مقدمة عن تسجيل الدخول الموحد باستخدام أجهزة Apple
غالبًا ما تستخدم المؤسسات تسجيل الدخول الموحد (SSO)، المصمم لتحسين تجربة تسجيل دخول المستخدمين إلى التطبيقات ومواقع الويب. يتم استخدام عملية مصادقة شائعة في SSO للوصول إلى عدة تطبيقات أو أنظمة—من دون تأكيد المستخدم لهويته مجددًا. يستخدم SSO الرمز المقدم من المصادقة الأولية، بدلاً من حفظ بيانات اعتماد المستخدم (مثل كلمة السر) وإعادة استخدامها لكل تطبيق أو نظام، ما يمنح المستخدمين ما يشبه مفهوم كلمة السر التي تصلح لمرة واحدة.
على سبيل المثال، يحدث تسجيل الدخول الموحد (SSO) عندما تسجّل الدخول إلى Active Directory على شبكة شركتك ثم تصل بسلاسة إلى تطبيقات مؤسستك ومواقع الويب الخاصة بها من دون إدخال كلمة السر الخاصة بك مرة أخرى. وتم تكوين جميع التطبيقات والأنظمة للثقة في Active Directory لتحديد هوية المستخدمين وتوفير عضوية المجموعة ومعًا يشكلون نطاق أمان.
Kerberos
يُعد Kerberos بروتوكول مصادقة شائعًا يُستخدم في الشبكات الكبيرة لتمكين SSO. وهو أيضًا البروتوكول الافتراضي المستخدم بواسطة و Active Directory. يعمل عبر الأنظمة الأساسية، ويستخدم التشفير، ويحمي من هجمات إعادة التشغيل. ويمكنه استخدام كلمات السر أو هويات الشهادات أو البطاقات الذكية أو أجهزة NFC أو غيرها من منتجات مصادقة المكونات المادية لمصادقة المستخدم. يُعرف الخادم الذي يقوم بتنفيذ Kerberos باسم مركز توزيع المفاتيح (KDC). يجب على أجهزة Apple الاتصال بـ KDC عن طريق اتصال شبكة لمصادقة المستخدمين.
تعمل خدمة Kerberos بشكل جيد على الشبكة الداخلية أو الخاصة للمؤسسة لأن جميع العملاء والخوادم لديهم اتصال مباشر بمركز KDC. ويجب على العملاء غير المتصلين بشبكة الشركة استخدام شبكة افتراضية خاصة (VPN) للاتصال والمصادقة. لا يُعد Kerberos مثاليًا للتطبيقات التي تستند إلى الإنترنت أو السحابة. لأن هذه التطبيقات ليس لها اتصال مباشر بشبكة الشركة. تُعد المصادقة الحديثة (موضحة أدناه) ملائمة أكثر للتطبيقات التي تستند إلى الإنترنت أو السحابة.
يعطي macOS الأولوية لخدمة Kerberos لجميع أنشطة المصادقة عند دمجها في بيئة Active Directory. عندما يسجل المستخدم الدخول إلى Mac باستخدام حساب Active Directory، يتم طلب تذكرة منح تذاكر (TGT) لـ Kerberos من وحدة تحكم نطاق Active Directory. عندما يحاول المستخدم استخدام أي خدمة أو تطبيق على النطاق الذي يدعم مصادقة Kerberos، يُستخدم TGT لطلب تذكرة لهذه الخدمة دون مطالبة المستخدم بالمصادقة مرة أخرى. إذا تم تعيين سياسة بحيث تتطلب كلمة سر لاستبعاد شاشة التوقف، فسيحاول macOS تجديد TGT عند إجراء مصادقة ناجحة.
يجب أن تكون سجلات نظام اسم النطاق (DNS) الأمامية والعكسية دقيقة لتعمل الخوادم التي تستخدم بروتوكول Kerberos بشكل صحيح. وقت ساعة النظام مهم أيضًا، لأن الانحراف الزمني يجب أن يكون أقل من 5 دقائق لأي خوادم وعملاء. أفضل ما يمكن فعله هو تعيين التاريخ والوقت تلقائيًا باستخدام إحدى خدمات بروتوكول وقت الشبكة (NTP)، مثل time.apple.com.
المصادقة الحديثة باستخدام SSO
تشير المصادقة الحديثة إلى مجموعة من بروتوكولات المصادقة المستندة إلى الويب التي تستخدمها التطبيقات السحابية. من الأمثلة على ذلك SAML 2.0 و OAuth 2.0 (iOS 16 أو iPadOS 16.1 أو visionOS 1.1 أو أحدث) و Open ID Connect (OIDC). وتعمل هذه البروتوكولات بشكل جيد عبر الإنترنت وتقوم بتشفير اتصالاتها باستخدام HTTPS. يُستخدم SAML2 بشكل متكرر لإنشاء اتحاد بين شبكات المؤسسة والتطبيقات السحابية. يتم استخدام الاتحاد عند عبور مجالات الثقة—على سبيل المثال، عند الوصول إلى مجموعة من تطبيقات السحابة من المجال المحلي الخاص بك.
