Introduksjon til Single Sign On med Apple-enheter
Organisasjoner bruker ofte Single Sign On (SSO), som er utviklet for å forbedre brukernes påloggingsopplevelse i apper og på nettsteder. Med SSO brukes en felles autentiseringsprosess til å få tilgang til flere apper eller systemer – uten at brukeren må bekrefte identiteten sin igjen. SSO arkiverer imidlertid ikke en brukers påloggingsinformasjon (for eksempel passord) og bruker den ikke på nytt for hver app eller hvert system, men den bruker kjennetegnet som leveres av den første godkjenningen, noe som gir brukerne et éngangspassord-konsept.
SSO skjer for eksempel når du logger på Active Directory på bedriftsnettverket og får enkel tilgang til bedriftsapper og -nettsider uten å skrive inn passordet igjen. Alle appene og systemene er konfigurert til å godkjenne Active Directory for å identifisere brukere og levere gruppemedlemskap. Sammen danner de et sikkerhetsdomene.
Kerberos
Kerberos er en populær godkjenningsprotokoll som brukes i større nettverk for SSO. Det er også standardprotokollen som brukes av Active Directory. Det fungerer på tvers av plattformer, bruker kryptering og har beskyttelse mot Replay-angrep. Protokollen kan bruke passord, sertifikatidentiteter, smartkort, NFC-enheter eller andre produkter for maskinvaregodkjenning til å autentisere brukeren. Tjeneren som utfører Kerberos er kjent som Key Distribution Center (KDC). For å autentisere brukere må Apple-enheter kontakte KDC via en nettverksforbindelse.
Kerberos fungerer bra på en organisasjons interne eller private nettverk, fordi alle klienter og tjenere har direkte tilkobling til KDC. Klienter som ikke er på bedriftens nettverk, må bruke et virtuelt lokalnettverk (VPN) for å koble til og autentisere. Kerberos er ikke ideelt for sky- eller internettbaserte apper. Det er fordi disse applikasjonene ikke har direkte tilkobling til bedriftsnettverket. For sky- eller internettbaserte apper passer moderne autentisering (beskrevet under) bedre.
macOS prioriterer Kerberos for all autentiseringsaktivitet når det er integrert i et Active Directory-miljø. Når en bruker logger på en Mac med en Active Directory-konto, sendes det en Kerbereos-tilgangsbillett (TGT) fra en Active Directory-domenekontroller. Når brukeren vil benytte en tjeneste eller app på domenet som støtter Kerberos-autentisering, brukes TGT til å generere en tilgangsbillett for tjenesten uten å kreve at brukeren må autentiseres på nytt. Hvis en regel er satt til å kreve at et passord skal utelate skjermspareren, forsøker macOS å fornye TGT når autentiseringen lykkes.
For at Kerberos-baserte tjenere skal fungere skikkelig, må både vanlige og reverse DNS-oppslag være presise. Systemklokken er også viktig, ettersom klokken på tjenere og klienter ikke kan avvike mer enn fem minutter. Det beste er å stille inn dato og klokkeslett automatisk med en NTP-tjeneste (Network Time Protocol), som for eksempel time.apple.com.
Moderne godkjenning med SSO
Moderne godkjenning referer til et sett med nettbaserte godkjenningsprotokoller som brukes av nettskyappene. Eksempler kan være SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 eller nyere) og Open ID Connect (OIDC). Disse protokollene fungerer bra over internett og krypterer tilkoblingene sine ved hjelp av HTTPS. SAML2 brukes ofte til forene en organisasjons nettverk og nettskyapper. Forent autentisering brukes ved krysning av godkjenningsdomener – for eksempel når du åpner et sett med nettskybaserte apper fra det lokale domenet.
Merk: For at MDM-løsningen skal kunne dra nytte av OAuth 2.0 må det implementeres støtte på tjenersiden for OAuth 2.0 med identitetsleverandører (IdP) som skal støtte brukerregistrering.
Single Sign On med disse protokollene varierer avhengig av leverandør og miljø. Når du for eksempel bruker Active Directory Federation Services (AD FS) på en organisasjons nettverk, fungerer AD FS med Kerberos for SSO, og når du autentiserer klienter gjennom internett, kan AD FS bruke nettleserens informasjonskapsler. Moderne godkjenningsprotokoller angir ikke hvordan brukeren bekrefter identiteten sin. Mange av disse protokollene brukes i kombinasjon med flere faktorer, som en SMS-kode når man godkjenner fra ukjente klienter. Noen leverandører klargjør sertifikater på enheten for å identifisere kjente enheter og gjøre godkjenningsprosessen enklere.
Identitetsleverandører (IdP) kan støtte SSO i iOS, iPadOS, macOS og visionOS 1.1 ved å bruke Single Sign On-utvidelser. Disse utvidelsene kan brukes av identitetsleverandører (IdP) til å implementere moderne autentiseringsprotokoller for brukerne.
Apper som støttes
iOS, iPadOS og visionOS 1.1 har fleksibel støtte for SSO for alle apper som bruker klassen NSURLConnection eller NSURLSession til å administrere nettverkstilkoblinger og autentisering. Apple gir alle utviklere tilgang til disse klassene, slik at nettverkstilkoblingene integreres sømløst med appene.
Alle Mac-apper som støtter Kerberos-autentisering, fungerer med SSO. Det inkluderer mange apper som er innebygd i macOS, som Safari, Mail og Kalender, samt tjenester som fildeling, skjermdeling og SSH. Mange apper fra tredjeparter som Microsoft Outlook støtter også Kerberos.
Konfigurer Single Sign On
Du konfigurerer SSO med konfigurasjonsprofiler, som enten kan installeres manuelt eller administreres med MDM. SSO-nyttelasten kan konfigureres fleksibelt. SSO kan være åpen for alle apper eller begrenses av appidentifikasjon, tjeneste-URL eller begge.
Enkel mønstergjenkjenning brukes når et mønster sammenlignes med prefiksen til en forespurt URL. Som sådan må mønstre begynne med enten https:// eller http:// og ikke matche forskjellige portnumre. Hvis et URL-mønster ikke slutter på skråstrek (/), legges det til en skråstrek.
https://www.betterbag.com/ tilsvarer for eksempel https://www.betterbag.com/index.html, men ikke http://www.betterbag.com eller https://www.betterbag.com:443/.
Et jokertegn kan også brukes til å spesifisere manglende underdomener. For eksempel: https://*.betterbag.com/ matches https://store.betterbag.com/.
Mac-brukere kan vise og administrere Kerberos-billettinformasjonen ved å bruke appen Billettvisning som ligger i /System/Library/CoreServices/. Du kan vise ytterligere informasjon ved å klikke på Ticket-menyen og velge Diagnostic Information. Hvis det tillates av konfigurasjonsprofilen, kan brukere også be om, vise og ødelegge Kerberos-billetter ved å bruke kommandolinjeverktøyene kinit, klist og kdestroy.