Keamanan masuk tunggal
Masuk tunggal
iOS dan iPadOS mendukung pengesahan ke jaringan perusahaan melalui Masuk tunggal (SSO). SSO dapat digunakan dengan jaringan berbasis Kerberos untuk mengesahkan pengguna atas layanan yang berhak mereka akses. SSO dapat digunakan untuk berbagai aktivitas jaringan, dari sesi Safari aman hingga app pihak ketiga. Pengesahan berbasis sertifikat seperti PKINIT juga didukung.
macOS mendukung pengesahan ke jaringan perusahaan menggunakan Kerberos. App dapat menggunakan Kerberos untuk mengesahkan pengguna ke layanan yang disahkan untuk diakses. Kerberos juga dapat digunakan untuk berbagai aktivitas jaringan, dari sesi Safari aman dan pengesahan sistem file jaringan hingga app pihak ketiga. Pengesahan berbasis sertifikat didukung, meskipun memerlukan adopsi app dari API pengembang.
SSO iOS, iPadOS, serta macOS menggunakan token SPNEGO dan protokol Negosiasi HTTP untuk bekerja dengan gateway pengesahan berbasis Kerberos dan sistem Pengesahan Terpadu Windows yang mendukung tiket Kerberos. Dukungan SSO didasarkan pada proyek Heimdal sumber terbuka.
Jenis enkripsi berikut didukung di iOS, iPadOS, dan macOS:
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
DES3-CBC-SHA1
ARCFOUR-HMAC-MD5
Safari mendukung SSO, dan app pihak ketiga yang menggunakan API jaringan iOS serta iPadOS standar yang juga dapat dikonfigurasi untuk menggunakannya. Untuk mengonfigurasi SSO, iOS dan iPadOS mendukung muatan profil konfigurasi yang memungkinkan solusi mobile device management (MDM) untuk menonaktifkan pengaturan yang diperlukan. Ini meliputi pengaturan nama pokok pengguna (yaitu, akun pengguna Active Directory) dan pengaturan realm Kerberos, serta konfigurasi mengenai app dan URL web Safari mana yang harus diizinkan untuk menggunakan SSO.
Untuk mengonfigurasi Kerberos di macOS, dapatkan tiket dengan Penampil Tiket, masuk ke domain Active Directory Windows, atau gunakan alat baris perintah kinit
.
Masuk tunggal yang dapat diperluas
Pengembang app dapat menyediakan penerapan masuk tunggalnya sendiri menggunakan ekstensi SSO. Ekstensi SSO diaktifkan saat app asli atau web perlu menggunakan beberapa penyedia identitas untuk pengesahan pengguna. Pengembang dapat menyediakan dua jenis ekstensi: jenis yang mengalihkan ke HTTPS dan jenis yang menggunakan mekanisme tantangan/respons seperti Kerberos. Hal ini memungkinkan skema pengesahan OpenID, OAuth, SAML2, dan Kerberos didukung oleh Masuk tunggal Yang Dapat Diperluas.
Untuk menggunakan ekstensi Masuk tunggal, app dapat menggunakan API AuthenticationServices atau dapat mengandalkan mekanisme intersepsi URL yang ditawarkan oleh sistem operasi. WebKit dan CFNetwork menyediakan lapisan intersepsi yang memungkinkan dukungan tanpa hambatan dari Masuk tunggal untuk app asli atau WebKit. Agar ekstensi Masuk tunggal diaktifkan, konfigurasi yang disediakan oleh administrator harus diinstal melalui profil mobile device management (MDM). Selain itu, ekstensi jenis pengalih harus menggunakan muatan Domain Terkait untuk membuktikan bahwa server identitas yang didukung mengetahui keberadaannya.
Satu-satunya ekstensi yang disediakan dengan sistem operasi adalah ekstensi SSO Kerberos.