ملاحظة: للاستفادة من OAuth 2.0، يجب أن ينفذ حل MDM دعمًا من جانب الخادم لـ OAuth 2.0 مع أي مزود خدمة بطاقة الهوية (IdP) يريد دعمه للاستخدام مع تسجيل المستخدم.
يختلف تسجيل الدخول الموحد باستخدام هذه البروتوكولات وفقًا للمورّد والبيئة. على سبيل المثال، عندما تستخدم خدمات اتحاد Active Directory (AD FS) على شبكة إحدى المؤسسات، تعمل AD FS مع تسجيل الدخول الموحد (SSO) المستند إلى Kerberos، وعندما تقوم بمصادقة العملاء عبر الإنترنت، يمكن لـ AD FS استخدام كوكيز المتصفح. لا تفرض بروتوكولات المصادقة الحديثة على المستخدم كيفية تأكيد هويته. وتُستخدم العديد من هذه البروتوكولات مع مصادقة متعددة العوامل مثل رمز SMS عند المصادقة من عملاء غير معروفين. يوفر بعض الموردين شهادات على الجهاز لتحديد هوية الأجهزة المعروفة للمساعدة في عملية المصادقة.
يمكن لمزودي خدمة بطاقة الهوية (IdP) دعم تسجيل الدخول الموحد (SSO) في iOS و iPadOS و macOS و visionOS 1.1 من خلال استخدام امتدادات تسجيل الدخول الموحد. تسمح هذه الامتدادات لمزودي خدمة بطاقة الهوية (IdP) بتنفيذ بروتوكولات المصادقة الحديثة لمستخدميهم.
التطبيقات المدعومة
يوفر iOS و iPadOS و visionOS 1.1 دعمًا مرنًا لتسجيل الدخول الموحد لأي تطبيق يستخدم الفئة NSURLSession أو URLSession لإدارة اتصالات الشبكة والمصادقة. توفر Apple لجميع المطورين هذه الفئات حتى تتكامل اتصالات الشبكة بسلاسة في تطبيقاتهم.
يتوافق أي تطبيق على Mac يدعم مصادقة Kerberos لاستخدام SSO. يشمل ذلك العديد من التطبيقات المضمّنة في macOS مثل سفاري والبريد والتقويم، إلى جانب خدمات مثل مشاركة الملفات ومشاركة الشاشة ومكوّن shell الآمن (SSH). تدعم العديد من تطبيقات الجهات الخارجية، مثل Microsoft Outlook، بروتوكول Kerberos أيضًا.
تكوين تسجيل الدخول المفرد
يمكنك تكوين تسجيل الدخول المفرد باستخدام ملفات تعريف التكوين، والتي يمكن تثبيتها يدويًا أو إدارتها باستخدام إدارة جهاز الجوال. تسمح حمولة تسجيل الدخول المفرد بمرونة في التكوين. ويمكن فتح تسجيل الدخول المفرد لكل التطبيقات، أو تقييده بمعرّف التطبيق، عنوان URL، أو كليهما.
نُستخدم مطابقة نمط السلسلة البسيطة عند مقارنة نمط مقابل سابقة عنوان URL مطلوب. على هذا النحو، يجب أن تبدأ الأنماط إما بـ https:// أو http:// ولن تتطابق مع أرقام المنافذ المختلفة. وإذا كان نمط مطابقة URL لا ينتهي بشرطة مائلة (/)، فسيتم إلحاق واحدة.
على سبيل المثال، يتطابق https://www.betterbag.com/ مع https://www.betterbag.com/index.html لكن لن يتطابق مع http://www.betterbag.com أو https://www.betterbag.com:443/.
يمكن أيضًا استخدام حرف بدل واحد لتحديد النطاقات الفرعية المفقودة. على سبيل المثال، يتطابق https://*.betterbag.com/ مع https://store.betterbag.com/.
يمكن لمستخدمي Mac عرض معلومات تذكرة Kerberos الخاصة بهم وإدارتها باستخدام تطبيق عارض التذاكر الموجود في /System/Library/CoreServices/. يمكنك الاطلاع على معلومات إضافية من خلال النقر على القائمة تذكرة واختيار معلومات تشخيصية. إذا سمح ملف تعريف التكوين بذلك، يمكن للمستخدمين أيضًا طلب تذاكر Kerberos وعرضها وإتلافها باستخدام أدوات سطر الأوامر kinit و klist و kdestroy على التوالي.