Introducere în autentificarea unică pentru dispozitivele Apple
Organizațiile utilizează deseori autentificarea unică (SSO), care este concepută pentru a îmbunătăți experiența utilizatorilor la autentificarea în aplicații și pe site‑uri web. Cu SSO, se utilizează un proces comun de autentificare pentru a accesa mai multe aplicații sau sisteme – fără ca utilizatorul să‑și declare din nou identitatea. SSO nu salvează acreditările unui utilizator (de exemplu, parola) și nu le reutilizează pentru fiecare aplicație sau sistem, ci folosește tokenul furnizat de autentificarea inițială, dându‑le utilizatorilor impresia unui concept bazat pe o parolă unică.
De exemplu, SSO are loc atunci când vă autentificați la Active Directory în rețeaua corporației dvs. și apoi accesați fără întrerupere aplicațiile și site‑urile web corporative, fără a introduce din nou parola dvs. Toate aplicațiile și sistemele sunt configurate să acorde încredere în Active Directory pentru identificarea utilizatorilor și furnizarea statutului de membru al grupului. Toate aceste sisteme formează împreună un domeniu de securitate.
Kerberos
Kerberos este un protocol de autentificare popular folosit în rețelele mari pentru SSO. De asemenea, este protocolul implicit folosit de Active Directory. Acesta funcționează în mai multe platforme, folosește criptarea și protejează împotriva atacurilor de tip replay. Poate utiliza parole, identități de certificate, smart carduri, dispozitive NFC sau alte produse hardware de autentificare pentru a autentifica utilizatorul. Serverul care execută Kerberos este cunoscut drept centru de distribuție a cheilor (KDC). Pentru autentificarea utilizatorilor, dispozitivele Apple trebuie să contacteze KDC printr‑o conexiune de rețea.
Kerberos funcționează bine în rețeaua internă sau privată a unei organizații deoarece toți clienții și toate serverele au o conectivitate directă la KDC. Clienții care nu se află în rețeaua corporativă trebuie să utilizeze o rețea privată virtuală (VPN) pentru conectare și autentificare. Kerberos nu este ideal pentru aplicațiile bazate pe cloud sau pe internet. Acest lucru este cauzat de faptul că aceste aplicații nu au o conectivitate directă în rețeaua corporativă. Pentru aplicațiile bazate pe cloud sau pe internet, este mai potrivită autentificarea modernă (descrisă mai jos).
macOS prioritizează Kerberos pentru toate activitățile de autentificare atunci când sunt integrate într-un mediu Active Directory. Atunci când utilizatorul efectuează login pe un Mac folosind un cont Active Directory, un tichet Kerberos de acordare a tichetului (TGT) este solicitat de la un controller de domeniu Active Directory. Când utilizatorul încearcă să utilizeze un serviciu sau o aplicație de pe unu domeniu care acceptă autentificarea Kerberos, este utilizat TGT pentru a solicita un tichet pentru serviciul respectiv, fără să ceară din nou autentificarea utilizatorului. Dacă este configurată o politică de solicitare de parolă pentru îndepărtarea screensaverului, macOS încearcă să reînnoiască TGT în cazul autentificării cu succes.
Pentru ca serverele cu Kerberos să funcționeze corect, ambele înregistrări ale sistemului de nume de domenii (DNS), “forward” și “reverse”, trebuie să fie indicate cu precizie. Ora ceasului de sistem este, și ea, importantă, deoarece desincronizarea ceasului trebuie să fie mai mică de 5 minute pentru toate serverele și toți clienții. Cea mai bună soluție este configurarea automată a datei și orei utilizând un serviciu Network Time Protocol (NTP) cum este time.apple.com.
Autentificarea modernă cu SSO
Autentificarea modernă se referă la un set de protocoale de autentificare bazate pe web, utilizate de aplicațiile cloud. Printre exemple se numără SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 sau versiuni ulterioare) și Open ID Connect (OIDC). Aceste protocoale funcționează bine prin internet și își criptează conexiunile folosind HTTPS. SAML2 este utilizat frecvent pentru federalizarea între rețelele unei organizații și aplicațiile cloud. Federalizarea este utilizată la întâlnirea domeniilor de încredere (de exemplu, la accesarea unui set de aplicații cloud din domeniul dvs. local).
