Pengenalan kepada daftar diri tunggal dengan peranti Apple
Organisasi biasanya menggunakan daftar diri tunggal (SSO), yang direka bentuk untuk meningkatkan pengalaman daftar masuk pengguna ke app dan tapak web. Dengan SSO, proses pengesahan yang biasa digunakan untuk mengakses berbilang app atau sistem—tanpa pengguna menerapkan identiti mereka lagi. Berbanding menyimpan kelayakan pengguna (contohnya, kata laluan mereka) dan menggunakannya semula untuk setiap app atau sistem, SSO menggunakan token yang disediakan dengan pengesahan awal, memberikan pengguna rupa konsep kata laluan satu kali.
Sebagai contoh, SSO berlaku apabila anda mendaftar masuk ke Active Directory pada rangkaian korporat anda kemudian mengakses app dan tapak web perusahaan anda secara lancar tanpa memasukkan kata laluan anda lagi. Semua app dan sistem dikonfigurasi untuk mempercayai Active Directory mengecam pengguna dan menyediakan keahlian kumpulan; bersama-sama ia membentuk domain keselamatan.
Kerberos
Kerberos ialah protokol pengesahan popular yang digunakan dalam rangkaian besar untuk SSO. Ia juga ialah protokol lalai yang digunakan oleh Active Directory. Ia berfungsi merentas platform, menggunakan penyulitan dan melindungi daripada serangan main semula. Ia juga boleh menggunakan kata laluan, identiti sijil, kad pintar, peranti NFC, atau produk pengesahan perkakasan yang lain untuk mengesahkan pengguna. Pelayan yang melaksanakan Kerberos dikenali sebagai Pusat Pengedaran Kunci (KDC). Untuk mengesahkan pengguna, peranti Apple mesti menghubungi KDC melalui sambungan rangkaian.
Kerberos berfungsi dengan baik pada rangkaian dalaman atau peribadi organisasi kerana semua klien dan pelayan mempunyai ketersambungan terus ke KDC. Klien yang tidak berada pada rangkaian korporat mesti menggunakan rangkaian peribadi maya (VPN) untuk bersambung dan pengesahan. Kerberos tidak ideal untuk app berasaskan awan atau internet. Ia kerana aplikasi ini tidak mempunyai ketersambungan terus ke dalam rangkaian korporat. Untuk app berasaskan awan atau internet, pengesahan moden (diterangkan di bawah) lebih bersesuaian.
macOS mengutamakan Kerberos untuk semua aktiviti pengesahan apabila diintegrasikan ke dalam persekitaran Active Directory. Apabila pengguna log masuk ke Mac menggunakan akaun Active Directory, tiket memberi tiket (TGT) Kerberos diminta daripada pengawal domain Active Directory. Apabila pengguna cuba untuk menggunakan sebarang perkhidmatan atau app pada domain yang menyokong pengesahan Kerberos, TGT digunakan untuk meminta tiket untuk perkhidmatan tersebut tanpa memerlukan pengguna mengesahkan sekali lagi. Jika dasar disetkan kepada memerlukan kata laluan untuk menutup penyelamat skrin, macOS akan mencuba untuk memperbaharui TGT pada pengesahan yang berjaya.
Untuk pelayan diKerberoskan berfungsi dengan betul, rekod Sistem Nama Domain (DNS) ke hadapan dan ke belakang seharusnya tepat. Masa jam sistem juga penting kerana pencongan jam mesti kurang daripada 5 minit untuk sebarang pelayan dan klien. Langkah terbaik ialah mengesetkan tarikh dan masa secara automatik menggunakan perkhidmatan Protokol Masa Rangkaian (NTP), seperti time.apple.com.
Pengesahan moden dengan SSO
Pengesahan moden merujuk kepada set protokol pengesahan berasaskan web yang digunakan oleh aplikasi awan. Contoh termasuk SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1, atau lebih baharu) dan Open ID Connect (OIDC). Protokol ini berfungsi dengan baik merentas internet dan menyulitkan sambungannya menggunakan HTTPS. SAML2 kerap digunakan untuk menyekutu antara rangkaian organisasi dan aplikasi awan. Persekutuan digunakan apabila merentasi domain dipercayai—contohnya, apabila mengakses set aplikasi awan daripada domain anda pada domain premis.
