Extension d’authentification unique Kerberos avec les appareils Apple
L’extension d’authentification unique Kerberos simplifie le processus d’acquisition d’un ticket distributeur de tickets (TGT) auprès du domaine Active Directory sur place ou d’un autre domaine de fournisseur d’identité de votre organisation pour permettre aux utilisateurs de s’authentifier simplement afin d’accéder à des ressources comme des sites Web, des apps et des serveurs de fichiers.
Conditions relatives à l’utilisation de l’extension d’authentification unique Kerberos
Pour utiliser l’extension d’authentification unique Kerberos, vous devez avoir :
des appareils gérés au moyen d’une solution de gestion des appareils mobiles (GAM) compatible avec l’entité de profil de configuration Authentification unique extensible;
accès au réseau qui héberge le domaine Active Directory sur place (cet accès réseau peut s’effectuer par Wi‑Fi, Ethernet ou VPN);
un domaine Active Directory qui utilise Windows Server 2008 ou une version ultérieure. L’extension d’authentification unique n’est pas destinée à être utilisée avec Microsoft Entra ID, qui exige un domaine Active Directory traditionnel sur place.
L’extension sous iOS, iPadOS et visionOS 1.1
Sous iOS, iPadOS et visionOS 1.1, l’extension d’authentification unique Kerberos est activée uniquement après la réception d’un défi de négociation HTTP 401. Pour économiser l’autonomie de la batterie, elle ne demande pas de codes de site Active Directory ni n’actualise un ticket TGT Kerberos avant ce défi.
Les fonctionnalités de l’extension d’authentification unique Kerberos pour iOS, iPadOS et visionOS 1.1 comprennent les suivantes :
Méthodes d’authentification : L’extension ajoute la prise en charge de diverses méthodes d’authentification, y compris les mots de passe et les identités de certificats (PKINIT). L’identité de certificat peut se trouver sur une carte intelligente CryptoTokenKit, dans une identité fournie par la GAM ou dans le trousseau local. L’extension prend également en charge la modification du mot de passe Active Directory lorsque la boîte de dialogue d’authentification s’affiche ou lors de l’utilisation d’une URL vers un site Web séparé.
Expiration des mots de passe : Elle demande des renseignements relatifs à l’expiration du mot de passe après l’authentification, la modification du mot de passe et régulièrement au cours de la journée. Cette information est utilisée pour fournir des notifications d’expiration de mot de passe et demander de nouvelles informations d’identification si l’utilisateur modifie son mot de passe sur un autre appareil.
Prise en charge des VPN: Elle prend en charge plusieurs autres configurations réseau, y compris différentes technologies VPN comme le VPN par app. Si le VPN par app est utilisé, l’extension d’authentification unique Kerberos l’utilise uniquement lorsque l’app ou le site Web à l’origine de la demande sont configurés à cette fin.
Accessibilité des domaines : Elle utilise un ping LDAP vers le domaine pour demander, puis met en cache les codes de site Active Directory pour la connexion réseau établie actuellement avec le domaine. Le code de site est partagé avec les demandes Kerberos pour d’autres processus de manière à préserver l’autonomie de la batterie. Pour en savoir plus, consultez la documentation de Microsoft 6.3.3 LDAP Ping (en anglais);
Défis de négociation : Elle traite les défis de négociation HTTP 401 pour les sites Web, les demandes NSURLSession et les tâches NSURLSession en arrière-plan.
L’extension sous macOS
Sous macOS, l’extension d’authentification unique Kerberos acquiert de manière proactive un ticket TGT Kerberos lors des changements d’état du réseau pour s’assurer que l’utilisateur est prêt à s’authentifier en cas de besoin. L’extension d’authentification unique Kerberos permet également à vos utilisateurs de gérer leurs comptes Active Directory. De plus, cela permet aux utilisateurs de modifier les mots de passe Active Directory et les avertit lorsqu’un mot de passe est sur le point d’expirer. Les utilisateurs peuvent également modifier le mot de passe de leurs comptes locaux pour qu’il corresponde à celui d’Active Directory.
L’extension d’authentification unique Kerberos doit être utilisée avec un domaine Active Directory sur site. Les appareils n’ont pas à se joindre à un domaine Active Directory pour utiliser l’extension d’authentification unique Kerberos. De plus, les utilisateurs n’ont pas à se connecter à leurs ordinateurs Mac avec des comptes Active Directory ou mobiles, Apple recommande plutôt l’utilisation de comptes locaux.
Les utilisateurs doivent s’authentifier avec l’extension d’authentification unique Kerberos. Ils peuvent entamer ce processus de plusieurs façons :
Si le Mac est connecté au réseau où le domaine Active Directory est disponible, l’utilisateur est invité à s’authentifier immédiatement après l’installation du profil de configuration d’authentification unique extensible.
Si le profil est déjà installé, l’utilisateur est immédiatement invité à s’authentifier chaque fois que le Mac est connecté à un réseau où votre domaine Active Directory est disponible.
Si Safari ou toute autre app est utilisée pour accéder à un site Web qui accepte ou exige l’authentification Kerberos, l’utilisateur est invité à s’authentifier.
L’utilisateur peut sélectionner le menu d’extension d’authentification unique Kerberos supplémentaire, puis cliquer sur Connexion.
Les fonctionnalités de l’extension d’authentification unique Kerberos pour macOS comprennent les suivantes :
Méthodes d’authentification : L’extension prend en charge diverses méthodes d’authentification, y compris les mots de passe et les identités de certificats (PKINIT). L’identité de certificat peut se trouver sur une carte intelligente CryptoTokenKit, dans une identité fournie par la GAM ou dans le trousseau local. L’extension prend également en charge la modification du mot de passe AD lorsque la boîte de dialogue d’authentification s’affiche ou lors de l’utilisation d’une URL vers un site Web séparé.
