Einstellungen der MDM-Payload „Erweiterbare Gesamtauthentifizierung“ für Apple-Geräte
Mit der Payload „Erweiterbare Gesamtauthentifizierung“ kannst du für iPhone-, iPad- und Mac-Geräte, die in einer Lösung für die Mobilgeräteverwaltung (MDM) registriert sind, Erweiterungen für die Mehr-Faktor-Authentifizierung definieren.
Diese Erweiterung ist für die Verwendung durch Identitätsanbieter (Identity Provider) gedacht, damit sie Benutzern bei der Anmeldung an Apps und Websites ein konsistentes Benutzererlebnis bieten können. Sofern die Konfiguration mithilfe der MDM-Lösung richtig vorgenommen wird, muss sich der Benutzer nur einmal authentifizieren, um danach automatisch Zugriff auf native Apps und Websites zu erhalten, die nach der Authentifizierung aufgerufen werden. Die folgenden weiteren Funktionen können zusammen mit der Payload „Erweiterbare Gesamtauthentifizierung“ verwendet werden, sofern sie vom jeweiligen Entwickler implementiert wurden:
iCloud-Schlüsselbund
Mehr-Faktor-Authentifizierung
VPN pro App
Mitteilung an Benutzer (User Notification)
Zusätzlich zu den Erweiterungen der Gesamtauthentifizierung für die Entwickler anderer Anbieter verfügen iOS 13, iPadOS 13.1 und macOS 10.15 über eine integrierte Kerberos-Erweiterung, mit der bewerkstelligt werden kann, dass sich Benutzer bei nativen Apps und Websites anmelden können, die die Kerberos-Authentifizierung unterstützen.
Die Payload „Erweiterbare Gesamtauthentifizierung“ unterstützt Folgendes. Weitere Informationen findest du unter Payload-Informationen.
Unterstützte Bestätigungsmethode: Erfordert Benutzerzustimmung.
Unterstützte Installationsmethode: Erfordert eine MDM-Lösung für die Installation.
Nicht unterstützte Payload-ID: com.apple.extensiblesso
Unterstützte Betriebssysteme und Kanäle: iOS, iPadOS, Geteiltes iPad-Benutzer, macOS-Gerät, macOS-Benutzer, visionOS 1.1.
Unterstützte Registrierungsmethoden: Benutzerregistrierung, Geräteregistrierung, Automatische Geräteregistrierung.
Duplikate erlaubt: Wahr – nur eine Payload „Erweiterbare Gesamtauthenfizierung“ kann an einen Benutzer oder ein Gerät gesendet werden.
Du kannst die Einstellungen in der folgenden Tabelle mit der Payload „Erweiterbare Gesamtauthentifizierung“ verwenden.
Einstellung | Beschreibung | Erforderlich | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Bevorzugte KDCs | Eine sortierte Liste mit bevorzugten KDCs für Kerberos-Datenverkehr. Dieser Schlüssel sollte verwendet werden, wenn Server bei Verwendung von DNS nicht sichtbar sind. Wenn Server angegeben sind, werden sie für Verbindungsprüfungen und für Kerberos-Datenverkehr verwendet. Für den letzteren werden sie zuerst angefragt. Wenn die Server darauf nicht antworten, wird die DNS-Feststellung verwendet. Jeder Eintrag wird genau so formatiert, wie das bei einer krb5.conf-Datei der Fall wäre. | Nein | |||||||||
Erweiterungskennung | Dies ist die eindeutige Paket-ID der App. | Ja | |||||||||
Teamkennung | Dies ist die eindeutige Team-ID der App. | Ja | |||||||||
Anmeldetyp |
| Ja | |||||||||
Authentifizierungsmethode macOS 13 (oder neuer) | Die von der Erweiterung genutzte Platform SSO-Authentifizierungsmethode. Dies setzt voraus, dass die SSO-Erweiterung diese Methode ebenfalls unterstützt.
| Nein | |||||||||
Registrierungs-token macOS 13 (oder neuer) | Das von diesem Gerät genutzte Token für die Platform SSO-Registrierung. Verwende es für die Registrierung beim Identitätsanbieter. Setzt voraus, dass „Authentifizierungsmethode“ nicht leer ist. | Nein | |||||||||
Realm | Die ist der vollständige Name des Kerberos-Realm, in dem der Account des Benutzers sich befindet. Dieser Schlüssel wird für Redirect-Payloads ignoriert. | Nein | |||||||||
Hosts | Dies sind die zugelassenen Domains, die mit der App-Erweiterung authentifiziert werden können. | Nein | |||||||||
URLs | Diese Angabe ist für „Redirect“-Payloads erforderlich. Für „Credential“-Payloads wird sie ignoriert. Die URLs müssen mit „https://“ oder „http://“ beginnen, Schema und Hostname werden unabhängig von der Groß-/Kleinschreibung abgeglichen, Abfrageparameter und URL-Fragmente sind nicht zulässig und die URLs aller installierten Payloads „Erweiterbare Gesamtauthentifizierung“ müssen eindeutig sein. | Nein |
Hinweis: Jeder MDM-Anbieter implementiert diese Einstellungen auf unterschiedliche Weise. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, wie verschiedene Einstellungen für die erweiterbare Gesamtauthentifizierung auf Geräte und Benutzer angewendet werden.