Nota: Untuk memanfaatkan OAuth 2.0, penyelesaian MDM mesti melaksanakan sokongan pihak pelayan untuk OAuth 2.0 dengan sebarang penyedia identiti (IdP) yang ia mahu sokong untuk digunakan dengan Pendaftaran Pengguna.
Daftar diri tunggal dengan protokol ini berbeza bergantung pada vendor dan persekitaran. Contohnya, apabila anda menggunakan Active Directory Federation Services (AD FS) pada rangkaian organisasi, AD FS bekerja dengan Kerberos untuk SSO dan apabila anda mengesahkan klien menerusi internet, AD FS boleh menggunakan kuki pelayar. Protokol pengesahan moden tidak merencanakan cara pengguna menerapkan identiti mereka. Banyak protokol ini digunakan dalam gabungan dengan pengesahan berbilang faktor seperti kod SMS semasa pengesahan daripada klien yang tidak diketahui. Sesetengah vendor memperuntukkan sijil pada peranti untuk mengenal pasti peranti diketahui bagi membantu proses pengesahan.
IdP boleh menyokong iOS, iPadOS, macOS dan visionOS 1.1 menerusi penggunaan sambungan daftar diri tunggal. Sambungan ini membenarkan IdP untuk melaksanakan protokol pengesahan moden untuk pengguna mereka.
App disokong
iOS, iPadOS dan visionOS 1.1 menyediakan sokongan fleksibel untuk SSO ke sebarang app yang menggunakan kelas NSURLSession
atau URLSession
untuk mengurus sambungan dan pengesahan rangkaian. Apple memberikan semua pembangun dengan kelas ini untuk mengintegrasikan sambungan rangkaian dalam app mereka dengan lancar.
Sebarang app Mac yang menyokong pengesahan Kerberos berfungsi dengan SSO. Ini termasuk kebanyakan app terbina dalam macOS, seperti Safari, Mail dan Kalendar, juga perkhidmatan seperti perkongsian fail, perkongsian skrin dan cangkerang selamat (SSH). Banyak app pihak ketiga, seperti Microsoft Outlook, juga menyokong Kerberos.
Konfigurasi daftar masuk tunggal
Anda mengkonfigurasikan SSO menggunakan profil konfigurasi, yang boleh dipasang secara manual atau diurus dengan MDM. Muat beban SSO membenarkan konfigurasi yang fleksibel. SSO boleh dibuka pada semua app, atau dihadkan oleh pengecam app, perkhidmatan URL, atau kedua-dua.
Corak rentetan ringkas yang sepadan digunakan apabila membandingkan corak terhadap awalan URL yang diminta. Seperti, corak mesti bermula dengan sama ada https:// atau http:// dan tidak akan sepadan dengan nombor port berbeza. Jika corak sepadan URL tidak berakhir dengan garis condong (/), satu ditambah.
Sebagai contoh, https://www.betterbag.com/ sepadan dengan https://www.betterbag.com/index.html tetapi tidak akan sepadan dengan http://www.betterbag.com atau https://www.betterbag.com:443/.
Kad bebas tunggal mungkin juga digunakan untuk menentukan subdomain yang hilang. Sebagai contoh, https://*.betterbag.com/ sepadan dengan https://store.betterbag.com/.
Pengguna Mac boleh melihat dan mengurus maklumat tiket Kerberos mereka menggunakan app Pemapar Tiket, yang berada di /System/Library/CoreServices/. Anda boleh melihat maklumat tambahan dengan mengklik menu Tiket dan memilih Maklumat Diagnostik. Jika dibenarkan oleh profil konfigurasi, pengguna juga boleh meminta, melihat dan memusnahkan tiket Kerberos dengan menggunakan alat baris perintah kinit
, klist
dan kdestroy
.