AirWatch iOS SDK でシングル サインオン (SSO) とパスコードを使用する方法

SDK 対応アプリでシングル サインオン (SSO) を利用するには、アプリが AirWatch Agent と通信を行い、複数アプリ間で認証情報を共有する必要があります。初期化が完了すると、アプリは Agent との間に SSO セッションを確立し、ユーザー認証と SSO 管理の処理を Agent または AirWatch Container にデリゲート (委託) します。アプリのひとつでセッションが確立されると、そのセッションは他のアプリとも共有され、ユーザーはアプリごとにパスコードを設定したり認証を行ったりする必要がなくなります。 

SSO 機能を利用することで、アプリは必要に応じて、そのデバイスでの AirWatch 加入資格情報にアクセスすることができるようにもなります。SSO セッションの期限が切れると、SSO アプリのいずれかにアクセスしようとしたユーザーはパスコードまたはユーザー名/パスワードの入力を求められます (セキュリティ ポリシーに設定された認証タイプにより異なります)。認証に成功すれば、再び SSO セッションが初期化されます。また、既定の設定または SDK プロファイルでは、認証の失敗試行回数の上限を設定することもできます。ユーザーがこの回数を超えて認証に失敗すると、関連するアプリの wipe デリゲート メソッドが呼び出されます。アプリ開発者は、このメソッドの中でアプリのローカル データを削除します。

SDK を使用するには、AWController を使用して clientInstancestart を呼び出す、初期化のためのコードを実装する必要があります。また、AppDelegate の中で、lockunlockwipe をはじめとする AWSDKDelegate の各デリゲート メソッドも実装してください。詳細は、iOS SDK ガイドまたは記事「iOS SDK 実装の手引き」を参照してください。

SDK アプリを AirWatch コンソールにアップロードし、既定の設定で SSO を有効にするか、SSO を有効にした SDK プロファイルを割り当てると、あとは SDK が自動的に AirWatch Agent と通信を行い、SSO セッションを管理します。

 

認証タイプ

認証タイプは SSO と併用することも、単独で使用することもできます。SSO を使用せず認証タイプ (パスコードまたはユーザー名/パスワード) を有効化すると、ユーザーはアプリごとにそれぞれのパスコードや資格情報を入力する必要があります。SSO と認証タイプの両方を有効化している場合、ユーザーは管理者が構成した認証タイプに従い、パスコードまたはユーザー名/パスワードを一度だけ入力すれば、SSO セッションが終了するまで再入力は不要になります。

設定

説明

パスコード

既定の設定プロファイルが適用される AirWatch アプリまたはラッピングされたアプリのローカル パスコード要件を設定します。デバイス ユーザーは、アプリの初回アクセス時にデバイス上のアプリ レベルでパスコードを設定します。

ユーザー名とパスワード

ユーザーに AirWatch 資格情報を使用して AirWatch への認証を行うよう義務付けます。AirWatch コンソールの アカウント セクションにユーザーを追加するときにこれらの資格情報を設定します。

無効

アプリへのアクセスに認証を必要としません。

貴社アプリでの認証タイプを「パスコード」に設定するには、AirWatch コンソールでカスタム SDK プロファイルをプッシュするか、既定のアプリケーション設定を構成します。

 

既定のアプリケーション設定を使用する場合は、グループと設定 > すべての設定 > アプリ > 設定とポリシー > セキュリティ ポリシー と進み、認証タイプパスコード を選択します。 

パスコード設定

説明

パスコード

このオプションを有効にして、ローカル パスコード要件を必須にします。

認証タイムアウト

アイドル状態が続いたときに、認証なしでアプリへのアクセスを許可する猶予時間を設定します。SSO を有効化している場合、パスコードの猶予期間が切れると、SSO ユーザーはすべての AirWatch アプリおよび構成済み企業アプリ/リソースからログアウトします。

試行失敗回数の上限

ログインの際に、パスコード入力を試行できる回数の上限を設定します。失敗回数が上限を超えると、再認証し新しいパスコードを設定する必要があります。

パスコード モード

数字 または 英数字 に設定します。

単純な値を許可

シンプルな組み合わせを許可するにはこの設定を使用します。この設定を有効化すると、1234 や 1111 のような値も許可されます。

パスコード最少文字数

パスコードの最少文字数を設定します。

複雑な文字の最少数 (英数字 を選択した場合)

パスコードに使用する特殊文字の最少文字数を設定します。たとえば、[]、@、# のような特殊文字が許可されます。

パスコードの有効期間 (日)

