Pengenalan kepada Daftar Diri Tunggal dengan peranti Apple
Organisasi biasanya menggunakan Daftar Diri Tunggal (SSO), yang direka bentuk untuk meningkatkan pengalaman daftar masuk pengguna ke app dan tapak web. Dengan SSO, proses pengesahan yang biasa digunakan untuk mengakses berbilang app atau sistem—tanpa pengguna menerapkan identiti mereka lagi. Berbanding menyimpan kelayakan pengguna (contohnya, kata laluan mereka) dan menggunakannya semula untuk setiap app atau sistem, SSO menggunakan token yang disediakan dengan pengesahan awal, memberikan pengguna rupa konsep kata laluan satu kali.
Sebagai contoh, SSO berlaku apabila anda mendaftar masuk ke penyedia identiti (IdP) anda dan kemudian mengakses app serta tapak web dalaman proprietari anda dengan lancar tanpa memasukkan kata laluan anda sekali lagi. Semua app dan sistem dikonfigurasi untuk mempercayai IdP bagi mengecam pengguna dan menyediakan keahlian kumpulan; bersama-sama ia membentuk domain keselamatan.
Pengesahan moden dengan SSO
Pengesahan moden merujuk kepada set protokol pengesahan berasaskan web yang digunakan oleh aplikasi awan. Contoh termasuk SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1, atau lebih baharu) dan Open ID Connect (OIDC). Protokol ini berfungsi dengan baik merentas internet dan menyulitkan sambungannya menggunakan HTTPS. SAML 2.0 kerap digunakan untuk menyekutu antara rangkaian organisasi dan aplikasi awan. Persekutuan digunakan apabila merentasi domain dipercayai—contohnya, apabila mengakses set aplikasi awan daripada domain anda pada domain premis.
Nota: Untuk memanfaatkan OAuth 2.0 untuk digunakan dengan Pendaftaran Pengguna, perkhidmatan pengurusan peranti perlu melaksanakan sokongan pihak pelayan untuk OAuth 2.0 dengan sebarang IdP yang mereka mahu sokong.
Daftar diri tunggal dengan protokol ini berbeza bergantung pada vendor dan persekitaran. Contohnya, apabila anda menggunakan Active Directory Federation Services (AD FS) pada rangkaian organisasi, AD FS bekerja dengan Kerberos untuk SSO dan apabila anda mengesahkan klien menerusi internet, AD FS boleh menggunakan kuki pelayar. Protokol pengesahan moden tidak merencanakan cara pengguna menerapkan identiti mereka. Banyak protokol ini digunakan dalam gabungan dengan pengesahan berbilang faktor seperti kod SMS semasa pengesahan daripada klien yang tidak diketahui. Sesetengah vendor memperuntukkan sijil pada peranti untuk mengenal pasti peranti diketahui bagi membantu proses pengesahan.
IdP boleh menyokong SSO dalam iOS, iPadOS, macOS dan visionOS menerusi penggunaan sambungan Daftar Diri Tunggal. Sambungan ini membenarkan IdP untuk melaksanakan protokol pengesahan moden untuk pengguna mereka.
Kerberos
Kerberos ialah protokol pengesahan popular yang digunakan dalam rangkaian besar untuk SSO. Ia juga ialah protokol lalai yang digunakan oleh Active Directory. Ia berfungsi merentas platform, menggunakan penyulitan dan melindungi daripada serangan main semula. Ia juga boleh menggunakan kata laluan, identiti sijil, kad pintar, peranti NFC, atau produk pengesahan perkakasan yang lain untuk mengesahkan pengguna. Pelayan yang melaksanakan Kerberos dikenali sebagai Pusat Pengedaran Kunci (KDC). Untuk mengesahkan pengguna, peranti Apple perlu menghubungi KDC melalui sambungan rangkaian.
