Seguridad del inicio de sesión único
Inicio de sesión único
iOS y iPadOS admiten la autenticación en redes empresariales mediante el inicio de sesión único (SSO). El SSO funciona con redes basadas en Kerberos para autenticar a usuarios en los servicios a los que tienen permitido el acceso. El SSO se puede utilizar para diferentes operaciones de red, desde la navegación segura en Safari hasta el uso de apps de terceros. También admite la autenticación basada en certificados, como PKINIT.
macOS admite la autenticación en las redes empresariales usando Kerberos. Las apps pueden usar Kerberos para autenticar usuarios en los servicios a los que tienen permitido el acceso. Kerberos también se puede usar para diferentes operaciones de red, desde la navegación segura en Safari y la autenticación en sistemas de archivos en red, hasta el uso de apps de terceros. Se admite la autenticación basada en certificados, aunque se requiere que la app adopte una API de desarrollador.
El SSO de iOS, iPadOS y macOS utiliza identificadores SPNEGO y el protocolo HTTP Negotiate para trabajar con puertas de enlace de autenticación basadas en Kerberos y sistemas de autenticación integrada de Windows que admitan vales de Kerberos. La compatibilidad con el SSO se basa en el proyecto de código abierto Heimdal.
Los siguientes tipos de encriptación son compatibles con iOS, iPadOS y macOS:
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
DES3‑CBC‑SHA1
ARCFOUR‑HMAC‑MD5
Safari admite el SSO, y también se pueden configurar las apps de terceros que utilizan API de conexión a redes de iOS y iPadOS estándar para que lo hagan. Para configurar el SSO, iOS y iPadOS admiten una carga de perfil de configuración que permite a las soluciones de administración de dispositivos móviles (MDM) obtener la configuración necesaria. Aquí se incluye el nombre del principal usuario (es decir, la cuenta de usuario de Active Directory) y la configuración del reino Kerberos, así como la configuración de las apps y direcciones URL web de Safari a las que se debe permitir el uso del SSO.
Inicio de sesión único extensible
Los desarrolladores de apps pueden brindar sus propias implementaciones de inicio de sesión único usando las extensiones de SSO. Las extensiones de SSO se invocan cuando una app nativa o de Internet necesita usar algún proveedor de identidad para autenticar al usuario. Los desarrolladores pueden brindar dos tipos de extensiones: las que redirigen a HTTPS y las que utilizan un mecanismo de pregunta/respuesta como Kerberos. Esto permite que los esquemas de autenticación OpenID, OAuth, SAML2 y Kerberos sean compatibles con el inicio de sesión único extensible. Las extensiones de SSO también pueden admitir la autenticación en macOS si se adopta un protocolo de SSO nativo, lo que permite que se obtengan los identificadores de SSO durante el inicio de sesión de macOS.
Para usar una extensión de inicio de sesión único, una app puede usar la API AuthenticationServices o puede basarse en el mecanismo de interceptación de URL que ofrece el sistema operativo. WebKit y CFNetwork brindan una capa de interceptación que permite una compatibilidad fluida con el inicio de sesión único para cualquier app nativa o de WebKit. Para invocar una extensión de inicio de sesión único, se debe instalar una configuración proporcionada por un administrador mediante un perfil de administración de dispositivos móviles (MDM). Además de esto, las extensiones de tipo de redirección deben usar la carga útil de los dominios asociados para probar que el servidor de identidad que soportan está al tanto de su existencia.
La única extensión proporcionada con el sistema operativo es la extensión Kerberos SSO.