SSOアカウントデバイスポリシー
XenMobileでシングルサインオン(SSO)アカウントを作成して,ユーザーが1回サインオンするだけで、さまざまなアプリケーションからXenMobileおよび社内リソースにアクセスすることができるようにします。デバイスに資格情報を保存する必要はありません。SSOアカウントエンタープライズユーザーの資格情報は、App Storeからのアプリを含む複数のアプリで使用されます。このポリシーは、Kerberos認証バックエンドで動作するように設計されています。
このポリシーはiOS 7.0以降にのみ適用されます。
このポリシーを追加または構成するには、[構成]>[デバイスポリシー]の順に選択します。詳しくは、「デバイスポリシー」を参照してください。
iOSの設定
- アカウント名:ユーザーのデバイスで表示されるKerberos SSOアカウント名を入力します。このフィールドは必須です。
- Kerberosプリンシパル名:Kerberosプリンシパル名を入力します。このフィールドは必須です。
- ID資格情報(キーストアまたはPKI資格情報):一覧から、オプションとして、ID資格情報を選択します。これを使用して、Kerberos資格情報をユーザー操作なしで更新できます。
- Kerberos領域:このポリシーのKerberosレルムを入力します。これは通常、ドメイン名をすべて大文字にしたものです(例:EXAMPLE.COM)。このフィールドは必須です。
- 許可されているURL:シングルサインオンを要求するURLごとに、[追加]をクリックして以下の操作を行います。
許可されているURL:ユーザーがiOSデバイスからアクセスしたときにSSOを要求するURLを入力します。
たとえば,ユーザーがサイトを参照しようとし,WebサイトがKerberosチャレンジを開始した場合、そのサイトがURL一覧にないと、iOSデバイスでは、前のKerberosログオンでデバイスにキャッシュされた可能性があるKerberosトークンを提供したSSOは試行されません。URLは、ホスト部分が正確に一致する必要があります。たとえば、
https://shopping.apple.comは有効ですが、https://*.apple.comは有効ではありません。また、Kerberosがホストの一致に基づいてアクティブ化されない場合でも、URLは標準のHTTP呼び出しにフォールバックします。これは、URLにKerberosを使用するSSOだけが構成されている場合であっても、標準パスワードチャレンジやHTTPエラーなどを含むほとんどすべてのことを意味する可能性があります。
[追加]をクリックしてURLを追加するか、[キャンセル]をクリックしてURLの追加を取り消します。
- アプリ識別子:このログインを許可するアプリごとに、[追加]をクリックして以下の操作を行います。
- アプリ識別子:このログインを使用できるアプリのアプリIDを入力します。アプリIDを追加しなかった場合、このログインはすべてのアプリIDに一致します。
- [追加]をクリックしてアプリIDを追加するか、[キャンセル]をクリックしてアプリIDの追加を取り消します。
- ポリシー設定
- ポリシーの削除:ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択]と[削除までの期間(時間)を指定]です。
- 日付を選択:カレンダーをクリックして削除を実行する特定の日付を選択します。
- 削除までの期間(時間)を指定:ポリシーが削除されるまでの時間単位の数値を入力します。iOS 6.0以降でのみ使用できます。
- ポリシーの削除:ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択]と[削除までの期間(時間)を指定]です。