Expiration des mots de passe : L’extension demande des renseignements relatifs à l’expiration du mot de passe après l’authentification, la modification du mot de passe et régulièrement au cours de la journée. Cette information est utilisée pour fournir des notifications d’expiration de mot de passe et demander de nouvelles informations d’identification si l’utilisateur modifie son mot de passe sur un autre appareil.
Prise en charge des VPN: L’extension prend en charge plusieurs autres configurations réseau, y compris les services VPN comme le VPN par app. Si le VPN est un VPN d’extension réseau, il déclenche automatiquement une connexion lors de l’authentification ou du changement de mot de passe. En revanche, si la connexion est un VPN par app, le menu supplémentaire d’authentification unique Kerberos indique toujours que le réseau est disponible. La raison étant qu’elle utilise un ping LDAP pour déterminer la disponibilité du réseau d’entreprise. Lorsque le VPN par app se déconnecte, le ping LDAP le reconnecte, ce qui donne l’impression d’une connexion continue du VPN par app. En réalité, l’extension d’authentification unique Kerberos a été déclenchée pour le trafic Kerberos sur demande.
Ajoutez les entrées suivantes à votre mappage VPN de couche app à app pour utiliser l’extension d’authentification unique Kerberos avec le VPN par app :
com.apple.KerberosExtension utilisant l’exigence désignée : identifier com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent utilisant l’exigence désignée : identifier com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra utilisant l’exigence désignée : identifier com.apple.KerberosMenuExtra and anchor apple
Accessibilité des domaines : L’extension utilise un ping LDAP vers le domaine pour demander, puis met en cache les codes de site Active Directory pour la connexion réseau établie actuellement avec le domaine. Cela vise à préserver l’autonomie de la batterie. Le code de site est également partagé avec les demandes Kerberos pour d’autres processus. Pour en savoir plus, consultez la documentation de Microsoft 6.3.3 LDAP Ping.
Actualisation du ticket TGT Kerberos : L’extention tente de tenir à jour votre ticket TGT Kerberos en tout temps. Elle y arrive en surveillant les connexions réseau et les modifications de la mémoire cache Kerberos. Lorsque votre réseau d’entreprise est disponible et qu’un nouveau ticket est nécessaire, elle en demande un de façon proactive. Si l’utilisateur choisit de se connecter automatiquement, l’extension demande facilement un nouveau ticket jusqu’à l’expiration du mot de passe de l’utilisateur. S’il ne choisit pas de se connecter automatiquement, il est invité à fournir des informations d’identification lorsque son certificat Kerberos expire, généralement dans 10 heures.
Synchronisation des mots de passe : L’extension synchronise le mot de passe du compte local et le mot de passe Active Directory. Après la synchronisation initiale, elle surveille les dates de modification du mot de passe local et du mot de passe Active Directory pour déterminer si les mots de passe du compte sont toujours synchronisés. Elle se sert des dates au lieu de tenter de se connecter afin d’éviter de bloquer le compte local ou le compte AD à cause d’un nombre trop élevé de tentatives infructueuses.
Exécution de scripts : L’extension envoie des notifications lorsque divers événements se produisent. Ces notifications peut déclencher l’exécution de scripts afin de prendre en charge l’expansion de la fonctionnalité. Les notifications sont envoyées au lieu d’exécuter directement les scripts, car les processus de l’extension Kerberos sont mis en environnement contrôlé et celui-ci permettrait d’empêcher l’exécution des scripts. Il existe aussi un outil de ligne de commande (
app-sso) qui permet aux scripts de lire l’état de l’extension et de demander des actions courantes comme une connexion.Menu supplémentaire : L’extension comprend un menu supplémentaire pour permettre à l’utilisateur de se connecter, de se reconnecter, de modifier le mot de passe, de se déconnecter et de consulter l’état de la connexion. La reconnexion récupère toujours auprès du domaine un nouveau ticket TGT et actualise les renseignements relatifs à l’expiration du mot de passe.
Utilisation du compte
L’extension d’authentification unique Kerberos ne requiert pas que votre Mac soit lié à Active Directory ou que l’utilisateur soit connecté au Mac avec un compte mobile. Apple suggère d’utiliser l’extension d’authentification unique Kerberos avec un compte local. L’extension d’authentification unique Kerberos a été spécialement créée pour améliorer l’intégration d’Active Directory à partir d’un compte local. Toutefois, si vous choisissez de continuer à utiliser des comptes mobiles, vous pouvez toujours utiliser l’extension d’authentification unique Kerberos. Utilisation avec des comptes mobiles :
La synchronisation du mot de passe ne fonctionnera pas. Si vous utilisez l’extension d’authentification unique Kerberos pour changer votre mot de passe Active Directory et que vous êtes connecté à votre Mac avec le même compte utilisateur que celui que vous utilisez avec l’extension d’authentification unique Kerberos, les changements de mot de passe fonctionnent de la même manière que dans la sous-fenêtre des préférences Utilisateurs et groupes. Mais si vous effectuez un changement de mot de passe externe, c’est-à-dire si vous changez votre mot de passe sur un site Web ou si votre service d’assistance le réinitialise, l’extension d’authentification unique Kerberos ne peut pas synchroniser le mot de passe de votre compte mobile avec celui d’Active Directory.
L’utilisation d’une URL de changement de mot de passe avec l’extension Kerberos n’est pas prise en charge.