Instellingen voor de MDM-payload 'Uitbreidbare SSO' voor Apple apparaten
Gebruik de payload 'Uitbreidbare SSO' om extensies voor multifactor-gebruikersauthenticatie te definiëren op iPhones, iPads en Macs die bij een MDM-oplossing zijn ingeschreven.
Deze extensie is bedoeld voor gebruik door identiteitsproviders om gebruikers moeiteloos te laten inloggen bij apps en websites. Als dit goed is geconfigureerd via MDM, hoeft de gebruiker maar eenmaal in te loggen. Daarna wordt automatisch ingelogd bij andere ingebouwde apps en websites. De volgende overige functies kunnen worden gebruikt met de payload 'Uitbreidbare SSO' wanneer ze door de ontwikkelaar worden geïmplementeerd:
iCloud-sleutelhanger
Multifactor-authenticatie
App-gebonden VPN
Gebruikersmeldingen
Naast de extensies voor eenmalige aanmelding voor andere ontwikkelaars hebben iOS 13, iPadOS 13.1 en macOS 10.15 een ingebouwde Kerberos-extensie die kan worden gebruikt om gebruikers in te loggen bij ingebouwde apps en websites die Kerberos-authenticatie ondersteunen.
De payload 'Uitbreidbare SSO' ondersteunt het volgende. Zie Payloadinformatie voor meer informatie.
Ondersteunde goedkeuringsmethode: Hiervoor is goedkeuring van de gebruiker vereist.
Ondersteunde installatiemethode: Moet met een MDM-oplossing worden geïnstalleerd.
ID ondersteunde payload: com.apple.extensiblesso
Ondersteunde besturingssystemen en kanalen: iOS, iPadOS, gebruiker van gedeelde iPad, macOS-apparaat, macOS-gebruiker, visionOS 1.1.
Ondersteunde inschrijvingstypen: gebruikersinschrijving, apparaatinschrijving, automatische apparaatinschrijving.
Duplicaten toegestaan: Waar: Er kan maar één payload 'Uitbreidbare SSO' worden aangeboden aan een gebruiker of apparaat.
De instellingen in de onderstaande tabel kunnen worden gebruikt met de payload 'Uitbreidbare SSO'.
Instelling | Beschrijving | Vereist | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Voorkeurs-KDC's | De geordende lijst met KDC's die bij voorkeur voor Kerberos-verkeer worden gebruikt. Deze sleutel moet worden gebruikt als de servers niet detecteerbaar zijn via DNS. Als er servers zijn opgegeven, worden ze voor verbindingscontroles gebruikt en als eerste geprobeerd voor Kerberos-verkeer. Als de servers niet reageren, wordt detectie via DNS gebruikt. Elk onderdeel heeft dezelfde notatie als in een krb5.conf-bestand. | Nee | |||||||||
Extensie-ID | De unieke bundel-ID van de app. | Ja | |||||||||
Team-ID | De unieke team-ID voor de app. | Ja | |||||||||
Aanmeldtype |
| Ja | |||||||||
Authenticatiemethode macOS 13 of nieuwer | De authenticatiemethode voor eenmalige platformaanmelding die de extensie gebruikt. Een vereiste is dat de SSO-extensie de methode ook ondersteunt.
| Nee | |||||||||
Registratietoken macOS 13 of nieuwer | Het token dat dit apparaat gebruikt voor registratie bij eenmalige platformaanmelding. Gebruik dit voor registratie op de achtergrond bij de identiteitsprovider. Vereist dat de authenticatiemethode niet leeg is. | Nee | |||||||||
Realm | De volledige Kerberos-realm waarin de gebruikersaccount zich bevindt. Deze sleutel wordt genegeerd voor payloads met de instelling 'Herleiden'. | Nee | |||||||||
Hosts | Goedgekeurde domeinen die kunnen worden geauthenticeerd met de appextensie. | Nee | |||||||||
URL's | Vereist voor payloads met de instelling 'Herleiden'. Genegeerd voor payloads met de instelling 'Legitimatie'. De URL's moeten beginnen met http:// of https://, bij het matchen van de schema- en hostnamen wordt geen onderscheid gemaakt tussen hoofdletters en kleine letters, verzoekparameters en URL-fragmenten zijn niet toegestaan en de URL's van alle geïnstalleerde 'Uitbreidbare SSO'-payloads moeten uniek zijn. | Nee | |||||||||
Opmerking: Elke MDM-leverancier implementeert deze instellingen op een andere manier. Als je wilt weten hoe de instellingen voor de payload 'Uitbreidbare SSO' op je apparaten en gebruikers worden toegepast, raadpleeg je de documentatie van je MDM-leverancier.