Appleデバイスの拡張シングルサインオンKerberos MDMペイロードの設定
拡張シングルサインKerberosオンペイロードでは、モバイルデバイス管理(MDM)ソリューションに登録されているiPhone、iPad、共有iPad、Mac、またはApple Vision Proのユーザの多要素ユーザ認証用の機能拡張を定義できます。
この機能拡張は、ユーザがアプリやWebサイトにシームレスにサインできるようにするために組織によって使用されます。このペイロードがMDMを使用して適切に構成されていると、ユーザは、1回認証すれば次回以降は自動的にネイティブアプリやWebサイトにアクセスできます。拡張シングルサインオンKerberosペイロードで、以下のような機能を使用できます:
ユーザ名とパスワード、またはスマートカードなどによる認証
アプリ別VPN
パスワードの有効期限切れ通知
パスワードの変更
このペイロードはユーザチャネルで使用できるため、MDMベンダーはSSOのためのユーザごとの設定(証明書ベースのKerberosやPKINITで使用するためのユーザレベルの証明書識別情報など)をバンドルすることができます。
利用可能な承認方法: ユーザの承認が必要です。
利用可能なインストール方法: インストールにはMDMソリューションが必要です。
利用可能なペイロード識別子: com.apple.extensiblesso(kerberos)
対応しているオペレーティングシステムおよびチャンネル: iOS、iPadOS、共有iPadユーザ、macOSデバイス、macOSユーザ、visionOS 1.1。
利用可能な登録方法: ユーザ登録、デバイス登録、自動デバイス登録。
重複を許可: True。拡張シングルサインオンKerberosペイロードはユーザまたはデバイスに複数配信できます。
拡張シングルサインオンKerberosペイロードでは以下の表の設定を使用できます。
設定 | 説明 | 必須 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
拡張ID | アプリの一意バンドルID。com.apple.AppSSOKerberosである必要があります。KerberosExtension。 | はい | |||||||||
チームID | アプリの一意チームIDappleである必要があります。 | はい | |||||||||
サインオンのタイプ | この値はCredentialである必要があります。 | はい | |||||||||
領域 | ユーザのアカウントが置かれているKerberosの全領域です。 | はい | |||||||||
ホスト | アプリ機能拡張で認証できる承認済みドメイン。 | いいえ | |||||||||
機能拡張データ | Appleによる内蔵のKerberos機能拡張で使用される辞書です。 | いいえ | |||||||||
注記: 各MDMベンダーは、これらの設定を異なる方法で実装します。お使いのデバイスおよびユーザで適用されるさまざまな拡張シングルサインオンKerberos設定については、MDMベンダーの資料を参照してください。