Kerberos Single Sign On-utvidelse med Apple-enheter
Kerberos Single Sign-on-utvidelsen (Kerberos SSO) forenkler prosessen med å hente en Kerberos-tilgangsbillett (TGT) fra organisasjonens lokale Active Directory-domene eller et domene fra en annen identitetsleverandør, slik at brukerne sømløst kan autentisere til ressurser som nettsteder, apper og filtjenere.
Krav for bruk av Kerberos SSO-utvidelsen
For å kunne bruke Kerberos SSO-utvidelsen må du ha:
Enheter administrert med en MDM-løsning som har støtte for konfigurasjonsprofilnyttelasten for Extensible Single Sign On (SSO).
Tilgang til nettverket der det lokale Active Directory-domenet er basert. Denne nettverkstilgangen kan være gjennom Wi-Fi, Ethernet eller VPN.
Et Active Directory-domene som bruker Windows Server 2008 eller nyere. Kerberos SSO-utvidelsen er ikke ment for bruk med Microsoft Entra ID, som krever et tradisjonelt, lokalt Active Directory-domene.
Utvidelsen i iOS, iPadOS og visionOS 1.1
I iOS, iPadOS og visionOS 1.1 aktiveres Kerberos SSO-utvidelsen kun etter at HTTP 401 Negotiate-forespørselen er mottatt. For å spare strøm ber ikke utvidelsen om Active Directory-nettstedskoder eller fornyer en Kerberos TGT før det får en forespørsel om det.
Kerberos SSO-utvidelsen har følgende funksjoner for iOS, iPadOS og visionOS 1.1:
Autentiseringsmetoder: Legger til støtte for flere forskjellige autentiseringsmetoder, inkludert passord og sertifikatidentiteter (PKINIT). Sertifikatidentiteten kan være et CryptoTokenKit-smartkort, en identitet oppgitt av MDM-løsningen eller den lokale nøkkelringen. Utvidelsen støtter også endring av Active Directory-passordet når dialogruten for autentisering vises, eller når den bruker en URL til et separat nettsted.
Passordet utløper: Ber om utløpsinformasjon for passord fra domenet umiddelbart etter autentisering, etter endring av passord og med jevne mellomrom i løpet av dagen. Denne informasjonen brukes til å varsle om utløpsdatoer for passord og be om nye akkreditiver hvis brukeren har endret passord på en annen enhet.
VPN-støtte: Støtter mange forskjellige nettverkskonfigurasjoner, inkludert flere VPN-teknologier som App-VPN. Hvis App-VPN blir benyttet, bruker Kerberos SSO-utvidelsen App-VPN kun når den forespurte appen eller det forespurte nettstedet er konfigurert for å bruke det.
Domenetilgjengelighet: Send et LDAP ping med en forespørsel til domenet, og bufre deretter koder for Active Directory-nettsteder for den gjeldende nettverkstilkoblingen til domenet. Den deler nettstedskoden med Kerberos-forespørsler for andre prosesser, og gjør dette for å spare batteristrøm. Du finner mer informasjon i Microsofts dokumentasjon om 6.3.3 LDAP Ping.
Negotiation Challenge: Håndterer HTTP 401 Negotiate-utfordringer for nettsteder, NSURLSession-forespørsler og NSURLSession-oppgaver som kjøres i bakgrunnen.
Utvidelsen i macOS
I macOS henter Kerberos SSO-utvidelsen proaktivt en Kerberos TGT når nettverksstatusen endres, for å sikre at brukeren er klar til å utføre Kerberos-autentisering ved behov. Kerberos SSO-utvidelsen hjelper også brukerne med å administrere Active Directory-kontoene sine. Det gjør det også mulig for brukerne å endre Active Directory-passord, og det varsler dem når et passord er i ferd med å utløpe. Brukerne kan også endre passordet til den lokale kontoen sin for å samsvare med Active Directory-passordet.
Kerberos SSO-utvidelsen bør brukes med et lokalt Active Directory-domene. Enheter trenger ikke å bli lagt til i et Active Directory-domene for å kunne bruke Kerberos SSO-utvidelsen. I tillegg trenger ikke brukerne å logge på Macene med Active Directory-kontoer eller mobile kontoer. Apple anbefaler å bruke lokale kontoer i stedet.
Brukere må autentisere til Kerberos SSO-utvidelsen. De kan starte denne prosessen på en av flere måter:
Hvis Macen er koblet til nettverket hvor Active Directory-domenet er tilgjengelig, bes brukeren om å autentisere umiddelbart etter at konfigureringsprofilen for den utvidbare engangspåloggingen er installert.
Hvis profilen allerede er installert, blir brukeren bedt om å autentisere umiddelbart når Macen er koblet til et nettverk hvor Active Directory-domenet er tilgjengelig.
Hvis Safari eller andre apper brukes til å gå tilgang til en nettside som godtar eller krever Kerberos-autentisering, bes brukeren om å autentisere.
Brukeren kan velge menytillegget for Kerberos SSO-utvidelsen og deretter klikke på Logg på.
Kerberos SSO-utvidelsen har følgende funksjoner for macOS:
Autentiseringsmetoder: Utvidelsen støtter for flere forskjellige autentiseringsmetoder, inkludert passord og sertifikatidentiteter (PKINIT). Sertifikatidentiteten kan være et CryptoTokenKit-smartkort, en identitet oppgitt av MDM-løsningen eller den lokale nøkkelringen. Utvidelsen støtter også endring av Active Directory-passordet når dialogruten for autentisering vises, eller når den bruker en URL til et separat nettsted.