Kerberos berfungsi dengan baik pada rangkaian dalaman atau peribadi organisasi kerana semua klien dan pelayan mempunyai ketersambungan terus ke KDC. Klien yang tidak berada pada rangkaian korporat perlu menggunakan rangkaian peribadi maya (VPN) untuk bersambung dan pengesahan. Kerberos tidak ideal untuk app berasaskan awan atau internet. Ia kerana aplikasi ini tidak mempunyai ketersambungan terus ke dalam rangkaian korporat. Untuk app berasaskan awan atau internet, pengesahan moden (diterangkan di bawah) lebih bersesuaian.
macOS mengutamakan Kerberos untuk semua aktiviti pengesahan apabila diintegrasikan ke dalam persekitaran Active Directory. Apabila pengguna log masuk ke Mac menggunakan akaun Active Directory, tiket memberi tiket (TGT) Kerberos diminta daripada pengawal domain Active Directory. Apabila pengguna cuba untuk menggunakan sebarang perkhidmatan atau app pada domain yang menyokong pengesahan Kerberos, TGT digunakan untuk meminta tiket untuk perkhidmatan tersebut tanpa memerlukan pengguna mengesahkan sekali lagi. Jika dasar disetkan kepada memerlukan kata laluan untuk menutup penyelamat skrin, macOS akan mencuba untuk memperbaharui TGT pada pengesahan yang berjaya.
Untuk pelayan diKerberoskan berfungsi dengan betul, rekod Sistem Nama Domain (DNS) ke hadapan dan ke belakang seharusnya tepat. Masa jam sistem juga penting kerana pencongan jam perlu kurang daripada 5 minit untuk sebarang pelayan dan klien. Langkah terbaik ialah mengesetkan tarikh dan masa secara automatik menggunakan perkhidmatan Protokol Masa Rangkaian (NTP), seperti time.apple.com.
App disokong
iOS, iPadOS dan visionOS menyediakan sokongan fleksibel untuk SSO ke sebarang app yang menggunakan kelas NSURLSession atau URLSession untuk mengurus sambungan dan pengesahan rangkaian. Apple memberikan semua pembangun dengan kelas ini untuk mengintegrasikan sambungan rangkaian dalam app mereka dengan lancar.
Sebarang app Mac yang menyokong pengesahan Kerberos berfungsi dengan SSO. Ini termasuk kebanyakan app terbina dalam macOS, seperti Safari, Mail dan Kalendar dan termasuk perkhidmatan seperti perkongsian fail, perkongsian skrin dan cangkerang selamat (SSH). Banyak app pihak ketiga juga menyokong Kerberos.
Konfigurasi Daftar Diri Tunggal
Untuk mengkonfigurasi SSO, anda menggunakan konfigurasi yang diperlukan menggunakan perkhidmatan pengurusan peranti. Konfigurasi perlu menyertakan maklumat tentang sambungan Daftar Diri Tunggal yang berkomunikasi dengan IdP, serta app dan URL web Safari yang dibenarkan untuk menggunakan SSO atau dihadkan daripada menggunakannya. Anda juga boleh menggunakan sambungan Daftar Diri Tunggal Kerberos yang disediakan oleh Apple yang disertakan dalam iOS, iPadOS, macOS dan visionOS.
Corak rentetan ringkas yang sepadan digunakan apabila membandingkan corak terhadap awalan URL yang diminta. Seperti, corak perlu bermula dengan sama ada https:// atau http:// dan tidak akan sepadan dengan nombor port berbeza. Jika corak sepadan URL tidak berakhir dengan garis condong (/), satu ditambah.
Sebagai contoh, https://www.betterbag.com/ sepadan dengan https://www.betterbag.com/index.html tetapi tidak akan sepadan dengan http://www.betterbag.com atau https://www.betterbag.com:443/.
Kad bebas tunggal mungkin juga digunakan untuk menentukan subdomain yang hilang. Sebagai contoh, https://*.betterbag.com/ sepadan dengan https://store.betterbag.com/.