接入指南

1. 前提条件

  • EMM当前支持HTTP(s)的移动应用,暂时不支持基于socket 连接的移动应用。
  • 对于移动应用,安全接入与身份管理都是依赖于EMM 客户端的服务。也就是,如果移动设备卸载了EMM客户端,集成了EMMSDK的移动应用不能接入到架构体系中。
  • EMM移动身份认证所提供的单点登录功能是以EMM 服务为主账号的单点登录功能。

2. 应用授权

企业为需要接入的移动应用申请应用授权。接入EMM架构的移动应用需要通过EMM管理平台获得SDK 授权。EMM 管理员可以登录管理平台,在左侧导航栏选择“设置->授权证书”,可以看到EMM SDK授权,如下图:

授权

应用程序ID,对android平台请填写应用的Package name; 对于iOS平台请填写应用的 Bundle ID。

3. 应用集成SDK

为了获得移动身份管理服务与安全接入服务,移动App应该集成SDK。SDK使用说明可以参考 android SDKiOS SDK

4. 应用上传

App 集成 SDK并调试通过后,管理员可以通过EMM控制台上传应用,同时对应用进行相关配置。 通过EMM管理平台,应用->应用商店->添加应用 来上传应用。

添加应用

根据android或iOS平台,选择企业应用,进入下一步。

上传应用

在应用程序文件选项中,点击Browse选取要上传的文件,当文件上传后,页面会自动显示应用的基本信息,包括,名称,图标,平台,以及应用ID等。

同时请确保”应用程序ID”应该和接入指南第一步中申请授权的”应用程序ID”一致。

5. 应用配置

对于使用移动身份管理服务的企业应用,上传后管理员还应该对App进行策略配置以达到使用统一身份认证(单点登录)的效果。通过管理平台,左侧导航栏 应用->应用策略,填写策略基本信息后,选择“统一身份认证”

EMM 当前支持Basic, oAuth, OIDC和Kerberos三种身份验证协议。

  • Basic 认证配置:

认证配置

应用服务地址:应用服务登录 的URL。

Token有效期:默认值为432000秒,12小时。EMM没有对 Basic协议 token有效期支持。

  • oAuth认证配置:

oAuth认证

名称:应用配置名称。

应用服务地址:应用服务登录 的URL。

Token有效期:默认值为432000秒,12小时。

授权类型: 当前版本支持Password。

授权范围:当前版本支持Read。

  • OIDC (OpenID Connect) 认证配置:

OIDC配置

应用服务地址:应用服务登录 的URL。

Token有效期:默认值为432000秒,12小时。

Token 发行标识: OIDC 协议Issuer Identifier  (iss) , 当前版本默认值issuer。

Token 接受标识: OIDC 协议 Audience (aud),当前版本默认值audience。

Acr: 可选填,OIDC 协议Authentication Context Class Reference (acr)。

  • Kerberos 配置:

Kerberos配置

服务主体名称 (SPN):服务主体名称 (Service Principle Name)是Windows生态系统中服务的唯一标识,每一个需要Kerberos认证的服务都需要让他的客户端知道自己的SPN。

域 (Realm):Winows 域名称,例如 TJBEMAIL.COM

用户主体名(UPN):用户主体名称 (User Principle Name)是Windows 生态系统中用户唯一标识,这里应该是域管理员用户,例如:kcdsvc

Keytab file: 秘钥文件。

6. 应用服务器集成

对于移动身份管理服务,如果采用OAuth和OIDC的方案,第三方应用需要和EMM移动身份管理服务进行集成。具体可以参考应用服务器端集成。