Kerberos-udvidelsen til Log ind i et trin til Apple-enheder
Kerberos-udvidelsen til Log ind i et trin (Kerberos SSO) forenkler processen med at rekvirere en Kerberos-billet, der giver adgang til en billet (TGT) fra din organisations Active Directory-domæne på stedet eller et domæne hos en anden identitetsudbyder, så brugerne problemfrit kan godkendes til ressourcer som websteder, apps og arkivservere.
Krav til brug af Kerberos-udvidelsen til SSO
Du skal have følgende for at bruge Kerberos-udvidelsen til SSO:
Enheder skal administreres af en løsning til administration af mobile enheder (MDM), som understøtter data i konfigurationsprofilen til udbredt login i et trin (Extensible Single Sign-on).
Adgang til det netværk, hvor Active Directory-domænet på stedet er placeret. Netværksadgang kan ske via Wi-Fi, Ethernet eller VPN.
Et Active Directory-domæne med Windows Server 2008 eller en nyere version. Kerberos SSO-udvidelsen er ikke beregnet til at blive brugt sammen med Microsoft Entra ID, som kræver et traditionelt Active Directory-domæne på stedet.
Udvidelsen i iOS, iPadOS og visionOS 1.1
I iOS, iPadOS og visionOS 1.1 aktiveres Kerberos SSO-udvidelsen først, når der er modtaget en HTTP 401 Negotiate-udfordring. Af hensyn til batteritiden anmoder udvidelsen ikke om Active Directory-stedkoder og opdaterer heller ikke en Kerberos TGT, før den udfordres.
Der er bl.a. følgende funktioner i Kerberos SSO-udvidelsen til iOS, iPadOS og visionOS 1.1:
Godkendelsesmetoder: Giver understøttelse af flere forskellige godkendelsesmetoder, herunder adgangskoder og certifikat-id'er (PKINIT). Certifikat-id’et kan være på et CryptoTokenKit Smart Card, et id, leveret fra MDM-løsningen eller på den lokale nøglering. Udvidelsen understøtter også ændring af adgangskoden til Active Directory, når godkendelsesdialogen viser eller bruger en URL-adresse til et separat websted.
Adgangskodeudløb: Anmoder om oplysninger om adgangskodeudløb fra domænet umiddelbart efter godkendelse, efter ændringer af adgangskoden og med jævne mellemrum i dagens løb. Disse oplysninger bruges til at levere notifikationer om adgangskodeudløb og anmode om nye godkendelsesoplysninger, hvis brugeren har ændret sin adgangskode på en anden enhed.
Understøttelse af VPN: Understøtter mange forskellige netværkskonfigurationer, herunder forskellige VPN-teknologier som f.eks. VPN til hver app. Hvis VPN til hver app benyttes, bruger Kerberos-udvidelsen til SSO kun VPN til hver app, når appen eller webstedet, der anmoder om det, er konfigureret til at bruge det.
Domæneadgang: Brug et LDAP-ping til domænet til at anmode om og indlæse Active Directory-stedkoder i bufferen for den aktuelle netværksforbindelse til domænet. Stedkoderne deles med Kerberos-anmodninger til andre processer for at forlænge batteritiden. Der er flere oplysninger i Microsoft-dokumentationen 6.3.3 LDAP Ping.
Forhandlingsudfordringer: Håndterer HTTP 401-forhandlingsudfordringer for websteder, NSURLSession-anmodninger og NSURLSession-baggrundsopgaver.
Udvidelsen i macOS
I macOS indhenter Kerberos-udvidelsen til SSO på forhånd en Kerberos TGT-billet, når netværkets status skifter, for at sikre, at brugeren hurtigt kan blive godkendt, når der bliver behov for det. Kerberos udvidelsen til SSO hjælper også brugerne med at administrere deres Active Directory-konti. Den giver også brugerne mulighed for at ændre deres Active Directory-adgangskode og giver dem besked, når en adgangskode snart udløber. Brugerne kan desuden ændre adgangskoden til deres lokale konto, så den svarer til deres Active Directory-adgangskode.
Kerberos-udvidelsen til SSO bør bruges sammen med et lokalt Active Directory-domæne. Enheder behøver ikke at være tilsluttet et Active Directory-domæne for at bruge Kerberos-udvidelsen til SSO. Desuden behøver brugerne ikke logge ind på deres Mac-computere med Active Directory-konti eller mobile konti. Apple anbefaler at bruge lokale konti i stedet.
Brugerne skal godkendes over for Kerberos-udvidelsen til SSO. De kan indlede denne proces på flere måder:
Hvis Mac har forbindelse til det netværk, hvor Active Directory-domænet er tilgængeligt, bliver brugeren bedt om at identificere sig, umiddelbart efter af konfigurationen til Extensible Single sign-on er installeret.
Hvis profilen allerede er installeret, bliver brugeren straks bedt om at identificere sig, hver gang Mac opretter forbindelse til et netværk, hvor Active Directory-domænet er tilgængeligt.
Hvis Safari eller en anden app bruges til at oprette adgang til et websted, der accepterer eller kræver Kerberos-godkendelse, bliver brugeren bedt om at identificere sig.
Brugeren kan vælge menutilbehøret til Kerberos-udvidelsen til SSO og derefter klikke på Log ind.
Kerberos-udvidelsen til SSO har følgende funktioner til macOS:
Godkendelsesmetoder: Udvidelsen understøtter flere forskellige godkendelsesmetoder, herunder adgangskoder og certifikat-id’er (PKINIT). Certifikat-id’et kan være på et CryptoTokenKit Smart Card, et id, leveret fra MDM-løsningen eller på den lokale nøglering. Udvidelsen understøtter også ændring af adgangskoden til AD, når godkendelsesdialogen viser eller bruger en URL-adresse til et separat websted.
