Položky nastavení MDM v datové části Extensible Single Sign-on pro zařízení Apple
V datové části Extensible Single Sign-on můžete definovat rozšíření pro vícefaktorové ověřování pro uživatele iPhonů, iPadů a počítačů Mac zaregistrovaných ve službě správy mobilních zařízení (MDM).
Toto rozšíření umožňuje poskytovatelům identity zajistit uživatelům hladce propojené prostředí pro přihlašování k aplikacím a webovým stránkám. Při správném nakonfigurování ve službě MDM uživatel ověří svou totožnost jen jednou a automaticky tím získá přístup k dalším nativním aplikacím a webovým stránkám. S datovou částí Extensible Single Sign-on lze používat také následující funkce, pokud je vývojář implementuje:
Klíčenka na iCloudu
Vícefaktorové ověřování
VPN na úrovni aplikací
Uživatelská oznámení
Kromě poskytovaných rozšíření jednotného přihlášení pro nezávislé vývojáře je v systémech iOS 13, iPadOS 13.1 a macOS 10.15 k dispozici také integrované rozšíření Kerberos, které lze používat pro přihlašování uživatelů k nativním aplikacím a k webovým stránkám podporujícím ověřování Kerberos.
Datová část Extensible Single Sign-on podporuje následující položky. Další informace najdete v části Informace o datových částech.
Podporovaná metoda schvalování: Je nutné schválení uživatelem.
Podporovaná metoda instalace: K instalaci je nutná služba MDM.
Podporovaný identifikátor datové části: com.apple.extensiblesso
Podporované operační systémy a kanály: Systémy iOS, iPadOS, sdílený iPad (uživatel), macOS zařízení, uživatel systému macOS, systém visionOS 1.1
Podporované typy registrace: registrace uživatelů, registrace zařízení, automatická registrace zařízení.
Povolení duplikátů: Ano – jeden uživatel nebo zařízení může obdržet pouze jedinou datovou část Extensible Single Sign-on.
V datové části Extensible Single Sign-on lze použít položky nastavení uvedené v následující tabulce.
Nastavení | Popis | Povinná | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Preferred KDCs | Uspořádaný seznam center KDC, která mají být přednostně použita pro provoz se zabezpečením Kerberos. Tento klíč je určen k použití v případech, kdy nejsou servery zjistitelné přes službu DNS. Pokud jsou servery uvedeny, budou použity pro kontrolu připojení a pro první pokusy o přenos se zabezpečením Kerberos. Pokud servery nezareagují, bude použito zjišťování přes DNS. Jednotlivé položky používají stejný formát jako v souboru krb5.conf. | Ne | |||||||||
Extension identifier | Jedinečný identifikátor balíku aplikace. | Ano | |||||||||
Team identifier | Jedinečný identifikátor týmu aplikace. | Ano | |||||||||
Sign-on type |
| Ano | |||||||||
Authentication method macOS 13 nebo novější | Metoda ověřování SSO platformy, kterou rozšíření používá. Vyžaduje, aby tuto metodu podporovalo také rozšíření SSO.
| Ne | |||||||||
Registration token macOS 13 nebo novější | Token používaný tímto zařízením pro registraci v platformě SSO. Použijte ho pro bezobslužnou registraci u poskytovatele identit. Vyžaduje, aby metoda ověření totožnosti nebyla prázdná. | Ne | |||||||||
Realm | Úplný název sféry Kerberos, kde se nachází účet uživatele. Tento klíč je pro datové části Redirect ignorován. | Ne | |||||||||
Hosts | Schválené domény, které je možné s rozšířením aplikace ověřit. | Ne | |||||||||
URLs | Vyžadováno pro datové části Redirect. Ignorováno pro datové části Credential. Adresy URL musí začínat řetězcem https:// nebo http://, při hledání shody pro schéma a název hostitele se nerozlišují malá a velká písmena, nejsou povoleny parametry dotazu ani fragmenty URL a adresy URL všech nainstalovaných datových částí Extensible SSO musí být jedinečné. | Ne | |||||||||
Poznámka: Implementace těchto položek nastavení se u různých dodavatelů MDM liší. Informace o tom, jak se různé položky nastavení v datové části Extensible Single Sign-on uplatní na vaše zařízení a uživatele, najdete v dokumentaci od dodavatele služby MDM.