Estensione per il Single Sign-On di Kerberos con i dispositivi Apple
L’estensione per il Single Sign-On (SSO) tramite Kerberos semplifica il processo di acquisizione del ticket di concessione Kerberos utilizzato per ottenere un ticket dall’Active Directory on-premise della tua organizzazione o da altri domini che forniscono identità, consentendo agli utenti di effettuare l’autenticazione a risorse come siti web, app e server di file in modo automatico.
Requisiti per utilizzare l’estensione per il Single Sign-On tramite Kerberos
Per utilizzare l’estensione per il Single Sing-On tramite Kerberos occorre:
Disporre di dispositivi gestiti con una soluzione MDM che supporti il payload per il profilo di configurazione Extensible Single Sign-on.
Poter accedere alla rete in cui il dominio Active Directory on-premise è ospitato. Tale accesso alla rete può avvenire tramite Wi-Fi, Ethernet o VPN.
Avere a disposizione un dominio Active Directory con Windows Server 2008 o versioni successive. L’estensione SSO Kerberos non è pensata per l’utilizzo con Microsoft Entra ID, che richiede un dominio Active Directory on-premise di tipo tradizionale.
Estensione in iOS, iPadOS e visionOS 1.1
Su iOS, iPadOS e visionOS 1.1, l’estensione SSO Kerberos viene attivata solo dopo aver ricevuto una sfida HTTP 401 Negotiate. Per risparmiare batteria, questa estensione non richiede codici dei siti di Active Directory e non aggiorna nemmeno i ticket di connessione Kerberos finché non viene attivata.
Le funzionalità dell’estensione Kerberos SSO per iOS, iPadOS e visionOS 1.1 includono quanto segue:
Metodi di autenticazione: aggiunge il supporto per più metodi di autenticazione diversi, tra cui password e identità del certificato (PKINIT). L’identità del certificato può trovarsi su una smart card CryptoTokenKit, un’identità fornita da MDM o sul portachiavi locale. L’estensione supporta anche la modifica della password di Active Directory quando la finestra di dialogo di autenticazione sta mostrando o utilizzando un URL di un sito web separato.
Scadenza password: richiede informazioni sulla scadenza della password dal dominio immediatamente dopo l’autenticazione, dopo le modifiche della password e periodicamente durante il giorno. Queste informazioni vengono utilizzate per fornire notifiche di scadenza della password e richiedere nuove credenziali se l’utente ha cambiato la sua password su un altro dispositivo.
Supporto VPN: supporta molte configurazioni di rete diverse, comprese varie tecnologie VPN, come “VPN per app”. Se si utilizza “VPN per app”, l’estensione Kerberos SSO utilizza “VPN per app” solo quando l’app o il sito web richiedente è configurato per il suo utilizzo.
Raggiungibilità del dominio: usa un ping LDAP al dominio per richiedere e poi memorizzare nella cache i codici sito di Active Directory per la connessione di rete attuale al dominio. Condivide il codice del sito con le richieste Kerberos per altri processi e lo fa per preservare la durata della batteria. Per maggiori informazioni, consulta la documentazione Microsoft 6.3.3 LDAP Ping.
Sfide di negoziazione: Gestisce le sfide HTTP 401 Negotiate per i siti web, le richieste NSURLSession e le attività NSURLSession in background.
Estensione in macOS
In macOS, l’estensione per il Single Sign-On tramite Kerberos acquisisce attivamente un TGT Kerberos non appena lo stato della rete cambia, in modo tale da garantire che l’utente sia pronto all’autenticazione quando necessario. L’estensione Single Sign-On di Kerberos aiuta anche gli utenti a gestire i propri account di Active Directory. Inoltre, consente agli utenti di modificare le password di Active Directory e invia loro una notifica quando una password è prossima alla scadenza. Gli utenti possono inoltre modificare le password dell’account locale in modo che corrispondano a quelle di Active Directory.
L’estensione Single Sign-On di Kerberos dovrebbe essere utilizzata con un dominio Active Directory gestito sul posto. I dispositivi non devono essere uniti a un dominio Active Directory per usare l’estensione Kerberos SSO. Inoltre, gli utenti non sono tenuti ad eseguire il login ai propri Mac tramite account Active Directory o mobile; Apple consiglia di utilizzare account locali.
Gli utenti devono autenticare l’estensione per il Single Sign-On tramite Kerberos. Tale processo può essere avviato in uno dei seguenti modi:
Se il Mac è collegato alla reta in cui il dominio Active Directory è disponibile, all’utente viene richiesto di autenticarsi subito dopo l’installazione del profilo di configurazione Extensible SSO.
Se il profilo è già installato, ogni volta che il Mac è collegato a una rete in cui il dominio Active Directory è disponibile, all’utente viene richiesto immediatamente di autenticarsi.
Se per accedere a un sito web che accetta o richiede l’autenticazione Kerberos vengono utilizzati Safari o qualsiasi altra app, all’utente viene richiesto di autenticarsi.
L’utente può selezionare il menu extra per l’estensione per il Single Sign-On tramite Kerberos, quindi fare clic su Accedi.
Le funzionalità dell’estensione Kerberos SSO per macOS includono quanto segue:
Metodi di autenticazione: l’estensione supporta più metodi di autenticazione diversi, tra cui password e identità del certificato (PKINIT). L’identità del certificato può trovarsi su una smart card CryptoTokenKit, un’identità fornita da MDM o sul portachiavi locale. L’estensione supporta anche la modifica della password di AD quando la finestra di dialogo di autenticazione sta mostrando o utilizzando un URL di un sito web separato.