Adgangskodeudløb: Udvidelsen anmoder om oplysninger om adgangskodeudløb fra domænet umiddelbart efter godkendelse, efter ændringer af adgangskoden og med jævne mellemrum i dagens løb. Disse oplysninger bruges til at levere notifikationer om adgangskodeudløb og anmode om nye godkendelsesoplysninger, hvis brugeren har ændret sin adgangskode på en anden enhed.
Understøttelse af VPN: Udvidelsen understøtter mange forskellige netværkskonfigurationer, herunder VPN-tjenester som f.eks. VPN til hver app. Hvis VPN er et VPN med netværksudvidelse, udløser det automatisk en forbindelse ved godkendelse eller ændring af adgangskoder. Hvis forbindelsen derimod er VPN til hver app, viser Kerberos SSO-udvidelsens ekstramenu altid, at netværket er tilgængeligt. Det skyldes, at den bruger et LDAP Ping til at fastslå tilgængeligheden af virksomhedens netværk. Når VPN til hver app afbryder forbindelsen, genoprettes den af LDAP Ping, så der tilsyneladende er en uafbrudt forbindelse med VPN til hver app. I virkeligheden er Kerberos-udvidelsen til SSO udløst for Kerberos-traffik on Demand.
Føj følgende poster til din App-to-App Layer VPN-overførsel for at bruge Kerberos-udvidelsen til SSO med VPN til hver app:
com.apple.KerberosExtension using designated requirement identifier com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent using designated requirement identifier com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra using designated requirement: identifier com.apple.KerberosMenuExtra and anchor apple
Domæneadgang: Udvidelsen bruger et LDAP-ping til domænet til at anmode om og derefter indlæse AD-stedkoder i bufferen for den aktuelle netværksforbindelse til domænet. Det gøres for at forlænge batteritiden. Desuden deles stedkoden med Kerberos-anmodninger til andre processer. Der er flere oplysninger i Microsoft-dokumentationen 6.3.3 LDAP Ping.
Kerberos TGT-opdatering: Udvidelsen forsøger at holde din Kerberos TGT opdateret hele tiden. Det gør den ved at overvåge netværksforbindelser og ændringer i Kerberos-bufferen. Når virksomhedens netværk er tilgængeligt, og der er behov for en ny billet, anmoder den proaktivt om en ny. Hvis brugerne vælger at logge ind automatisk, anmoder udvidelsen uden videre om en ny billet, indtil brugernes adgangskode udløber. Hvis brugerne ikke vælger at logge ind automatisk, bliver de bedt om deres brugeroplysninger, når deres Kerberos-brugeroplysninger udløber – som regel efter 10 timer.
Synkronisering af adgangskode: Udvidelsen synkroniserer den lokale adgangskode med adgangskoden til Active Directory. Efter den første synkronisering overvåger den ændringsdatoerne for den lokale adgangskode og Active Directory-adgangskoden for at afgøre, om kontoadgangskoderne stadig er synkroniseret. Den bruger datoerne i stedet for at forsøge at logge ind for at forhindre, at den lokale konto eller AD-kontoen låses ude på grund af for mange mislykkede forsøg.
Start instrukser: Udvidelsen sender notifikationer, når diverse hændelser indtræffer. Notifikationerne kan udløse instrukser, der skal udføres for at understøtte udvidelse af funktionaliteten. Der sendes notifikationer i stedet for at afvikle instrukser direkte, fordi Kerberos-udvidelsens processer placeres i et isoleret miljø, som forhindrer afvikling af instrukserne. Der er også et kommandolinjeværktøj,
app-sso, som gør det muligt for instrukser at læse udvidelsens status og anmode om almindelige handlinger såsom Log ind.Menu: Udvidelsen omfatter en menu, som giver brugeren mulighed for at logge ind, oprette forbindelse igen, ændre adgangskode, logge ud og se forbindelsesstatus. Muligheden for at oprette forbindelse igen henter også en ny TVT og opdaterer oplysninger om adgangskodeudløb fra domænet.
Kontobrug
Kerberos-udvidelsen til SSO kræver ikke, at din Mac har forbindelse til Active Directory, eller at brugeren er logget ind på Mac med en mobil konto. Apple anbefaler, at du bruger Kerberos-udvidelsen til SSO med en lokal konto. Kerberos-udvidelsen til SSO blev specifikt oprettet for at forbedre Active Directory-integrationen fra en lokal konto. Du kan dog stadig bruge Kerberos-udvidelsen til SSO, hvis du vælger at fortsætte med at bruge mobile konti. Ved brug med mobile konti:
Synkronisering af adgangskoder virker ikke. Hvis du bruger Kerberos-udvidelsen til SSO til at ændre din adgangskode til Active Directory, og du er logget ind på din Mac med den samme konto, du bruger til Kerberos-udvidelsen til SSO, fungerer skift af adgangskode på samme måde som i indstillingsvinduet Brugere & grupper. Men hvis du ændrer adgangskode eksternt – f.eks. hvis du ændrer adgangskoden på et websted, eller din it-afdeling nulstiller den – kan Kerberos-udvidelsen til SSO ikke synkronisere adgangskoden til din mobile konto med din adgangskode til Active Directory.
Brug af en URL-adresse til ændring af adgangskode sammen med Kerberos-udvidelsen understøttes ikke.