Apple डिवाइस के साथ सिंगल साइन-ऑन का परिचय
संगठन अक्सर सिंगल साइन-ऑन (SSO) का उपयोग करते हैं जिसे लोगों के ऐप्स और वेबसाइट में साइन इन करने के अनुभव को बेहतर बनाने के लिए डिज़ाइन किया गया है। SSO के साथ, एक सामान्य प्रमाणन प्रक्रिया का उपयोग एकाधिक ऐप्स या सिस्टम को ऐक्सेस करने के लिए—यूज़र द्वारा उसकी पहचान का दावा फिर से किए बिना किया जाता है। यूज़र के क्रेडेंशियल सहेजने (उदाहरण के लिए उनका पासवर्ड) और प्रत्येक ऐप या सिस्टम के लिए इसका फिर से इस्तेमाल करने के बजाए SSO आरंभिक प्रमाणन से प्राप्त टोकन का इस्तेमाल कर रहा है। यह यूज़र को वन-टाइम पासवर्ड के समान दिखाई देता है।
उदाहरण के लिए, SSO तब होता है जब आप अपने पहचान प्रदाता (IdP) में साइन इन करते हैं और फिर अपना पासवर्ड दोबारा दर्ज किए बिना अपने प्रोप्राइटरी इन-हाउस ऐप्स और वेबसाइट को आसानी से ऐक्सेस करते हैं। यूज़र की पहचान करने और समूह सदस्यता प्रदान करने के लिए IdP पर विश्वास करना है, तो सभी ऐप्स और सिस्टम को कॉन्फ़िगर किया जाता है; और इन सबके मिलने से सुरक्षा डोमेन निर्मित होता है।
SSO के साथ आधुनिक प्रमाणन
आधुनिक प्रमाणन से तात्पर्य है क्लाउड ऐप्लिकेशन द्वारा इस्तेमाल किए जाने वाले वेब-आधारित प्रमाणन प्रोटोकॉल का संग्रह। उदाहरणों में SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1के संस्करण) और ओपन ID कनेक्ट (OIDC) शामिल हैं। ये प्रोटोकॉल इंटरनेट पर अच्छे-से काम करते हैं और HTTPS की मदद से अपने कनेक्शन को एंक्रिप्ट करते हैं। संगठन के नेटवर्क और क्लाउड ऐप्लिकेशन के बीच फ़ेडरेट करने के लिए SAML 2.0 का इस्तेमाल अक्सर किया जाता है। विश्वास डोमेन को पार करते समय फ़ेडरेशन का उपयोग किया जाता है—उदाहरण के लिए, अपने ऑन-प्रेमिस डोमेन से क्लाउड ऐप्लिकेशन के सेट को ऐक्सेस करते समय।
नोट : यूज़र नामांकन के साथ इस्तेमाल के लिए OAuth 2.0 का लाभ उठाने के लिए डिवाइस प्रबंधन सेवा को किसी भी ऐसे IdP से OAuth 2.0 के लिए सर्वर साइड समर्थन लागू करना होगा जिसका वे समर्थन करना चाहते हैं।
वेंडर और इनवायरन्मेंट के आधार पर इन प्रोटोकॉल के साथ सिंगल साइन-ऑन अलग-अलग होते हैं। उदाहरण के लिए, जब आप संगठन के नेटवर्क पर Active Directory फ़ेडरेशन सेवा (AD FS) का उपयोग कर रहे होते हैं, AD FS, SSO के लिए Kerberos के साथ काम करता है और जब आप क्लाइंट को इंटरनेट के ज़रिए प्रमाणित कर रहे होते हैं, AD FS ब्राउज़र कुकीज़ का उपयोग कर सकता है। आधुनिक प्रमाणन प्रोटोकॉल यह निर्धारित नहीं करते कि यूज़र अपनी पहचान का दावा कैसे करता है। अज्ञात क्लाइंट से प्रमाणित करते समय इनमें से कई प्रोटोकॉल का उपयोग SMS कोड जैसे मल्टी-फ़ैक्टर प्रमाणन के संयोजन में किया जाता है। प्रमाणन प्रक्रिया में सहायता करने के लिए ज्ञात डिवाइस की पहचान करने हेतु कुछ विक्रेता डिवाइस पर सर्टिफ़िकेट का प्रावधान करते हैं।
IdP सिंगल साइन-ऑन एक्सटेंशन के इस्तेमाल के ज़रिए iOS, iPadOS, macOS और visionOS में SSO का समर्थन कर सकते हैं। ये एक्सटेंशन IdP को उनके यूज़र के लिए आधुनिक प्रमाणन प्रोटोकॉल को कार्यान्वित करने की अनुमति देते हैं।
Kerberos
Kerberos एक लोकप्रिय प्रमाणन प्रोटोकॉल है जिसका उपयोग SSO के लिए बड़े नेटवर्क में होता है। यह Active Directory द्वारा इस्तेमाल किया जाने वाला डिफ़ॉल्ट प्रोटोकॉल भी है। यह सभी प्लैटफ़ॉर्म पर काम करता है, एंक्रिप्शन का उपयोग करता है और पुनरावृत्ति आक्रमण के विरुद्ध रक्षा करता है। यूज़र को प्रमाणित करने के लिए यह पासवर्ड, सर्टिफ़िकेट पहचान, स्मार्ट कार्ड, NFC डिवाइस या अन्य हार्डवेयर प्रमाणन उत्पादों का उपयोग कर सकता है। Kerberos को निष्पादित करने वाले सर्वर को मुख्य डिस्ट्रीब्यूशन केंद्र (KDC) कहते हैं। यूज़र को प्रमाणित करने के लिए, Apple डिवाइस द्वारा नेटवर्क कनेक्शन पर KDC से संपर्क किया जाना आवश्यक है।