Notă: Pentru a profita de OAuth 2.0, soluția MDM trebuie să implementeze compatibilitatea la nivel de server pentru OAuth 2.0 cu orice furnizor de identitate (IdP) dorit pentru utilizarea cu înscrierea utilizatorilor.
Autentificarea unică în cazul acestor protocoale variază în funcție de furnizor și de mediu. De exemplu, când utilizați Active Directory Federation Services (AD FS) în rețeaua unei organizații, AD FS funcționează cu Kerberos pentru SSO și când vă autentificați clienții prin internet, AD FS poate utiliza fișiere cookie în browser. Protocoalele de autentificare modernă nu dictează modul în care utilizatorul își declară identitatea. Multe dintre aceste protocoale sunt folosite în combinație cu autentificarea cu factori multipli, cum ar fi codul SMS la autentificarea de pe clienți necunoscuți. Unii furnizori oferă certificate pe dispozitiv pentru a identifica dispozitivele cunoscute și a ajuta la procesul de autentificare.
Furnizorii de identitate pot accepta SSO pe iOS, iPadOS, macOS și visionOS 1.1 cu ajutorul extensiilor de autentificare unică. Aceste extensii le permit furnizorilor de identitate să implementeze protocoale moderne de autentificare pentru utilizatorii lor.
Aplicațiile compatibile
iOS, iPadOS și visionOS 1.1 oferă o compatibilitate flexibilă cu SSO oricărei aplicații care utilizează clasa NSURLSession sau URLSession pentru a gestiona conexiunile de rețea și autentificarea. Apple furnizează tuturor dezvoltatorilor aceste clase, pentru integrarea fără întreruperi a conexiunilor de rețea în cadrul aplicațiilor acestora.
Toate aplicațiile Mac compatibile cu autentificarea Kerberos lucrează cu SSO. Aici sunt incluse multe dintre aplicațiile integrate în macOS, cum sunt Safari, Mail și Calendar, precum și servicii cum sunt partajarea fișierelor, partajarea ecranului și shell-ul securizat (SSH). De asemenea, multe dintre aplicațiile terțe, precum Microsoft Outlook, sunt compatibile cu Kerberos.
Configurarea Autentificării unice
Puteți configura SSO utilizând profiluri de configurare, care pot fi instalate manual sau gestionate cu MDM. Sarcina SSO permite o configurare flexibilă. SSO poate fi deschisă pentru toate aplicațiile sau poate fi restricționată în funcție de identificatorul aplicației, de URL-ul serviciului sau prin ambele.
Se utilizează corelarea simplă a modelelor de șiruri atunci când se compară un model cu prefixul unui URL solicitat. Prin urmare, modelele trebuie să înceapă fie cu https://, fie cu http:// și nu vor fi corelate cu numere diferite de porturi. Dacă un model de corelare URL nu se termină cu o bară oblică (/), se va adăuga la sfârșit o bară oblică.
De exemplu, https://www.betterbag.com/ corespunde cu https://www.betterbag.com/index.html, dar nu va corespunde cu http://www.betterbag.com sau https://www.betterbag.com:443/.
Ar putea fi utilizat, de asemenea, un singur metacaracter pentru a specifica subdomeniile lipsă. De exemplu, https://*.betterbag.com/ corespunde cu https://store.betterbag.com/.
Utilizatorii Mac pot vizualiza și își pot gestiona informațiile din tichetul lor Kerberos utilizând aplicația Observator tichet din /Sistem/Bibliotecă/CoreServices/. Puteți vizualiza informații suplimentare făcând clic pe meniul Tichet și alegând Informații de diagnoză. Dacă profilul de configurare permite acest lucru, utilizatorii pot de asemenea solicita, vizualiza și distruge tichetele Kerberos utilizând instrumentele în linie de comandă kinit, klist și respectiv kdestroy.