Geteiltes iPad – Sicherheit in iPadOS
Die Option „Geteiltes iPad“ ist ein Mehr-Benutzer-Modus für iPad-Implementierungen. Sie ermöglicht Benutzern, ein iPad geteilt zu nutzen und die Dokumente und Daten der einzelnen Benutzer zu trennen. Alle Benutzer erhalten einen privaten, reservierten Speicherort, der als APFS (Apple File System)-Volume erstellt und durch die Benutzerdaten geschützt wird. Für die Option „Geteiltes iPad“ ist eine verwaltete Apple-ID erforderlich, die von der Organisation ausgegeben wird und ihrer Kontrolle unterliegt.
Mit „Geteiltes iPad“ haben Benutzer die Möglichkeit, sich an jedem Gerät im Besitz der Organisation anzumelden, das für die Nutzung durch mehrere Personen konfiguriert ist. Die Daten der Benutzer werden in getrennten Verzeichnissen in jeweils eigenen Datensicherheits-Domains gespeichert und durch UNIX-Zugriffsrechte und Sandboxing geschützt. Benutzer von iPadOS 13.4 (oder neuer) können sich für temporäre Sitzungen anmelden. Wenn Benutzer sich von einer temporären Sitzung abmelden, wird ihr APFS-Volume gelöscht und der reservierte Speicherplatz an das System zurückgeführt.
Anmeldung an geteilten iPad-Geräten
Für die Anmeldung an einem geteilten iPad werden native und föderierte verwaltete Apple-IDs unterstützt. Beim erstmaligen Verwenden eines föderierten Accounts wird der Benutzer zum Anmeldeportal des Identitätsanbieters (IdP, Identity Provider) umgeleitet. Nach erfolgter Authentifizierung wird ein nur für kurze Zeit gültiger Zugangstoken für die im Hintergrund stehende verwaltete Apple-ID ausgestellt. Danach wird der Anmeldevorgang in ähnlicher Weise wie bei der Anmeldung mittels einer nativen verwalteten Apple-ID fortgesetzt. Nach der Anmeldung wird der Benutzer auf dem geteilten iPad vom Systemassistenten aufgefordert, einen Code (Anmeldedaten) festzulegen. Dieser Code wird für den Schutz der lokalen Daten auf dem Gerät und für die künftige Authentifizierung im Anmeldebildschirm des Geräts verwendet. Wie bei einem Gerät, das nur von einer Person benutzt wird und bei dem sich der Benutzer nur einmal unter Verwendung seiner verwalteten Apple-ID und seines föderierten Accounts anmeldet und sein Gerät anschließend mithilfe seines Codes sperrt, meldet sich bei einem geteilten iPad der Benutzer nur einmal unter Verwendung des föderierten Accounts an und verwendet danach den von ihm festgelegten Code.
Wenn sich Benutzer ohne föderierte Authentifizierung anmelden, wird die verwaltete Apple-ID mithilfe des SRP-Protokolls durch den Apple Identity Service (IDS) authentifiziert. Ist die Authentifizierung erfolgreich, wird ihnen ein nur für kurze Zeit gültiger, gerätespezifischer Zugangstoken zugewiesen. Wenn ein Benutzer das gleiche Gerät bereits zuvor einmal verwendet hat, gibt es für ihn bereits einen lokalen Benutzeraccount, der mit denselben Anmeldedaten entsperrt wird.
