Úvod do služeb identity Apple
Společnost Apple poskytuje vaší organizaci různé služby identit, pomocí nichž můžete bezpečně spravovat hesla a uživatelská jména na pracovišti i v cloudu. Apple používá různá bezpečnostní opatření, jako je ověřování totožnosti, autorizace nebo sdružování identit, takže jednotliví uživatelé mohou přistupovat ke svým oblíbeným aplikacím a dalším zdrojům, aniž by například museli složitě nastavovat uživatelská jména a hesla pro každý zdroj zvlášť.
Níže je uveden přehled klíčových metod služeb identit – ověřování totožnosti, autorizace a sdružování identit – spolu s příklady toho, jak je společnosti Apple ve službách identit využívá.
Ověřování totožnosti a související služby Apple
Prvním krokem v procesu zabezpečení je ověřování totožnosti. Při ověřování totožnosti se ověřuje identita uživatele s cílem ujistit se, že je legitimní.
Apple používá mnoho různých metod ověřování totožnosti. Funkce jednotného přihlášení a různé služby společnosti Apple, jako je například osobní účet Apple, spravovaný účet Apple, iCloud, iMessage nebo FaceTime, umožňují bezpečnou vzájemnou komunikaci mezi uživateli, vytváření dokumentů online a zálohování osobních dat – to vše bez ohrožení dat organizace. Každá služba využívá vlastní bezpečnostní architekturu. Tímto způsobem Apple zajišťuje bezpečnou manipulaci s daty (ať už na zařízení Apple nebo při přenosu prostřednictvím bezdrátové sítě), ochranu osobních údajů uživatelů a ochranu proti nežádoucímu nebo neoprávněnému přístupu k informacím a službám. Mimoto společnost Apple pracuje s integrovaným frameworkem služeb správy zařízení, který poskytuje vývojářům služeb správy zařízení podporu pro omezování a správu přístupu ke konkrétním službám na zařízeních Apple.
Autorizace a přidružené služby Apple
Zatímco ověření totožnosti prokazuje vaši identitu (kdo jste), autorizace definuje, k jakým aktivitám mají uživatelé oprávnění. Aby autorizace fungovala, musíte poskytovateli identit (IdP) sdělit své uživatelské jméno a heslo. Z koncepčního hlediska je služba IdP „autoritou“, uživatelské jméno a heslo je „tvrzením“ (protože daná osoba „potvrzuje“ svou identitu) a údaje, které uživatel obdrží po úspěšném přihlášení, jsou „tokenem“.
Společnost Apple používá mnoho typů tokenů a mnoho typů tvrzení. Mezi tvrzení, která lze použít, patří například certifikáty, čipové karty nebo další zařízení pro vícefaktorové ověřování.
Sdružování identit
Sdružování identit je proces budování důvěry mezi službami IdP napříč bezpečnostními doménami, aby se uživatelé mohli volně pohybovat mezi systémy při zachování bezpečnosti. Aby sdružování identit fungovalo, musí správci nakonfigurovat domény, které si vzájemně důvěřují, a dohodnout se na jednotné metodě identifikace uživatelů.
Běžným příkladem sdružování identit je používání vašeho firemního účtu pro přihlašování ke službě IdP. Společnost Apple například umožnila federaci mezi službou IdP, službou Google Workspace, službou Microsoft Entra ID a nástrojem Apple School Manager nebo Apple Business Manager, aby se usnadnilo vytváření spravovaných účtů Apple pro organizaci. Uživatelé následně můžou použít své existující účty pro přihlašování ke službě IdP, Google Workspace nebo Microsoft Entra ID a jejich pomocí se přihlásit k iCloudu nebo k zařízení Apple, které jim bylo přiděleno v Apple School Manageru nebo Apple Business Manageru. Jestliže se uživateli nezobrazí výzva k novému prokázání totožnosti, federace se provádí pomocí jednotného přihlášení nebo pomocí rozšíření jednotného přihlášení Kerberos.