Scadenza password: l’estensione richiede informazioni sulla scadenza della password dal dominio immediatamente dopo l’autenticazione, dopo le modifiche della password e periodicamente durante il giorno. Queste informazioni vengono utilizzate per fornire notifiche di scadenza della password e richiedere nuove credenziali se l’utente ha cambiato la sua password su un altro dispositivo.
Supporto VPN: l’estensione supporta molte configurazioni di rete diverse, tra cui servizi VPN, come “VPN per app”. Se la VPN è una Network Extension VPN, attiva automaticamente una connessione quando si autentica o si modifica la password. Al contrario, se la connessione è VPN per app, il menu per l’estensione per il Single Sign-On tramite Kerberos aggiuntivo mostra sempre che la rete è disponibile, perché usa un Ping LDAP per determinare la disponibilità della rete aziendale. Quando “VPN per app” viene disconnessa, LDAP Ping ricollega di nuovo la VPN, che dà come risultato una connessione VPN per app continua. Al momento, l’estensione per il Single Sign-On tramite Kerberos è stata attivata per il traffico Kerberos su richiesta.
Aggiungi le seguenti voci alla mappatura VPN App to App Layer per utilizzare l’estensione per il Single Sign-On tramite Kerberos con VPN per app:
com.apple.KerberosExtension utilizzando l’identificativo designato com.apple.KerberosExtension e anchor apple
com.apple.AppSSOAgent utilizzando l’identificativo designato com.apple.AppSSOAgent e anchor apple
com.apple.KerberosMenuExtra utilizzando il requisito designato: identificativo com.apple.KerberosMenuExtra e anchor apple
Raggiungibilità del dominio: l’estensione usa un ping LDAP al dominio per richiedere e poi memorizzare nella cache i codici sito di AD per la connessione di rete attuale al dominio. Svolge questa operazione per aumentare la durata della batteria. Condivide anche il codice del sito con le richieste Kerberos per altri processi. Per maggiori informazioni, consulta la documentazione Microsoft 6.3.3 LDAP Ping.
Aggiornamento del TGT Kerberos: l’estensione cerca di mantenere sempre aggiornato il TGT Kerberos. Lo fa monitorando le connessioni di rete e le modifiche della cache Kerberos. Quando la rete aziendale è disponibile ed è necessario un nuovo ticket, ne richiede attivamente uno nuovo. Se l’utente sceglie di accedere automaticamente, l’estensione richiede senza soluzione di continuità un nuovo ticket fino alla scadenza della password dell’utente. Se l’utente non sceglie di effettuare l’accesso automaticamente, gli vengono richieste le credenziali quando le sue credenziali Kerberos scadono (di solito, trascorse 10 ore).
Sincronizzazione password: le estensioni sincronizzano le password dell’account locale con la password di Active Directory. Dopo la sincronizzazione iniziale, controlla le date di modifica delle password degli account locali e di Active Directory per determinare se le password degli account sono ancora sincronizzate. Utilizza le date invece di tentare un login per evitare di bloccare l’account locale o AD a causa di troppi tentativi falliti.
Eseguire gli script: l’estensione invia notifiche quando si verificano vari eventi. Queste notifiche possono attivare l’esecuzione di script per supportare l’estensione della funzionalità. Le notifiche vengono inviate invece di eseguire direttamente gli script perché i processi dell’estensione Kerberos sono sandboxed e il sandboxing aiuta a prevenire l’esecuzione degli script. Esiste anche uno strumento a riga di comando,
app-sso, che permette agli script di leggere lo stato dell’estensione e richiedere azioni comuni come l’accesso.Extra del menu: l’estensione include extra nel menu per permettere all’utente di accedere, riconnettersi, modificare la password, effettuare il logout e visualizzare lo stato della connessione. L’opzione ricollega recupera sempre un nuovo TGT e aggiorna le informazioni di scadenza della password dal dominio.
Uso dell’account
L’estensione per il Single Sign-On tramite Kerberos non richiede che il Mac sia associato a Active Directory o che l’utente abbia effettuato il login sul Mac con un account mobile. Apple consiglia di utilizzare l’estensione per il Single Sing-On tramite Kerberos con un account locale. L’estensione per il Single Sign-On tramite Kerberos è stata specificamente creata per migliorare l’integrazione Active Directory da un account locale. Tuttavia, se scegli di continuare a utilizzare account mobili, puoi comunque usare l’estensione per il Single Sign-On tramite Kerberos. Se viene utilizzata con account mobili:
La sincronizzazione della password non funzionerà. Se utilizzi l’estensione per il Single Sign-On tramite Kerberos per modificare la tua password Active Directory e hai effettuato l’accesso al Mac con lo stesso account utente che utilizzi con l’estensione Single Sign-On di Kerberos, la funzione della password cambia come farebbe nel pannello delle preferenze Utenti e Gruppi. Tuttavia, se modifichi la password esternamente, ossia modifichi la password su un sito web, oppure se il tuo help desk la reimposta, l’estensione per il Single Sign-On tramite Kerberos non può recuperare la sincronizzazione della password del tuo account mobile con la password Active Directory.
L’utilizzo di un URL di modifica della password con l’estensione Kerberos non è supportato.