Johdanto kertakirjautumiseen Apple-laitteissa
Organisaatiot käyttävät usein kertakirjautumista (SSO), joka on suunniteltu parantamaan käyttäjien kirjautumiskokemusta apeissa ja verkkosivustoilla. Kertakirjautumisessa päästään yhteisellä todentamisprosessilla useisiin appeihin tai järjestelmiin ilman, että käyttäjä vahvistaa identiteettiään uudestaan. Kertakirjautumisessa ei tallenneta käyttäjän tunnistetietoja (esimerkiksi salasanaa) ja käytetä niitä uudelleen jokaiselle apille ja järjestelmälle, vaan käytetään alussa tehdyllä todentamisella saatua tunnistetta. Tämä näyttäytyy käyttäjille siten, että heidän tarvitsee syöttää salasana vain kerran.
Kertakirjautuminen on käytössä esimerkiksi silloin, kun kirjaudut sisään Active Directoryyn yritysverkossa ja pääset sen jälkeen saumattomasti yrityksen appeihin ja verkkosivustoille syöttämättä salasanaasi uudelleen. Kaikki apit ja järjestelmät on määritetty luottamaan Active Directoryyn käyttäjien tunnistamisessa ja ryhmien jäsenyydessä, ja ne muodostavat yhdessä suojausdomainin.
Kerberos
Kerberos on suosittu todentamisprotokolla, jota käytetään kertakirjautumiseen suuremmissa verkoissa. Se on myös Active Directoryn oletuksena käyttämä protokolla. Se toimii eri alustoilla, käyttää salausta ja suojaa toistohyökkäyksiä vastaan. Se voi käyttää salasanoja, varmenneidentiteettejä, älykortteja, NFC-lähitiedonsiirtolaitteita tai muita todentamislaitteistotuotteita käyttäjien todentamiseen. Kerberoksen toiminnasta vastaava palvelin tunnetaan nimellä avaintenjakelukeskus (KDC). Apple-laitteiden on otettava käyttäjien todentamista varten yhteys avaintenjakelukeskukseen verkon kautta.
Kerberos toimii hyvin organisaation sisäisessä tai yksityisessä verkossa, koska kaikilla asiakkailla ja palvelimilla on suora yhteys avaintenjakelukeskukseen. Yritysverkon ulkopuolella olevat asiakkaat tarvitsevat yhdistämiseen ja todentamiseen VPN:ää. Kerberos ei ole ihanteellinen pilvi- tai internet-pohjaisiin appeihin. Se johtuu siitä, että niillä ei ole suoraa yhteyttä yrityksen verkkoon. Pilvi- ja internet-pohjaisiin appeihin sopii paremmin moderni todentaminen (kuvaus alla).
macOS asettaa Kerberoksen etusijalle kaikissa todentamistoiminnoissa, kun se on integroitu Active Directory ‑ympäristöön. Kun käyttäjä kirjautuu Maciin käyttäen Active Directory ‑tiliä, pyydetään Active Directory ‑domainin ohjauskoneelta Kerberoksen lipun myöntävä lippu (ticket granting ticket, TGT). Kun käyttäjä yrittää käyttää domainissa Kerberos-todentamista tukevaa palvelua tai appia, TGT-lippua käytetään lipun pyytämiseen palvelulle ilman, että käyttäjän tarvitsee todentautua uudelleen. Jos näytönsäästäjän avaamiseen vaaditaan salasana, macOS yrittää uusia TGT:n todentautumisen jälkeen.
Jotta kerberoidut palvelimet toimivat oikein, sekä niiden forward- että reverse-DNS-tietueet tulee olla oikein. Järjestelmäkellon aika on myös tärkeä, koska palvelimien ja asiakkaiden kellot saavat erota enintään viisi minuuttia. Paras tapa on asettaa päivämäärä ja aika automaattisesti NTP-palvelulla, kuten time.apple.com.
Moderni todentaminen kertakirjautumisen kanssa
Moderni todentaminen viittaa joukkoon pilviappien käyttämiä verkkopohjaisia todentamisprotokollia. Niitä ovat esimerkiksi SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 tai uudemmat) ja Open ID Connect (OIDC). Nämä protokollat toimivat hyvin internetissä ja salaavat yhteytensä käyttäen HTTPS:ää. SAML2-protokollaa käytetään usein organisaation verkkojen ja pilviappien federointiin. Federointia käytetään, kun ylitetään luottamusdomaineja – esimerkiksi kun käytetään joukkoa pilviappeja organisaation tiloissa olevalta domainilta.