Für den Fall, dass ein Benutzer das Gerät noch nie verwendet hat oder für eine temporäre Sitzung angemeldet ist, stellt die Option „Geteiltes iPad“ eine neue UNIX-Benutzerkennung, ein APFS-Volume zum Speichern der persönlichen Benutzerdaten und einen lokalen Schlüsselbund bereit. Da der Speicherplatz für den Benutzer bei der Erstellung des APFS-Volumes zugewiesen (reserviert) wird, steht möglicherweise nicht genügend Speicherplatz zum Erstellen eines neuen Volumes zur Verfügung. In diesem Fall sucht das System nach einem vorhandenen Benutzer, dessen Daten bereits mit der Cloud synchronisiert wurden, und entfernt diesen Benutzer von dem Gerät, damit der neue Benutzer sich anmelden kann. In dem unwahrscheinlichen Fall, dass das Hochladen der Cloud-Daten aller vorhandenen Benutzer noch nicht abgeschlossen ist, schlägt die neue Benutzeranmeldung fehl. Um sich anzumelden, muss der neue Benutzer warten, bis die Datensynchronisierung eines anderen Benutzers abgeschlossen ist oder ein Administrator einen vorhandenen Benutzer-Account zwangsweise löscht, wobei das Risiko eines Datenverlusts besteht.
Wenn das Gerät nicht mit dem Internet verbunden ist (z. B. wenn dem Benutzer kein WLAN-Zugangspunkt zur Verfügung steht), kann die Authentifizierung während einer begrenzten Anzahl von Tagen auf der Basis des lokalen Accounts ausgeführt werden. In diesem Fall können sich aber nur Benutzer anmelden, die bereits einen lokalen Account haben oder eine temporäre Sitzung nutzen. Nach dem Ablauf der Frist müssen sich Benutzer online authentifizieren, auch wenn bereits lokale Accounts für sie vorhanden sind.
Nachdem der lokale Account für einen Benutzer entsperrt oder erstellt und per Fernzugriff authentifiziert wurde, wird der von den Apple-Servern ausgegebene, kurzzeitig gültige Token in einen iCloud-Token umgewandelt, der die Anmeldung bei iCloud erlaubt. Als Nächstes werden die Einstellungen des Benutzers wiederhergestellt und seine Dokumente und Daten von iCloud synchronisiert.
Solange die Sitzung aktiv ist und das Gerät online bleibt, werden erstellte oder geänderte Dokumente und Daten in iCloud gespeichert. Ein Synchronisierungsmechanismus, der im Hintergrund abläuft, sorgt zudem dafür, dass nach dem Abmelden des Benutzers die Änderungen in iCloud oder per NSURLSession-Hintergrundsitzungen in einen anderen Webdienst gepusht werden. Nachdem die Synchronisierung im Hintergrund für den Benutzer abgeschlossen ist, wird der APFS-Datenträger des Benutzers deaktiviert und kann ohne erneute Anmeldung des Benutzers nicht mehr aktiviert werden.
Temporäre Sitzungen werden nicht mit iCloud synchronisiert. Auch wenn Benutzer sich in einer temporären Sitzung bei einem Synchronisierungsdienst anderer Anbieter wie Box oder Google Drive anmelden können, besteht nicht die Möglichkeit, die Synchronisierung nach dem Ende der temporären Sitzung fortzusetzen.
Abmelden von geteilten iPad-Geräten
Wenn sich ein Benutzer auf einem geteilten iPad abmeldet, wird der zugehörige Keybag sofort gesperrt und alle Apps werden geschlossen. Damit sich ein neuer Benutzer schnell anmelden kann, stellt iPadOS einige reguläre Abmeldeaktionen vorübergehend zurück und zeigt dem neuen Benutzer das Anmeldefenster an. Wenn sich ein Benutzer während dieser Zeit (etwa 30 Sekunden) anmeldet, führt das geteilte iPad die zurückgestellte Bereinigung im Zuge der Anmeldung beim Account des nachfolgenden Benutzers durch. Bleibt das geteilte iPad hingegen ungenutzt, löst es die zurückgestellte Bereinigung aus. Während der Bereinigungsphase wird das Anmeldefenster erneut so gestartet, als hätte eine weitere Abmeldung stattgefunden.
Wenn eine temporäre Sitzung beendet wird, führt das geteilte iPad die vollständige Abmeldungssequenz durch und löscht direkt das APFS-Volume der temporären Sitzung.