Ustawienia obsługiwanego przez MDM pakietu danych Extensible Single Sign-on na urządzeniach Apple
Przy użyciu pakietu danych Extensible Single Sign-on możesz zdefiniować rozszerzenia do obsługi uwierzytelniania wielopoziomowego użytkowników iPhone'ów, iPadów i Maców zarejestrowanych w rozwiązaniu MDM.
To rozszerzenie jest przeznaczone do użytku przez dostawców tożsamości w celu zapewnienia łatwego logowania użytkowników w aplikacjach i witrynach internetowych. Gdy jest odpowiednio skonfigurowane przy użyciu MDM, użytkownik uwierzytelnia się raz, a następnie uzyskuje automatyczny dostęp do kolejnych natywnych aplikacji i witryn internetowych. Następujące pozostałe funkcje mogą być używane z pakietem danych Extensible Single Sign-On, gdy zostaną zaimplementowane przez dewelopera:
Pęk kluczy w iCloud
Uwierzytelnianie wielopoziomowe
VPN dla aplikacji
Powiadomienie użytkownika
Oprócz rozszerzeń logowania jednokrotnego dla deweloperów innych firm, systemy iOS 13, iPadOS 13.1 oraz macOS 10.15 zawierają wbudowane rozszerzenie Kerberos, które może być używane przez użytkowników do logowania w natywnych aplikacjach oraz witrynach, które wspierają uwierzytelnienie Kerberos.
Pakiet danych Extensible Single Sign-on obsługuje elementy przedstawione poniżej. Aby uzyskać więcej informacji, zobacz: Informacje o pakietach danych.
Obsługiwana metoda zatwierdzania: Wymaga zatwierdzenia przez użytkownika.
Obsługiwana metoda instalacji: Instalacja wymaga rozwiązania MDM.
Obsługiwany identyfikator pakietu: com.apple.extensiblesso
Obsługiwane systemy operacyjne i kanały: iOS, iPadOS, wspólny iPad (użytkownik), macOS (urządzenie), macOS (użytkownik), visionOS 1.1.
Obsługiwane typy rejestracji: rejestracja użytkownika, rejestracja urządzenia, automatyczna rejestracja urządzenia.
Dozwolone duplikaty: Prawda — do użytkownika lub urządzenia może zostać dostarczony więcej niż jeden pakiet danych Extensible Single Sign-on.
Z pakietem danych Extensible Single Sign-on możesz użyć ustawień przedstawionych w poniższej tabeli.
Ustawienie | Opis | Wymagane | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Preferred KDCs (Preferowane KDC) | Uporządkowana lista preferowanych KDC używanych do obsługi ruchu sieciowego Kerberos. Ten klucz powinien być używany w sytuacji, gdy serwery nie są wykrywalne za pośrednictwem DNS. Jeśli serwery są podane, są one używane zarówno podczas sprawdzania połączenia jak i pierwszej próby obsługi ruchu sieciowego Kerberos. Jeśli serwery te nie odpowiadają, używane są adresy uzyskane przez DNS. Każda pozycja jest sformatowana tak samo, jak w pliku krb5.conf. | Nie | |||||||||
Extension identifier (Identyfikator rozszerzenia) | Niepowtarzalny identyfikator pakietu aplikacji. | Tak | |||||||||
Team identifier (Identyfikator zespołu) | Niepowtarzalny identyfikator zespołu dla aplikacji. | Tak | |||||||||
Sign-on type (Rodzaj logowania) |
| Tak | |||||||||
Authentication method (Metoda uwierzytelniania) macOS 13 lub nowszy | Metoda uwierzytelniania platformowego logowania jednokrotnego używana przez rozszerzenie. Wymaga, aby rozszerzenie SSO również obsługiwało tę metodę.
| Nie | |||||||||
Registration token (Token rejestracji) macOS 13 lub nowszy | Token używany przez to urządzenie do rejestracji za pomocą platformowego logowania jednokrotnego. Użyj go do cichej rejestracji u dostawcy tożsamości. Wymaga, aby parametr Authentication Method nie był pusty. | Nie | |||||||||
Realm (Dziedzina) | Pełna nazwa dziedziny Kerberos, w której znajduje się konto użytkownika. Ten klucz jest ignorowany w przypadku pakietów danych Redirect. | Nie | |||||||||
Hosts (Hosty) | Zatwierdzone domeny, które mogą być uwierzytelniane przy użyciu rozszerzenia aplikacji. | Nie | |||||||||
Adresy URL | Wymagane w przypadku pakietów danych przekierowania. Ignorowane w przypadku pakietów danych uwierzytelniania. Adres URL musi zaczynać się od https:// lub http://, dopasowywanie schematu i nazwy hosta nie uwzględnia wielkości liter, nie można stosować parametrów zapytań i fragmentów URL, a adresy URL wszystkich zainstalowanych pakietów danych Extensible Single Sign-On muszą być niepowtarzalne. | Nie | |||||||||
Uwaga: Każdy dostawca rozwiązań MDM wdraża te ustawienia w inny sposób. Aby dowiedzieć się, jak różne ustawienia pakietu danych Extensible Single Sign-on są stosowane do Twoich urządzeń i użytkowników, zapoznaj się z dokumentacją dostawcy rozwiązania MDM.