Introduktion til at logge ind i et trin på Apple-enheder
Organisationer bruger ofte log ind i et trin (SSO), som er designet til at gøre det nemmere for brugerne at logge ind på apps og websites. Med SSO bruges den samme godkendelsesproces til at give adgang til flere apps eller systemer – uden at brugeren skal bevise sin identitet igen. I stedet for at gemme en brugers godkendelsesoplysninger (f.eks. brugerens adgangskode) og benytte dem igen og igen for hver app eller hvert system, bruger SSO det token, der leveres ved den første godkendelse. For brugerne virker det, som om de kun skal bruge adgangskoden en gang.
SSO forekommer f.eks., når du logger ind på Active Directory på virksomhedens netværk og derefter uden videre får adgang til virksomhedens apps og websteder uden at indtaste din adgangskode igen. Alle apps og systemer er indstillet til at have tillid til, at Active Directory identificerer brugere, gruppemedlemskaber mv. Sammen udgør de et sikkerhedsdomæne.
Kerberos
Kerberos er en populær godkendelsesprotokol, der bruges til SSO i store netværk. Det er også den standardprotokol, der bruges af Active Directory. Det fungerer på forskellige platforme, bruger kryptering og beskytter mod genafspilningsangreb. Det kan bruge adgangskoder, certifikat-id'er, Smart Cards, NFC-enheder eller andre produkter til hardwaregodkendelse til at godkende brugeren. Den server, der udfører Kerberos, kaldes nøgledistributionscenteret (KDC). For at godkende brugere skal Apple-enheder kontakte KDC via en netværksforbindelse.
Kerberos fungerer godt på en organisations interne eller private netværk, fordi alle klienter og servere skal have en direkte forbindelse til KDC. Klienter uden for virksomhedens netværk skal bruge et virtuelt privat netværk (VPN) til at oprette forbindelse og blive godkendt. Kerberos er mindre egnet til sky- eller internetbaserede apps. Det skyldes, at disse apps ikke har direkte forbindelse til virksomhedens netværk. Til sky- eller internetbaserede apps er moderne godkendelse (som beskrevet nedenfor) mere hensigtsmæssig.
macOS prioriterer Kerberos til alle godkendelsesaktiviteter, når de er integreret i et Active Directory-miljø. Når en bruger logger ind på en Mac-computer med en Active Directory-konto, anmodes der om en Kerberos-billet af typen TGT fra en aktiv Active Directory-domænecontroller. Når brugeren forsøger at bruge en tjeneste eller en app i domænet, der understøtter Kerberos-godkendelse, bruges TGT til at anmode om en billet til tjenesten, så brugeren ikke skal godkendes igen. Hvis en indstillet politik bestemmer, at der skal bruges en adgangskode til at fjerne skærmskåneren, forsøger macOS at forny TGT efter godkendelsen.
For at sikre, at servere med Kerberos fungerer korrekt, skal både normale og omvendte DNS-poster (Domain Name System) være nøjagtige. Systemurets klokkeslæt er også vigtigt, eftersom forskellen mellem klokkeslættet på alle servere og klienter skal være under 5 minutter. Den bedste praksis er at indstille dato og klokkeslæt automatisk ved at bruge en NTP-tjeneste (Network Time Protocol), f.eks. time.apple.com.
Moderne godkendelse med SSO
Moderne godkendelse er et sæt webbaserede godkendelsesprotokoller, der bruges af apps i netskyen. Eksempler inkluderer SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 eller nyere versioner) og Open ID Connect (OIDC). Disse protokoller fungerer godt på internettet og krypterer deres forbindelser med HTTPS. SAML2 bruges ofte som foreningsmekanisme mellem en organisations netværk og apps i netskyen. Forening bruges, når man krydser domæner, der er tillid til – f.eks. i forbindelse med adgang til et sæt med apps i netskyen fra dit lokale domæne.
Bemærk: For at benytte OAuth 2.0 skal MDM-løsningen implementere understøttelse af OAuth 2.0 på serversiden for alle identitetsudbydere, de vil understøtte til brug med brugertilmelding.
Log ind i et trin med disse protokoller varierer afhængigt af leverandøren og miljøet. Når du f.eks. bruger Active Directory Federation Services (AD FS) på en organisations netværk, fungerer AD FS med Kerberos til SSO, og når du godkender klienter via internettet, kan AD FS bruge browsercookies. Moderne godkendelsesprotokoller har intet krav til den måde, brugeren identificerer sig på. Mange af disse protokoller bruges sammen med godkendelse med flere faktorer såsom en sms-kode, når ukendte klienter skal godkendes. Nogle leverandører lægger certifikater på enheden, der skal identificere kendte enheder og lette godkendelsesprocessen.
Identitetsudbydere kan understøtte SSO i iOS, iPadOS, macOS, og visionOS 1.1 via brug af udvidelser til login i et trin. Disse udvidelser gør det muligt for identitetsudbydere at implementere moderne godkendelsesprotokoller til deres brugere.
Understøttede apps
iOS, iPadOS og visionOS 1.1 giver fleksibel understøttelse af SSO til enhver app, der bruger klassen NSURLSession
eller URLSession
til at administrere netværksforbindelser og godkendelse. Apple forsyner alle udviklere med disse klasser, så de nemt kan integrere netværksforbindelser i deres apps.
Single sign-on (SSO) fungerer til alle apps til Mac, der understøtter Kerberos. Det gælder mange af de indbyggede apps i macOS, f.eks. Safari, Mail og Kalender og tjenester som arkivdeling, skærmdeling og SSH (Secure Shell). Mange apps fra tredjeparter, f.eks. Microsoft Outlook, understøtter også Kerberos.
Konfigurer Login i et trin
Du konfigurerer SSO ved hjælp af konfigurationsprofiler, som enten kan installeres manuelt eller administreres med MDM. SSO-data har fleksible konfigurationsmuligheder. SSO kan være åben for alle apps eller begrænset af et app-id, URL-adressen til en tjeneste eller begge dele.
Der bruges enkel mønstersammenligning til at sammenligne et mønster med præfikset i en URL-adresse, der anmodes om. Mønstre skal starte med https:// eller http://, og de matcher ikke, hvis portnumrene er forskellige. Hvis et sammenligningsmønster til URL-adresser ikke slutter med en skråstreg (/), tilføjes der en sådan.
https://www.betterbag.com/ matcher f.eks. https://www.betterbag.com/index.html, men ikke http://www.betterbag.com eller https://www.betterbag.com:443/.
Et enkelt jokertegn kan også bruges til at angive manglende subdomæner. https://*.betterbag.com/ matcher f.eks. https://store.betterbag.com/.
Mac-brugere kan se og administrere oplysningerne i deres Kerberos-billet med appen Billetfremviser, der er placeret i /System/Library/CoreServices/. Du kan se yderligere oplysninger ved at vælge Diagnosticeringsoplysninger på menuen Billet. Hvis konfigurationsprofilen tillader det, kan brugerne også anmode om, få vist og slette Kerberos-billetter ved hjælp af kommandolinjeværktøjerne kinit
, klist
og kdestroy
.