Extensão de Início de Sessão Único Kerberos em dispositivos Apple
A extensão de Início de Sessão Único (SSO Kerberos) Kerberos simplifica o processo de aquisição de um tíquete de concessão de tíquetes (TGT) Kerberos do Active Directory local da organização ou de outro domínio provedor de identidade, permitindo que usuários autentiquem facilmente em recursos como sites, apps e servidores de arquivos.
Requisitos para o uso da extensão de SSO Kerberos
Para usar a extensão de SSO Kerberos, você precisa de:
Dispositivos gerenciados com uma solução MDM compatível com o payload de perfil de configuração Extensible Single Sign-on (SSO).
Acesso à rede onde o domínio local do Active Directory está hospedado. Esse acesso de rede pode ser via Wi-Fi, Ethernet ou VPN.
Um domínio do Active Directory usando o Windows Server 2008 ou posterior. A extensão de SSO Kerberos não foi projetada para uso no Microsoft Entra ID, que requer um domínio tradicional do Active Directory local.
A extensão em iOS, iPadOS e visionOS 1.1
No iOS, iPadOS e visionOS 1.1, a extensão de SSO Kerberos é ativada somente após receber uma solicitação HTTP 401 Negotiate. Para economizar bateria, essa extensão não pede códigos de site do Active Directory nem atualiza um TGT do Kerberos até que seja desafiada.
Os recursos da extensão de SSO Kerberos para iOS, iPadOS e visionOS 1.1 incluem:
Métodos de autenticação: adiciona compatibilidade com vários métodos de autenticação diferentes, incluindo identidades de certificado e senhas (PKINIT). A identidade do certificado pode estar em um smart card CryptoTokenKit, em uma identidade fornecida por MDM ou nas chaves locais. A extensão também é compatível com a alteração de senha do Active Directory quando a caixa de diálogo de autenticação estiver sendo exibida ou com um URL para um site separado.
Expiração da senha: solicita informações de expiração de senha do domínio imediatamente após a autenticação, após alterações de senha e periodicamente durante o dia. Essas informações são usadas para fornecer notificações de expiração de senha e solicitar novas credenciais se o usuário tiver alterado a senha em outro dispositivo.
Suporte a VPN: Compatível com diversas configurações de rede diferentes, incluindo várias tecnologias VPN, como VPN por App. Se VPN por app for usado, a extensão de SSO Kerberos usará VPN por app apenas quando o app ou site solicitante estiver configurado para utilizá-lo.
Alcance do domínio: use um ping LDAP no domínio para solicitar e armazenar em cache os códigos de site do Active Directory da conexão de rede atual ao domínio. Ele compartilha o código do site com solicitações Kerberos para outros processos para preservar a bateria. Para obter mais informações, consulte a documentação da Microsoft 6.3.3 LDAP Ping (em inglês).
Solicitações de negociação: lida com solicitações de HTTP 401 Negotiate para sites, solicitações NSURLSession e tarefas NSURLSession em segundo plano.
A extensão no macOS
No macOS, a extensão de SSO Kerberos adquire proativamente um TGT Kerberos quando o estado da rede muda para garantir que o usuário esteja pronto para a autenticação quando necessário. A extensão de SSO Kerberos também auxilia os usuários a gerenciarem suas contas do Active Directory. Além disso, permite que os usuários alterem suas senhas do Active Directory e envia-lhes notificações quando uma senha está próxima de expirar. Os usuários também podem alterar as senhas de suas contas locais para serem iguais às senhas do Active Directory.
A extensão de SSO Kerberos deve ser usada com um domínio local do Active Directory. Os dispositivos não precisam estar associados a um domínio do Active Directory para usar a extensão de SSO Kerberos. Além disso, os usuários não precisam iniciar a sessão em seus computadores Mac com contas do Active Directory ou contas móveis. Em vez disso, a Apple recomenda que usem contas locais.
Os usuários devem se autenticar na extensão de SSO Kerberos. Eles podem iniciar esse processo de várias maneiras:
Se o Mac estiver conectado à rede em que o domínio do Active Directory está disponível, o usuário será solicitado a autenticar imediatamente após a instalação do perfil de configuração do Início de Sessão Único Extensível.
Se o perfil já estiver instalado, sempre que o Mac estiver conectado a uma rede em que o domínio do Active Directory estiver disponível, o usuário será solicitado a se autenticar imediatamente.
Se o Safari ou qualquer outro app for usado para acessar um site que aceita ou requer autenticação Kerberos, o usuário será solicitado a se autenticar.
O usuário pode selecionar o extra de menu da extensão de SSO Kerberos e clicar em Iniciar Sessão.
