドに、シングルサインオンを実行するアプリの識別子を入力します。適切なサインオンのタイプを選択します。サインオンタイプとして［資格情報］を選択した場合は、次の手順を実行します。［領域］フィールドに、資格情報の領域名を入力します。［ドメイン］セクションで、をクリックしてドメインを追加します。［名前］フィールドに、アプリ拡張機能がシングルサインオンを実行するドメインを入力します。必要に応じて追加のドメインを追加します。サインオンタイプとして［リダイレクト］を選択した場合は、次の手順を実行します。［URL］セクションで、をクリックして URL を追加します。［名前］フィールドに、アプリ拡張機能がシングルサインオンを実行する ID プロバイダーの URL プレフィックスを入力します。必要に応じて追加の URL を追加します。［カスタムペイロードコード］フィールドに、アプリ拡張機能のカスタムペイロードコードを入力します。
［Kerberos 組み込み拡張機能］を選択した場合	［ドメイン］セクションで、をクリックしてドメインを追加します。［領域名］フィールドに、資格情報の領域名を入力します。環境に適した［Apple Kerberos SSO 拡張データ］を選択します。デフォルトでは、自動ログインと Active Directory 自動検出が許可されています。また、デフォルトの領域を指定することも、管理対象アプリのみがシングルサインオンを使用できるようにすることも、ユーザーにアクセスの確認を要求することもできます。接続の［プリンシパル名］を設定します。証明書プロファイルを使用して認証用の PKINIT 証明書を提供する場合は、［認証用の PKINIT 証明書の選択］ドロップダウンリストからプロファイルタイプを選択し、適切なプロファイルを選択します。 Generic Security Service API を使用している場合は、［Kerberos キャッシュの GSS 名］を指定します。［アプリケーションバンドル ID］セクションで、をクリックして、チケット認可チケットへのアクセスを許可するバンドル ID を指定します。［優先キー配布センター］セクションでをクリックして、優先サーバーが DNS を使用して検出できない場合に指定します。各サーバーを krb5.conf ファイルで使用されているものと同じ形式で指定します。指定されたサーバーは接続性チェックに使用され、まず Kerberos トラフィックに対して試行されます。サーバーが応答しない場合、デバイスは DNS 検出を使用します。［カスタムドメイン領域マッピング］フィールドに、ドメインから領域名への必要なカスタムマッピングをペイロード形式で入力します（たとえば、 <key>sample-realm1</key><array><string>org</string></array> ）。［ログインヒント］フィールドで、 Kerberos ログインウィンドウの下部に表示するテキストを指定します。

タスク

手順

［カスタム拡張機能］

を選択した場合

［拡張識別子］

フィールドに、シングルサインオンを実行するアプリの識別子を入力します。

適切なサインオンのタイプを選択します。

サインオンタイプとして

［資格情報］

を選択した場合は、次の手順を実行します。

［領域］

フィールドに、資格情報の領域名を入力します。

［ドメイン］

セクションで、

をクリックしてドメインを追加します。

［名前］

フィールドに、アプリ拡張機能がシングルサインオンを実行するドメインを入力します。

必要に応じて追加のドメインを追加します。

サインオンタイプとして

［リダイレクト］

を選択した場合は、次の手順を実行します。

［URL］

セクションで、

をクリックして URL を追加します。

［名前］

フィールドに、アプリ拡張機能がシングルサインオンを実行する ID プロバイダーの URL プレフィックスを入力します。必要に応じて追加の URL を追加します。

［カスタムペイロードコード］

フィールドに、アプリ拡張機能のカスタムペイロードコードを入力します。

［Kerberos 組み込み拡張機能］

を選択した場合

［ドメイン］

セクションで、

をクリックしてドメインを追加します。

［領域名］

フィールドに、資格情報の領域名を入力します。

環境に適した

［Apple Kerberos SSO 拡張データ］

を選択します。デフォルトでは、自動ログインと

Active Directory

自動検出が許可されています。また、デフォルトの領域を指定することも、管理対象アプリのみがシングルサインオンを使用できるようにすることも、ユーザーにアクセスの確認を要求することもできます。

接続の

［プリンシパル名］

を設定します。

証明書プロファイルを使用して認証用の PKINIT 証明書を提供する場合は、

［認証用の PKINIT 証明書の選択］

ドロップダウンリストからプロファイルタイプを選択し、適切なプロファイルを選択します。

Generic Security Service API を使用している場合は、

［Kerberos キャッシュの GSS 名］

を指定します。

［アプリケーションバンドル ID］

セクションで、

をクリックして、チケット認可チケットへのアクセスを許可するバンドル ID を指定します。

［優先キー配布センター］

セクションで

をクリックして、優先サーバーが DNS を使用して検出できない場合に指定します。各サーバーを krb5.conf ファイルで使用されているものと同じ形式で指定します。指定されたサーバーは接続性チェックに使用され、まず

Kerberos

トラフィックに対して試行されます。サーバーが応答しない場合、デバイスは DNS 検出を使用します。

［カスタムドメイン領域マッピング］

フィールドに、ドメインから領域名への必要なカスタムマッピングをペイロード形式で入力します（たとえば、

<key>sample-realm1</key><array><string>org</string></array>

）。

［ログインヒント］

フィールドで、

Kerberos

ログインウィンドウの下部に表示するテキストを指定します。

［保存］

をクリックします。

Section:

プロファイルを使用した仕事用接続の管理

iOS デバイスの自動認証の有効化

iOS
デバイスの自動認証の有効化