今回試す新たな認証方法はモバイルSSO(Apple版)というもので、これまでもモバイルSSO(Android版)、モバイルSSO(iOS版)というものがありましたが、それに近しい何かを感じますね。
題名の「Touch IDでログイン」というのは、モバイルSSO(Apple版)では追加の認証方法としてTouch IDを利用することができるため、今回はそれを試すことでモバイルSSO(Apple版)の設定に必要な操作や使用感などを確かめてみたいと思います。
ちなみに「Touch IDでログイン」とは言ったものの、実際にはTouch IDと同時に証明書認証も行われているため、パスワードレスでありつつセキュアな認証方法であると言えます。
大まかな流れは以下の通りです。
1.WS1 UEMのルート証明書を取得
2.WS1 AccessでモバイルSSO(Apple版)の設定
3.モバイルSSO用のプロファイル配信
4.動作確認(モバイルSSO(Apple版)でログイン)
1.WS1 UEMのルート証明書を取得
WS1 UEMの管理コンソールにログイン後、「すべての設定」>「システム」>「エンタープライズ統合」>「Workspace ONE Access」>「構成」をクリックし、その後証明書の「エクスポート」をクリックします。
2.WS1 AccessでモバイルSSO(Apple版)の設定
WS1 Accessの管理コンソールにログイン後、「統合」>「認証方法」をクリックし、「モバイルSSO(Apple版)」にチェックを入れ、「構成」をクリックします。
「証明書アダプタを有効にする」をオンにします。
ルートおよび中間CA証明書には、前の手順で取得したWS1 UEMのルート証明書をアップロードします。そして「Device Auth Type」は今回はTouch IDのみを追加認証方法として使うため「biometric」を選択しておきます。
IDプロバイダ設定でも忘れずにモバイルSSO(Apple版)を有効化しておきます。
3.モバイルSSO用のプロファイル配信
UEMの管理コンソールで[リソース]>[プロファイル]をクリック後、[追加]>[プロファイルを追加]をクリックします。
プラットフォームは「Apple iOS」をクリックします。
コンテキストは「デバイスプロファイル」をクリックします。
「SCEP」ペイロードを追加し、以下の通り設定します。
-資格情報ソース:AirWatch認証局
-認証局:AirWatch Certificate Authority
-証明書テンプレート:Single Sign-On
「シングルサインオン拡張機能」ペイロードを追加し、以下の通り設定します。
-機能拡張タイプ:WS1 ACCESS
-ホスト:WS1 AccessテナントのFQDN
【補足】
「許可済みのバンドルID」でモバイルSSOを実行できるアプリを特定のもののみに制限することができますが、今回は特に指定していません。
以上を設定したらプロファイルをグループに割り当て、デバイスに配信されたことを確認します。
4.動作確認(モバイルSSO(Apple版)でログイン)
モバイルSSO(Apple版)でログインするにはIntelligent Hubが必須なので、HubがiOSデバイスにインストールされていることを確認します。
ブラウザでWS1 Accessにアクセスし、ユーザー名を入力後「次へ」をタップします。
するとブラウザ内にポップアップが出て、認証の処理が始まります。これはモバイルSSO(iOS版)では表示されなかったものです。
Touch IDの入力が求められました。「Hub」がこの処理をしているようです。
デバイス側でTouch IDを実行すると認証処理が続きます。
認証処理が完了するとログインが完了し、WS1 Accessのポータル画面が表示されました。
WS1 Accessのログを見るとAppleMSSOでログインしたというログが出ています。
これまでも「モバイルSSO(iOS)」という認証方法がありました。若干ややこしい初期設定さえすれば特に問題なく動きますが、「モバイルSSO(Apple)」ではApple純正のSSO機能を利用するようにしているようです。
また、こちらの方の場合裏で動いている証明書認証に加えてTouch IDなどの生体認証を利用することもできるので、パスワード認証がないことでより便利にしつつ、かつセキュアに利用することが出来そうです。
コメント
コメントを投稿