Huomaa: Jotta voidaan hyödyntää OAuth 2.0:aa, MDM-ratkaisussa täytyy olla toteutettu palvelinpuolen tuki OAuth 2.0:lle kaikkien sellaisten identiteetin tarjoajien (IdP) kanssa, joita halutaan tukea käyttäjärekisteröintikäytössä.
Kertakirjautuminen näitä protokollia käyttäen vaihtelee toimittajasta ja ympäristöstä riippuen. Esimerkiksi kun Active Directory ‑liittoutumispalveluita (AD FS) käytetään organisaation verkossa, AD FS käyttää kertakirjautumisessa Kerberosta, ja kun asiakkaita todennetaan internetin kautta, AD FS voi käyttää selaimen evästeitä. Modernin todennuksen protokollat eivät määrää, miten käyttäjä vahvistaa identiteettinsä. Monia näistä protokollista käytetään monimenetelmäisessä todentamisessa esimerkiksi yhdessä tekstiviestin kanssa, kun todennetaan käyttäjiä tuntemattomilta asiakkailta. Jotkin ratkaisutoimittajat helpottavat todentamisprosessia provisioimalla laitteelle varmenteita, joilla tunnetut laitteet tunnistetaan.
Identiteetin tarjoajat voivat tukea kertakirjautumista iOS:ssä, iPadOS:ssä, macOS:ssä ja visionOS 1.1:ssä käyttämällä kertakirjautumislaajennuksia. Näiden laajennusten avulla identiteetin tarjoajat voivat toteuttaa käyttäjilleen modernin todentamisen protokollia.
Tuetut apit
iOS, iPadOS ja visionOS 1.1 tarjoavat joustavan tuen kertakirjautumiselle mihin tahansa appiin, joka käyttää luokkaa NSURLSession tai URLSession verkkoyhteyksien ja todentamisen hallintaan. Apple tarjoaa kaikille kehittäjille näitä luokkia, joilla verkkoyhteydet voidaan integroida saumattomasti appeihin.
Mikä tahansa Kerberos-todentamista tukeva Mac toimii kertakirjautumisen kanssa. Tällaisia ovat monet macOS:n vakio-ohjelmat, kuten Safari, Mail, ja Kalenteri, sekä palvelut, kuten tiedostonjako, näytönjako ja suojattu yhteys (SSH). Myös monet muiden valmistajien apit, kuten Microsoft Outlook, tukevat Kerberosta.
Kertakirjautumisen määrittäminen
Kertakirjautuminen määritetään asetusprofiileilla, jotka voivat olla joko käsin asennettuja tai MDM:llä hallittuja. Kertakirjautumisdata mahdollistaa joustavan määrityksen. Kertakirjautuminen voi olla avoin kaikille apeille tai sitä voidaan rajoittaa apin tunnisteella, palvelun verkko-osoitteella tai molemmilla.
Verkko-osoitteille käytetään yksinkertaista vastaamismallia verrattaessa mallia pyydetyn osoitteen etuliitteeseen. Verkko-osoitteiden alussa tulee olla joko https:// tai http:// eivätkä ne vastaa poikkeavia porttinumeroita. Jos verkko-osoitteen vastaavuusmalli ei pääty kauttaviivaan (/), kauttaviiva lisätään siihen.
Esimerkiksi https://www.betterbag.com/ vastaa osoitetta https://www.betterbag.com/index.html mutta ei osoitetta http://www.betterbag.com tai https://www.betterbag.com:443/.
Yksittäistä jokerimerkkiä voidaan myös käyttää puuttuvien alidomainien määrittämiseen. Esimerkiksi https://*.betterbag.com/ vastaa osoitetta https://kauppa.betterbag.com/.
Mac-käyttäjät voivat katsella ja hallita Kerberos-lipputietoja /System/Library/CoreServices/-kansiossa olevalla Ticket Viewer ‑ohjelmalla. Jos haluat lisätietoja, klikkaa Lippu-valikkoa ja valitse Vianmääritystiedot. Jos asetusprofiili sallii sen, käyttäjät voivat pyytää, katsella ja tuhota Kerberos-lippuja seuraavilla komentorivityökaluilla: kinit, klist ja kdestroy.