Single Sign On-sikkerhet
Single Sign On
iOS og iPadOS støtter autentisering for bedriftsnettverk gjennom Single Sign On (SSO). SSO arbeider sammen med Kerberos-baserte nettverk for å autentisere brukere for tjenester som de er autorisert for å få tilgang til. SSO kan brukes for en rekke nettverksaktiviteter, fra sikre Safari-økter til tredjepartsapper. Sertifikatbasert autentisering, som PKINIT, støttes også.
macOS støtter autentisering for bedriftsnettverk ved hjelp av Kerberos. Apper kan bruke Kerberos for å autentisere brukere for tjenester som de er autorisert for å få tilgang til. Kerberos kan brukes for en rekke nettverksaktiviteter, fra sikre Safari-økter og autentisering for filsystemer på nettverket til tredjepartsapper. Sertifikatbasert autentisering støttes, men krever apptilpasning av en utvikler-API.
SSO i iOS, iPadOS og macOS bruker SPNEGO-kjennetegn og HTTP Negotiate-protokollen for å samarbeide med Kerberos-baserte autentiseringsportaler og Windows Integrated Authentication-systemer som støtter Kerberos-billetter. SSO-støtte er basert på åpen kildekode-prosjektet Heimdal.
Følgende krypteringstyper støttes i iOS, iPadOS og macOS:
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
DES3-CBC-SHA1
ARCFOUR-HMAC-MD5
Safari har støtte for SSO, og tredjepartsapper som bruker standard nettverks-API-er i iOS og iPadOS, kan også konfigureres til å bruke det. For å konfigurere SSO har iOS og iPadOS støtte for en konfigurasjonsprofilnyttelast der MDM-løsninger kan overføre de nødvendige innstillingene via pushfunksjonalitet. Det inkluderer angivelse av hovednavnet (altså Active Directory-brukerkontoen) og innstillinger på Kerberos-nivå, samt konfigurering av hvilke apper eller Safari-nettadresser som skal kunne bruke SSO.
Extensible Single Sign On
App-utviklere kan tilby sin egen implementering av Single Sign On ved hjelp av SSO-utvidelser. SSO-utvidelser aktiveres når en installert eller nettbasert app skal bruke en ID-leverandør for å godkjenne brukeren. Utviklere kan tilby to typer utvidelser: de som omdirigerer til HTTPS og de som bruker en spørsmål/svar-mekanisme som Kerberos. Det gjør at autentiseringstypene OpenID, OAuth, SAML2 og Kerberos kan støttes av Extensible Single Sign On. SSO-utvidelser kan også støtte macOS-autentisering ved å bruke en installert SSO-protokoll som gjør det mulig å hente SSO-kjennetegn under macOS-pålogging.
For å bruke en Single Sign On-utvidelse kan en app enten bruke AuthenticationServices-APIen eller stole på operativsystemets mekanisme for å fange opp URL-en. WebKit og CFNetwork har et innhentingslag som tillater sømløs støtte for Single Sign On for alle installerte apper og WebKit-apper. For at en Single Sign On-utvidelse skal aktiveres, må det installeres en konfigurasjon fra en administrator ved hjelp av en MDM-profil. I tillegg må utvidelser av redirect-typen bruke Associated Domains-nyttelasten til å bevise at identitetstjeneren de støtter, er klar over at de finnes.
Den eneste utvidelsen som leveres med operativsystemet, er Kerberos SSO-utvidelsen.