Os recursos da extensão de SSO Kerberos para macOS incluem:
Métodos de autenticação: a extensão é compatível com vários métodos de autenticação diferentes, incluindo senhas e identidades de certificado (PKINIT). A identidade do certificado pode estar em um smart card CryptoTokenKit, em uma identidade fornecida por MDM ou nas chaves locais. A extensão também é compatível com a alteração de senha do AD quando a caixa de diálogo de autenticação estiver sendo exibida ou com um URL para um site separado.
Expiração da senha: a extensão solicita informações de expiração de senha do domínio imediatamente após a autenticação, após alterações de senha e periodicamente durante o dia. Essas informações são usadas para fornecer notificações de expiração de senha e solicitar novas credenciais se o usuário tiver alterado a senha em outro dispositivo.
Suporte a VPN: a extensão é compatível com diversas configurações de rede diferentes, incluindo vários serviços de VPN, como VPN por app. Se a VPN for uma VPN de Extensão de Rede, ela aciona uma conexão automaticamente ao autenticar ou alterar a senha. Em contrapartida, se a conexão for uma VPN por app, o extra de menu da extensão de SSO Kerberos sempre mostra que a rede está disponível. Isso acontece porque ela usa um ping LDAP para determinar a disponibilidade da rede corporativa. Quando a VPN por app é desconectada, o ping LDAP a reconecta, passando a impressão de uma conexão VPN por app contínua. Na verdade, a extensão de SSO Kerberos foi acionada para o tráfego de Kerberos sob demanda.
Para usar a extensão de SSO Kerberos com a VPN por app, adicione as entradas a seguir ao Mapeamento de VPN de Camada de App a App:
com.apple.KerberosExtension usando requisito designado identifier com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent usando requisito designado identifier com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra usando requisito designado: identifier com.apple.KerberosMenuExtra and anchor apple
Alcance do domínio: a extensão usa um ping LDAP no domínio para solicitar e armazenar em cache os códigos de site do AD da conexão de rede atual ao domínio. Isso preserva a bateria. Também compartilha o código do site com solicitações Kerberos para outros processos. Para obter mais informações, consulte a documentação da Microsoft 6.3.3 LDAP Ping (em inglês).
Atualização do TGT Kerberos: a extensão tenta manter o TGT Kerberos sempre atualizado. Ela faz isso monitorando as conexões de rede e as alterações do cache Kerberos. Quando a rede corporativa está disponível e um novo tíquete é necessário, ela proativamente o solicita. Se o usuário optar por iniciar sessão automaticamente, a extensão solicitará um novo tíquete até que a senha do usuário expire. Caso o usuário não opte por iniciar sessão automaticamente, ele é solicitado a inserir as credenciais quando as credenciais do Kerberos expirarem, geralmente após 10 horas.
Sincronização de senha: a extensão sincroniza a senha da conta local com a senha do Active Directory. Após a sincronização inicial, monitora as datas de alteração da senha da conta local e do Active Directory para determinar se ainda estão sincronizadas. Usa as datas em vez de tentar um início de sessão para evitar o bloqueio da conta local ou do AD devido a muitas tentativas malsucedidas.
Executar scripts: a extensão envia notificações quando vários eventos ocorrem. Essas notificações podem acionar a execução de scripts para oferecer compatibilidade à extensão da funcionalidade. É feito o envio de notificações em vez da execução direta de scripts porque os processos da extensão Kerberos são isolados, o que contribuiria para impedir sua execução. Existe também uma ferramenta de linha de comando,
app-sso, que permite que os scripts leiam o estado da extensão e solicitem ações comuns, como o início de sessão.Extra de menu: a extensão inclui um extra de menu para permitir que o usuário inicie sessão, reconecte, altere a senha, finalize a sessão e visualize o status da conexão. A opção de reconexão sempre recupera um novo TGT e atualiza as informações de expiração da senha do domínio.
Uso da conta
A extensão de SSO Kerberos não requer que o Mac esteja vinculado ao Active Directory ou que o usuário tenha iniciado sessão no Mac com uma conta móvel. A Apple sugere que você use a extensão de SSO Kerberos com uma conta local. A extensão de SSO Kerberos foi criada especificamente para aprimorar a integração do Active Directory a partir de uma conta local. No entanto, se você optar por continuar usando contas móveis, poderá ainda assim usar a extensão de SSO Kerberos. Quando usada com contas móveis:
A sincronização de senha não funcionará. Se você usar a extensão de SSO Kerberos para alterar a senha do Active Directory e tiver iniciado sessão no Mac com a mesma conta de usuário que está usando com a extensão de SSO Kerberos, as alterações de senha funcionam como no painel de preferências Usuários e Grupos. Mas se você realizar uma alteração externa de senha — ou seja, se alterar a senha por meio de um site ou pelo Help Desk — a extensão de SSO Kerberos não consegue restabelecer a sincronia entre a senha de conta móvel e a senha do Active Directory.
O uso de URL de alteração de senha não é compatível com a extensão Kerberos.