パスコードの変更が必要になるまでの有効日数を設定します。

パスコード履歴

AirWatch コンソールに保存されるパスコードの個数を設定し、ユーザーが最近使用したパスコードを再利用できないようにします。

バイオメトリック モード

アクセス時の認証に使用するシステムを選択します。 

  • 有効 – アプリでの認証に指紋などの生体的特徴を使用するようユーザーに要求します。

:アプリを使用する前に、デバイス パスコードと TouchID/FaceID を構成する必要があります。

  • 無効 – アプリへのアクセスにバイオメトリック認証システムの使用を必要としません。

 

 

貴社アプリにパスコード SDK ポリシーを配布し終えた後、初めて貴社アプリや AirWatch Agent などの他の AirWatch SDK 対応アプリ (SSO を有効化している場合) を開くと、ユーザーはパスコードをセットアップするように求められます。 

Agent_Image.png

 

シングル サインオン (SSO)

エンドユーザーは AirWatch のシングル サインオン (SSO) 機能を利用することにより、1 つの SSO パスコードを使用して、すべての AirWatch アプリ、ラッピングされたアプリ、および SDK 対応アプリにアクセスできます。アプリごとにログイン資格情報を入力する必要はありません。AirWatch Agent または AirWatch Container を「ブローカー アプリ」として使用することにより、エンドユーザーは通常の資格情報または SSO パスコードを 1 回入力するだけで認証を完了することができます。その後も、SSO セッションがアクティブである限り、他のアプリにそのままアクセスできます。

 

SSO の有効化

SSO の有効化は、セキュリティ ポリシー で行います。管理者はこのセキュリティ ポリシーが、既定の SDK プロファイルを使用している AirWatch アプリ、ラッピングされたアプリ、および SDK 対応アプリのすべてに適用されるように構成します。以下の手順に従って SSO を有効化します。

  1. グループと設定 > すべての設定 > アプリ > 設定とポリシー > セキュリティ ポリシー と進みます。 

  2. シングル サインオン有効 を選択します。これによりエンドユーザーは、すべての AirWatch アプリを横断してログイン状態を維持することができます。 

  3. オプションとして、認証タイプパスコード を選択し、パスコード モード数字 または 英数字 を選択します。これにより、デバイス上で SSO パスコードの入力が必須になります。SSO を有効にし、認証タイプを有効にしていない場合、エンドユーザーの認証には通常の資格情報 (ディレクトリ サービスまたは AirWatch のアカウント) を使用します。この場合、SSO パスコードは設定されていません。 


 

SSO セッション

エンドユーザーが SSO 対象アプリで認証を完了すると、セッションが確立されます。SDK プロファイルで指定されている 認証タイムアウト 時間に達するか、ユーザーがアプリを手動でロックするまで、セッションはアクティブなまま維持されます。

:SDK プロファイルの認証ペイロードに含まれるタイムアウト値は、AWAuthenticationPayload クラスの passcodeTimeout を使用して取得できます。以下に例を示します。

Untitled.png

 

必要な Agent 設定

AirWatch Agent をシングル サインオンなどの機能の「ブローカー アプリ」として使用する場合は、必ず該当する SDK プロファイルを使用して AirWatch Agent を構成してください。既定の SDK プロファイルを使っている場合は、必ず Agent でもこのプロファイルが使用されるよう設定してください。Agent が既定の SDK プロファイルを使用するように設定されていないと、設定とポリシー セクションで設定した構成は適用されません。

 

iOS 向け AirWatch Agent を設定する

適切なプロファイルを使用するよう、iOS 向け AirWatch Agent を構成します。

  1. グループと設定 > すべての設定 > デバイスとユーザー > Apple > Apple iOS > Agent 設定 と進みます。 

  2. SDK プロファイル セクションの SDK プロファイル V2 オプションで「iOS Default Settings @ <組織グループ>」を選択し、既定のプロファイルに設定します。
  3. 設定を保存します。

 

まとめ

以上で、貴社アプリ (または他の AirWatch アプリ) へのアクセスに、ユーザーにパスコードまたは各自のディレクトリ/ベーシック ユーザー資格情報を使用した認証を求める機能を実装することができました。さらに詳しい情報は、『AirWatch iOS SDK Technical Implementation Guide』(AirWatch iOS SDK 技術実装ガイド) を参照してください。

免責事項:これは英文の記事「How to use single sign-on (SSO) and passcode with the AirWatch iOS SDK」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

0 Comments

Article is closed for comments.