Passordet utløper: Utvidelsen ber om utløpsinformasjon for passord fra domenet umiddelbart etter autentisering, etter endring av passord og med jevne mellomrom i løpet av dagen. Denne informasjonen brukes til å varsle om utløpsdatoer for passord og be om nye akkreditiver hvis brukeren har endret passord på en annen enhet.
VPN-støtte: Utvidelsen støtter mange ulike nettverkskonfigurasjoner, inkludert VPN-tjenester som App-VPN. Hvis VPN-en er en VPN for nettverksutvidelse, utløser den automatisk en tilkobling ved autentisering eller endring av passord. Men hvis tilkoblingen er en App-VPN, vil menyutvidelsen i Kerberos SSO-utvidelsen alltid vise det nettverket som tilgjengelig. Det er fordi den bruker en LDAP-ping til å avgjøre tilgjengelighet for bedriftsnettverket. Når en App-VPN kobles fra, kobler LDAP-pingen det til igjen, noe som resulterer i det som synes å være en kontinuerlig App–VPN-tilkobling. Faktisk har Kerberos SSO-utvidelsen blitt utløst for Kerberos-trafikk ved behov.
Legg til følgende oppføringer i App to App Layer VPN Mapping for å bruke Kerberos SSO-utvidelsen med App-VPN:
com.apple.KerberosExtension using designated requirement identifier com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent using designated requirement identifier com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra using designated requirement: identifier com.apple.KerberosMenuExtra and anchor apple
Domenetilgjengelighet: Utvidelsen bruker en LDAP ping med en forespørsel til domenet, og bufre deretter koder for AD-nettsteder for den gjeldende nettverkstilkoblingen til domenet. Den gjør dette for å spare batteristrøm. Den deler også nettstedskoden med Kerberos-forespørsler for andre prosesser. Du finner mer informasjon i Microsofts dokumentasjon om 6.3.3 LDAP Ping.
Oppdatering av Kerberos TGT: Utvidelsen forsøker å holde Kerberos TGT oppdatert. Det gjør den ved å overvåke nettverkstilkoblinger og endringer i Kerberos-bufferen. Når bedriftsnettverket ditt er tilgjengelig og det er behov for en ny tilgangsbillett, sender tillegget proaktivt en forespørsel om ny billett. Hvis brukeren velger å logge på automatisk, ber utvidelsen om ny tilgangsbillett fram til brukerens passord utløper. Hvis brukeren ikke velger å logge på automatisk, blir vedkommende bedt om akkreditiver når Kerberos-akkreditivene utløper – vanligvis etter 10 timer.
Passordsynkronisering: Utvidelsen synkroniserer passordet til den lokale kontoen med Active Directory-passordet. Etter den første synkroniseringen overvåker tillegget datoer for passordendringer for lokale kontoer og Active Directory-kontoer for å kontrollere at kontopassordene fremdeles er synkronisert. Den bruker datoene i stedet for å forsøke å logge på. Dette er for å forhindre at den lokale kontoen eller AD-kontoen blir låst på grunn av for mange mislykkede påloggingsforsøk.
Utfør prosedyrer: Utvidelsen poster varslinger når ulike hendelser skjer. Disse varslingene kan utløse utføring av prosedyrer som støtter funksjonstillegget. Varslinger sendes i stedet for direkte utføring av prosedyrer fordi Kerberos-utvidelsesprossessen er i sandkassemodus, og sandkassen ville forhindret prosedyrene fra å utføres. Det finnes også et kommandolinjeverktøy,
app-sso, som tillater at prosedyrer leser tilstand for utvidelsen og ber om vanlige handlinger som pålogging.Menytillegg: Utvidelsen inkluderer en tilleggsmeny for at brukeren skal kunne logge på, koble seg til igjen, endre passordet, logge av og vise tilkoblingsstatusen. Valget om å koble til på nytt henter alltid en ny TGT og oppdaterer informasjon om utløpsdato for passord fra domenet.
Kontobruk
Kerberos SSO-utvidelsen krever ikke at Macen er bundet til Active Directory eller at brukeren er logget på Macen med en mobil konto. Apple foreslår at du bruker Kerberos SSO-utvidelsen med en lokal konto. Kerberos SSO-utvidelsen er laget for å forbedre Active Directory-integreringen fra en lokal konto. Hvis du imidlertid velger å fortsette å bruke mobile kontoer, kan du fremdeles bruke Kerberos SSO-utvidelsen. Ved bruk av mobile kontoer:
Passordsynkronisering fungerer ikke. Hvis du bruker Kerberos SSO-utvidelsen til å endre Active Directory-passordet, og du er logget på Macen med samme brukerkonto som du bruker med Kerberos SSO-utvidelsen, fungerer passordendringer som de gjør i Brukere og grupper-valgpanelet. Men hvis du velger å utføre en ekstern passordendring – noe som betyr at du endret passordet på et nettsted eller at helpdesken tilbakestiller det – kan ikke Kerberos SSO-utvidelsen sette passordet til den mobile kontoen tilbake i synk med Active Directory-passordet ditt.
Bruk av en passordendrings-URL med Kerberos-utvidelsen støttes ikke.