Appleデバイスでのシングルサインオンの概要
組織では、シングルサインオン(SSO)をよく利用します。SSOは、ユーザのアプリやWebサイトへのサインイン操作を改善するように設計されています。SSOを使用すると、複数のアプリやシステムにアクセスするために共通の認証プロセスが使用されます。これは、ユーザが自分のIDを再度表明することなしに実行されます。SSOでは、ユーザの資格情報(パスワードなど)を保存して各アプリやシステムで再利用する代わりに、最初の認証で提供されたトークンを使用しています。ユーザにはワンタイムパスワードの概念のように見えます。
例えば、企業ネットワーク上でActive Directoryにサインインして、パスワードを再入力せずシームレスにエンタープライズアプリおよびWebサイトにアクセスするときに、SSOが発生します。すべてのアプリとシステムは、ユーザを識別したりグループメンバーシップを提供したりするときに、Active Directoryを信頼するように構成されています。これらが一体となってセキュリティドメインが形成されます。
Kerberos
Kerberosは、大規模ネットワークでSSOのために使用される一般的な認証プロトコルです。また、Active Directoryで使用されるデフォルトのプロトコルでもあります。プラットフォームをまたがって機能し、暗号化を使用し、リプレイ攻撃から保護します。ユーザの認証には、パスワード、証明書ID、スマートカード、NFCデバイスなどのハードウェア認証製品を使用できます。Kerberosを実行するサーバはKey Distribution Center(KDC)と呼ばれます。ユーザを認証するには、Appleデバイスがネットワーク接続を通じてKDCとやり取りする必要があります。
Kerberosは組織の内部またはプライベートネットワーク上で問題なく機能します。すべてのクライアントとサーバがKDCに直接接続するためです。企業ネットワーク上にないクライアントは、VPN(Virtual Private Network)を使用して接続および認証する必要があります。Kerberosは、クラウドまたはインターネットベースのアプリには理想的ではありません。これらのアプリケーションは企業ネットワークに直接接続しないためです。クラウドまたはインターネットベースアプリには、後述する先進認証の方が適しています。
Active Directory環境に統合されると、macOSはすべての認証アクティビティでKerberosを優先します。ユーザがActive Directoryアカウントを使用してMacにログインすると、Active DirectoryドメインコントローラからKerberos TGT(チケット付与チケット)が要求されます。ユーザがKerberos認証をサポートするドメインでサービスまたはアプリの使用を試みると、TGTを使用してそのサービスのチケットが要求されます。再度ユーザの認証を行う必要はありません。スクリーンセーバを終了するためにパスワードを要求するポリシーが設定されている場合は、認証に成功するとmacOSがTGTの更新を試みます。
Kerberosサービスを適切に機能させるには、正引きと逆引きの両方のDNS(ドメインネームシステム)レコードが正確である必要があります。すべてのサーバとクライアントでクロックスキューが5分未満である必要があるため、システムクロックの時刻も重要です。ベストプラクティスは、time.apple.comなどのNTP(ネットワークタイムプロトコル)サービスを使用して、自動的に日時を設定することです。
SSOを使用した先進認証
先進認証とは、クラウドアプリケーションで使用されるWebベースの認証プロトコルセットのことです。例えば、SAML 2.0、OAuth 2.0(iOS 16、iPadOS 16.1、visionOS 1.1以降)、Open ID Connect(OIDC)などです。これらのプロトコルは、インターネット上で問題なく機能し、HTTPSを使用して接続を暗号化します。SAML2は、組織のネットワークとクラウドアプリケーションとの間の連携によく使用されます。フェデレーションは、信頼ドメインを横断する場合、例えばオンプレミスドメインから一連のクラウドアプリケーションにアクセスする場合に使用されます。
注記: OAuth 2.0を利用するためには、MDMソリューションで、ユーザ登録で使用できるように対応したいIDプロバイダ(IdP)でOAuth 2.0のサーバ側の対応を実装する必要があります。
これらのプロトコルによるシングルサインオンは、ベンダーや環境によって異なります。例えば、組織のネットワークでActive Directory Federation Services(AD FS)を使用している場合はSSO用 にAD FSがKerberosと連携し、インターネット経由でクライアントを認証している場合はAD FSでブラウザのCookieを使用できます。先進認証プロトコルは、ユーザがIDを表明する方法を規定しません。これらのプロトコルの多くは、未知のクライアントから認証を求められたときに、SMSコードなどの多要素認証と組み合わせて使用されます。一部のベンダーは、既知のデバイスを識別する証明書をデバイス上にプロビジョニングすることで、認証プロセスを支援します。
IdPは、シングルサインオン機能拡張を使用してiOS、iPadOS、macOS、およびvisionOS 1.1でSSOに対応できます。これらの機能拡張により、IdPはそのユーザに最新の認証プロトコルを実装することができます。
サポート対象のアプリ
iOS、iPadOS、およびvisionOS 1.1は、ネットワーク接続と認証の管理にNSURLSession
またはURLSession
クラスを使用するあらゆるアプリで、SSOに柔軟に対応します。Appleでは、アプリ内部でネットワーク接続をシームレスに統合するためのクラスをすべてのデベロッパに提供しています。
Kerberos認証をサポートするMacアプリはSSOに対応します。これには、Safari、メール、カレンダーなどのmacOSに内蔵の多くのアプリと、ファイル共有、画面共有、セキュアシェル(SSH)などのサービスが含まれます。Microsoft Outlookなどの多くの他社製アプリもKerberosに対応しています。
シングルサインオンの構成
SSOの構成には構成プロファイルを使用します。構成プロファイルは手動でインストールすることもMDMで管理することもできます。SSOペイロードは、柔軟に構成することができます。すべてのアプリに開放することも、App IDとサービスURLのいずれか一方または両方で制限することもできます。
要求されたURLのプレフィックスとパターンを比較する際は、単純な文字列パターン照合が使用されます。つまり、パターンの先頭は「https://」または「http://」のいずれかでなければならず、ポート番号が違う場合は一致しません。URLの照合パターンの末尾がスラッシュ(/)でない場合は、スラッシュが追加されます。
例えば、https://www.betterbag.com/はhttps://www.betterbag.com/index.htmlと一致しますが、http://www.betterbag.comやhttps://www.betterbag.com:443/とは一致しません。
サブドメインの代わりに1文字のワイルドカードを使用することもできます。例えば、https://*.betterbag.com/はhttps://store.betterbag.com/と一致します。
Macユーザは、/システム/ライブラリ/CoreServices/にあるチケットビューアアプリを使用して、Kerberosチケットの情報を参照および管理できます。「チケット」メニューをクリックして「診断情報」を選択すると、追加情報を参照できます。構成プロファイルで許可されている場合、ユーザはコマンドラインツールkinit
、klist
、およびkdestroy
を使用して、それぞれKerberosチケットの要求、参照、破棄を行うこともできます。