我们正在Xamarin中开发一个iOS应用程序，该应用程序将通过MobileIron分发。我们还在开发后端Web服务（其余）。

我需要知道的是，当对我的API进行Web服务调用时，我想确保该调用来自使用MobileIron使用Active Directory凭据登录到我的应用程序的客户端。

MobileIron网站上有很多信息，但也有些混乱。


我的用例需要什么MobileIron产品？
保护我的Web服务并仅允许来自iOS应用程序的请求具有正确的AD凭证的最佳方法是什么？
我需要AppConnect SDK还是可以将iOS应用程序包装在MobileIron中？如果需要SDK，是否有示例？


提前致谢！

干杯
咪咪

这是它应该如何工作的一种方式，我们已经在我们的环境中建立了它。
假设目标设备由具有MobileIron Core（MDM）和MobileIron Sentry（网关->内联网）的MobileIron MDM系统管理。
您可以通过以下方式配置MobileIron Sentry，即使用来自设备的用户证书对来自启用了AppConnect的应用程序的Web请求（无论包含SDK还是包装SDK！）进行身份验证，Sentry从域控制器获取该用户的Kerberos票证，然后转发该证书。对启用了Kerberos身份验证并且已授予用户访问权限的网站/网络服务的Web请求。
要使它正常工作，需要进行很多配置（CA，用户证书->设备，在AD中配置了委派的服务帐户，在AD中配置了网站的SPN等...），MobileIron提供了一个很好的支持文档来制作这样运行。
这里要详细描述所有步骤。
如果已经在目标环境中设置了此功能（如果已经有另一个AppConnect应用程序），则只剩下几步了（SPN和MI应用程序特定的AppConnect Config）。

好消息是，应用程序本身不必照顾身份验证。 MobileIron的东西可以自己完成...