Kerberos संगठन के आंतरिक या निजी नेटवर्क पर अच्छे-से काम करता है क्योंकि सभी क्लाइंट और सर्वर को KDC से सीधी कनेक्टिविटी की आवश्यक है। जो क्लाइंट कॉर्पोरेट नेटवर्क पर नहीं हैं, उन्हें कनेक्ट और प्रमाणित करने के लिए वर्चुअल प्राइवेट नेटवर्क (VPN) का उपयोग करना आवश्यक है। Kerberos क्लाउड या इंटरनेट आधारित ऐप्स के लिए आदर्श नहीं है। ऐसा इसलिए क्योंकि इन ऐप्लिकेशन के पास कॉर्पोरेट नेटवर्क की सीधी कनेक्टिविटी नहीं है। क्लाउड या इंटरनेट आधारित ऐप्स के लिए, आधुनिक प्रमाणन (नीचे वर्णित) अधिक उपयुक्त हैं।
Active Directory इन्वायरन्मेंट में एकीकृत किया जाने पर macOS सभी प्रमाणन ऐक्टिविटी के लिए Kerberos को प्राथमिकता देता है। जब यूज़र Active Directory खाते का उपयोग करके Mac में लॉगइन करता है, तो Active Directory डोमेन कंट्रोलर से Kerberos टिकट ग्रांटिंग टिकट (TGT) के लिए अनुरोध किया जाता है। जब यूज़र Kerberos प्रमाणन का समर्थन करने वाले डोमेन पर किसी भी सेवा या ऐप का उपयोग करने की कोशिश करता है, तो यूज़र को उस सेवा को फिर से प्रमाणित करने की आवश्यकता नहीं पड़ती और उस सेवा का अनुरोध करने के लिए TGT टिकट उपयोग किया जाता है। यदि स्क्रीन सेवर को ठुकराने के लिए किसी पासवर्ड की आवश्यकता वाली कोई पॉलिसी सेट हो, तो macOS सफल प्रमाणन होने पर TGT नवीनीकृत करने की कोशिश करता है।
Kerberized सर्वर के सही तरीक़े से काम करने के लिए, फ़ॉरवर्ड और रिवर्स डोमेन नेम सिस्टम (DNS) दोनों रिकॉर्ड सटीक होने चाहिए। सिस्टम क्लॉक समय भी अहम होता है, क्योंकि क्लॉक स्क्यू का किसी भी सर्वर और क्लाइंट के लिए 5 मिनट से कम होना आवश्यक है। सबसे अच्छा तरीक़ा होता है नेटवर्क समय प्रोटोकॉल (NTP) सेवा, जैसे कि time.apple.com का उपयोग करके तिथि और समय को ऑटोमैटिकली सेट करना।
समर्थित ऐप्स
iOS, iPadOS और visionOS किसी भी ऐप को SSO के लिए फ़्लेक्सिबल समर्थन प्रदान करते हैं जो नेटवर्क कनेक्शन और प्रमाणीकरण को प्रबंधित करने के लिए NSURLSession या URLSession क्लास का उपयोग करता है। Apple सभी डेवलपरों को उनके ऐप्स के भीतर नेटवर्क कनेक्शनों को सुगम रूप से इंटिग्रेट करने के लिए ये क्लास प्रदान करता है।
कोई भी Mac ऐप जो Kerberos प्रमाणन को समर्थन करता है, वह SSO के साथ काम करता है। इसमें शामिल होते हैं कई ऐप्स जो macOS के लिए बने होते हैं, जैसे Safari, मेल और कैलेंडर और फ़ाइल शेयरिंग, स्क्रीन शेयरिंग तथा सिक्योर शेल (SSH) जैसी सेवाएँ भी शामिल होती हैं। कई तृतीय-पक्ष ऐप्स भी Kerberos का समर्थन करते हैं।
सिंगल साइन-ऑन कॉन्फ़िगर करें
SSO कॉन्फ़िगर करने के लिए, आप डिवाइस प्रबंधन सेवा का इस्तेमाल करके आवश्यक कॉन्फ़िगरेशन लागू करते हैं। कॉन्फ़िगरेशन में IdP से संचार करने वाले सिंगल साइन-ऑन एक्सटेंशन की जानकारी शामिल करनी होगी। साथ ही, यह भी शामिल करना होगा कि किन ऐप्स और Safari वेब URL को SSO का उपयोग करने की अनुमति दी गई है या इसका उपयोग करने से प्रतिबंधित किया गया है। आप iOS, iPadOS, macOS और visionOS में शामिल Apple द्वारा प्रदान किए गए Kerberos सिंगल साइन-ऑन एक्सटेंशन का भी इस्तेमाल कर सकते हैं।
किसी अनुरोध किए URL के प्रेफ़िक्स के पैटर्न की तुलना में सरल स्ट्रिंग पैटर्न मैचिंग का उपयोग किया जाता है। जैसे कि, पैटर्न या तो https:// या फिर http:// से आरंभ होने आवश्यक हैं और ये भिन्न पोर्ट नंबर से मेल नहीं खाएँगे। यदि कोई URL मैचिंग पैटर्न स्लैश (/) से समाप्त नहीं होता है, तो स्लैश को संलग्न किया जाता है।
उदाहरण के लिए, https://www.betterbag.com/ https://www.betterbag.com/index.html से मेल खाता है लेकिन http://www.betterbag.com या https://https://www.betterbag.com:443/ से मेल नहीं खाएगा।
गुम सबडोमेन को निर्दिष्ट करने के लिए सिंगल वाइल्डकार्ड का भी उपयोग किया जा सकता है। उदाहरण के लिए, https://*.betterbag.com/ का मिलान https://store.betterbag.com/ से होता है।