أمن تسجيل الدخول الموحد
تسجيل الدخول الموحد
يدعم iOS و iPadOS المصادقة لشبكات المؤسسات من خلال تسجيل الدخول الموحد (SSO). ويعمل SSO مع الشبكات المستندة إلى Kerberos لمصادقة المستخدمين للخدمات المخوّل لهم الوصول إليها. ويمكن استخدام SSO لمجموعة من أنشطة الشبكات، من جلسات سفاري الآمنة حتى تطبيقات الجهات الخارجية. المصادقة المستندة إلى الشهادة، مثل PKINIT، مدعومة أيضًا.
يدعم macOS المصادقة لشبكات المؤسسات باستخدام Kerberos. ويمكن للتطبيقات استخدام Kerberos لمصادقة المستخدمين للخدمات المخوّل لهم الوصول إليها. كما يمكن أيضًا استخدام Kerberos لمجموعة من أنشطة الشبكات، من جلسات سفاري الآمنة ومصادقة نظام ملف الشبكة حتى تطبيقات الجهات الخارجية. المصادقة المستندة إلى الشهادة مدعومة، على الرغم من أن اعتماد التطبيق لواجهة API خاصة بالمطوّر مطلوب.
يستخدم SSO في iOS و iPadOS و macOS رموز SPNEGO وبروتوكول HTTP Negotiate للعمل مع بوابات المصادقة المستندة إلى Kerberos وأنظمة المصادقة المتكاملة لـ Windows التي تدعم تذاكر Kerberos. ويستند دعم SSO إلى مشروع Heimdal مفتوح المصدر.
أنواع التشفير التالية مدعومة في iOS و iPadOS و macOS:
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
DES3-CBC-SHA1
ARCFOUR-HMAC-MD5
يدعم سفاري ميزة SSO، كما يمكن أيضًا تكوين تطبيقات الجهات الخارجية التي تستخدم واجهات API لشبكات iOS و iPadOS القياسية بغرض استخدامها. لتكوين SSO، يدعم iOS و iPadOS حمولة ملف تعريف تكوين تتيح لحلول إدارة جهاز الجوال (MDM) دفع الإعدادات الضرورية إلى أسفل. ويتضمن ذلك تعيين اسم المستخدم الرئيسي (أي، حساب مستخدم Active Directory) وإعدادات مجال Kerberos، بالإضافة إلى تكوين التطبيقات وعناوين URL الخاصة بسفاري على الويب التي يجب السماح لها باستخدام SSO.
تسجيل الدخول الموحد القابل للتجديد
يمكن لمطوري التطبيقات توفير عمليات تنفيذ تسجيل الدخول الموحد الخاصة بهم باستخدام ملحقات SSO. يتم استدعاء ملحقات SSO عندما يحتاج تطبيق أصلي أو تطبيق ويب إلى استخدام أي موفر هوية لمصادقة المستخدم. ويمكن للمطورين توفير نوعين من الملحقات: تلك التي تُعيد التوجيه إلى HTTPS وتلك التي تستخدم آلية التحدي/الاستجابة مثل Kerberos. وذلك يتيح إمكانية دعم أنظمة مصادقة OpenID و OAuth و SAML2 و Kerberos بواسطة تسجيل الدخول الموحد القابل للتجديد. يمكن لملحقات SSO كذلك دعم مصادقة macOS عن طريق استخدام بروتوكول SSO أصلي، حيث يسمح باسترداد رموز SSO خلال تسجيل الدخول على macOS.
لاستخدام أحد ملحقات تسجيل الدخول الموحد، يمكن للتطبيق إما استخدام واجهة برمجة التطبيقات AuthenticationServices أو الاعتماد على آلية اعتراض عناوين URL التي يوفرها نظام التشغيل. يوفر WebKit و CFNetwork طبقة اعتراض تتيح الدعم السلس لتسجيل الدخول الموحد لأي تطبيق أصلي أو تطبيق WebKit. لكي يتم استدعاء أحد ملحقات تسجيل الدخول الموحد، يجب تثبيت أي تكوين يوفره المسؤول من خلال أحد ملفات تعريف إدارة جهاز الجوال (MDM). بالإضافة إلى ذلك، يجب أن تستخدم ملحقات نوع إعادة التوجيه حمولة المجالات المرتبطة لإثبات أن خادم الهوية الذي تدعمه يدرك وجودها.
الملحق الوحيد المتوفر مع نظام التشغيل هو ملحق Kerberos SSO.