XenMobile Server

SSOアカウントデバイスポリシー

XenMobileでシングルサインオン(SSO)アカウントを作成して、ユーザーが1回サインオンするだけで、さまざまなアプリケーションからXenMobileおよび社内リソースにアクセスすることができるようにします。デバイスに資格情報を保存する必要はありません。SSOアカウントエンタープライズユーザーの資格情報は、App Storeからのアプリを含む複数のアプリで使用されます。このポリシーは、Kerberos認証バックエンドで動作するように設計されています。

このポリシーはiOS 7.0以降にのみ適用されます。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

iOSの設定

  • アカウント名: ユーザーのデバイスで表示されるKerberos SSOアカウント名を入力します。このフィールドは必須です。
  • Kerberosプリンシパル名: Kerberosプリンシパル名を入力します。このフィールドは必須です。
  • ID資格情報(キーストアまたはPKI資格情報): ドロップダウンリストから、オプションとして、ID資格情報を選択します。これを使用して、Kerberos資格情報をユーザー操作なしで更新できます。
  • Kerberos領域: このポリシーのKerberosレルムを入力します。これは通常、ドメイン名をすべて大文字にしたものです(例:EXAMPLE.COM)。このフィールドは必須です。
  • 許可されているURL: シングルサインオンを要求するURLごとに、[追加] をクリックして以下の操作を行います。
    • 許可されているURL: ユーザーがiOSデバイスからアクセスしたときにSSOを要求するURLを入力します。

      たとえば、ユーザーがサイトを参照しようとし、WebサイトがKerberosチャレンジを開始した場合、そのサイトがURL一覧にないと、iOSデバイスでは、前のKerberosログオンでデバイスにキャッシュされた可能性があるKerberosトークンを提供したSSOは試行されません。URLは、ホスト部分が正確に一致する必要があります。たとえば、https://shopping.apple.comは有効ですが、https://*.apple.comは有効ではありません。

      また、Kerberosがホストの一致に基づいてアクティブ化されない場合でも、URLは標準のHTTP呼び出しにフォールバックします。これは、URLにKerberosを使用するSSOだけが構成されている場合であっても、標準パスワードチャレンジやHTTPエラーなどを含むほとんどすべてのことを意味する可能性があります。

    • [追加] をクリックしてURLを追加するか、[キャンセル] をクリックしてURLの追加を取り消します。

  • アプリ識別子: このログインを許可するアプリごとに、[追加] をクリックして以下の操作を行います。
    • アプリ識別子: このログインを使用できるアプリのアプリIDを入力します。アプリIDを追加しなかった場合、このログインはすべてのアプリIDに一致します。
    • [追加] をクリックしてアプリIDを追加するか、[キャンセル] をクリックしてアプリIDの追加を取り消します。
  • ポリシー設定
    • ポリシーの削除: ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択][削除までの期間(時間)を指定] です。
      • 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
      • 削除までの期間(時間)を指定: ポリシーが削除されるまでの時間単位の数値を入力します。iOS 6.0以降でのみ使用できます。
SSOアカウントデバイスポリシー

この記事の概要