Вступ до функції єдиного входу на пристроях Apple
Організації часто використовують функцію єдиного входу (SSO), яка має покращити вхід користувачів у систему для програм і вебсайтів. Завдяки SSO для доступу до багатьох програм і систем використовується спільний процес автентифікації, а користувачам не потрібно повторно підтверджувати свою особу. Замість того, щоб зберігати облікові дані користувача (наприклад, пароль) і повторно використовувати їх для кожної програми чи системи, SSO використовує токен, наданий під час початкової автентифікації, завдяки чому користувачу доводиться вводити пароль лише один раз.
Наприклад, єдиний вхід здійснюється, коли ви входите в Active Directory в корпоративній мережі, а потім автоматично отримуєте доступ до корпоративних програм і сайтів без повторного введення пароля. Усі програми та системи конфігуровано на довіру Active Directory щодо ідентифікації користувачів і надання членства в групах; разом вони утворюють домен безпеки.
Kerberos
Kerberos — це популярний протокол автентифікації, який використовується для єдиного входу (SSO) у великих мережах. Також це стандартний протокол, який використовується в Active Directory. Він працює між різними платформами, використовує шифрування і захищає від атак повторним відтворенням. Протокол також може використовувати паролі, посвідчення сертифіката, смарт-картки, пристрої NFC та інші засоби апаратної автентифікації, щоб автентифіковувати користувача. Сервер, який виконує Kerberos, відомий як Центр розповсюдження ключів (KDC). Для автентифікації користувачів пристрої Apple повинні зв’язатися з KDC через з’єднання з мережею.
Kerberos добре працює у внутрішніх корпоративних і приватних мережах, оскільки всі клієнти і сервери мають прямий зв’язок із KDC. Клієнти, які не під’єднані до корпоративної мережі, повинні використовувати віртуальну приватну мережу (VPN) для під’єднання й автентифікації. Kerberos не є ідеальним рішенням для хмарних або інтернет-програм. Причина в тому, що ці програми не мають прямого зв’язку з корпоративною мережею. Для хмарних або інтернет-програм краще підходить сучасна автентифікація (описана нижче).
macOS надає пріоритет Kerberos для всіх автентифікаційних заходів у разі інтегрування в середовище Active Directory. Коли користувач входить в систему Mac за допомогою облікового запису Active Directory, контролеру домену Active Directory подається запит на квиток на отримання квитка (TGT) Kerberos. Коли користувач намагається використати іншу службу або програму в домені, який підтримує автентифікацію Kerberos, TGT використовується для запиту квитка для цієї служби без вимоги повторної автентифікації. Якщо в політиці налаштовано вимагати пароль для вимкнення екранного ефекту, macOS намагатиметься поновити TGT після успішної автентифікації.
Щоб сервери з установленим Kerberos працювали правильно, прямі та зворотні записи системи доменних імен (DNS) повинні бути точними. Час системного годинника також важливий, оскільки розсинхронізація годинників будь-яких серверів і клієнтів на має перевищувати 5 хвилин. Оптимальним є задавати дату й час автоматично за допомогою сервісу Network Time Protocol (NTP), як от time.apple.com.
Сучасна автентифікація з SSO
Термін сучасна автентифікація стосується набору вебпротоколів автентифікації, які використовуються хмарними програмами. Приклади: SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 або новіші) та Open ID Connect (OIDC). Ці протоколи добре працюють через інтернет і шифрують зв’язок за допомогою HTTPS. SAML2 часто використовується для федерування між мережами організацій і хмарними програмами. Федерація використовується під час перетинання довірених доменів, наприклад, під час отримання доступу до набору хмарних програм із вашого локального домену.
Примітка. Щоб скористатися перевагами OAuth 2.0, рішення для керування мобільними пристроями (MDM) має забезпечити серверну підтримку для OAuth 2.0 із будь-яким постачальником ідентифікаційних даних (IdP), підтримка якого потрібна для використання з функцією реєстрації користувачів.
Функція єдиного входу з цими протоколами змінюється залежно від постачальника та середовища. Наприклад, коли ви використовуєте Active Directory Federation Services (AD FS) у мережі організації, AD FS працює з Kerberos для єдиного входу, а коли ви здійснюєте автентифікацію клієнтів через інтернет, AD FS може використовувати файли cookie в браузері. Сучасні протоколи автентифікації не визначають, яким способом клієнти подають свої ідентифікаційні дані. Багато з цих протоколів використовуються для автентифікації невідомих клієнтів у поєднанні з багатофакторною автентифікацією, як-от SMS-повідомлення з кодом. Деякі постачальники надають сертифікати на пристрій для ідентифікації відомих пристроїв, щоб спростити процес автентифікації.
Постачальники посвідчень можуть підтримувати єдиний вхід у системах iOS, iPadOS, macOS і visionOS 1.1 завдяки використанню розширень для єдиного входу. Ці розширення дають змогу постачальникам ідентифікаційних даних впроваджувати сучасні протоколи автентифікації для своїх користувачів.
Підтримувані програми
Системи iOS, iPadOS і visionOS 1.1 забезпечують гнучку підтримку єдиного входу для всіх програм, які використовують класи NSURLSession або URLSession для керування мережевими з’єднаннями та автентифікацією. Apple надає всім розробникам ці класи для безперешкодного інтегрування мережевого з’єднання в їхні програми.
Усі програми Mac, які підтримують автентифікацію Kerberos, працюють із SSO. Це, зокрема, вбудовані в macOS програми, як-от Safari, Пошта та Календар, а також служби обміну файлами, спільного доступу до екрана та протокол захищеної оболонки (SSH). Багато сторонніх програм, як-от Microsoft Outlook, також підтримують Kerberos.
Конфігурування єдиного входу
Для налаштування єдиного входу використовуються прфайли конфігурації, які можуть бути інстальовані вручну або за допомогою MDM. Набір даних єдиного входу дозволяє гнучку конфігурацію. Єдиний вхід може бути доступним для всіх програм або обмежений за ідентифікатором програми, URL сервісу або обидвома параметрами.
Під час порівняння еталону з префіксом запитуваного URL використовується просте зіставлення рядків. Шаблони мають починатися на https:// або http:// і не мають збігатися з номерами відмінних портів. Якщо еталон зіставлення URL не закінчується скісною рискою (/), її буде додано.
Наприклад, https://www.betterbag.com/ збігається з https://www.betterbag.com/index.html, але не збігатиметься з http://www.betterbag.com або https://www.betterbag.com:443/.
Щоб указати пропущені субдомени, можна використовувати один символ підстановки. Наприклад, https://*.betterbag.com/ збігається з https://store.betterbag.com/.
Користувачі Mac можуть переглядати й керувати квитками Kerberos за допомогою програми «Переглядач квитків» у /System/Library/CoreServices/. Щоб переглянути додаткову інформацію, клацніть меню «Квиток» і виберіть «Діагностична інформація». Якщо дозволяє профіль конфігурації, користувачі можуть також запитувати, переглядати та знищувати квитки Kerberos за допомогою інструментів командного рядка kinit, klist і kdestroy відповідно.