Extensão de início de sessão único Kerberos com dispositivos Apple
A extensão de início de sessão único Kerberos (SSO Kerberos) simplifica o processo de aquisição de um ticket para atribuição de tickets de Kerberos (TGT) a partir do domínio de Active Directory nas instalações da sua organização ou de outro domínio do fornecedor de identidade, o que permite aos utilizadores efetuarem a autenticação de forma estável em recursos como sites, aplicações e servidores de ficheiros.
Requisitos para usar a extensão Kerberos SSO
Para usar a extensão SSO Kerberos, é necessário:
dispositivos geridos com uma solução de gestão de dispositivos móveis (MDM) com suporte para a carga útil do perfil de início de sessão único (SSO) extensível;
acesso à rede onde se encontra alojado o domínio de Active Directory nas instalaçõe. O acesso à rede pode ser por Wi-Fi, Ethernet ou VPN;
que um domínio do Active Directory use o Windows Server 2008 ou posterior. A extensão SSO Kerberos não se destina a ser usada com o Microsoft Entra ID, que requer um domínio de Active Directory convencional alojado nas instalações.
A extensão no iOS, iPadOS e visionOS 1.1
No iOS, iPadOS e visionOS 1.1, a extensão SSO Kerberos é ativada apenas após receber um desafio de negociação HTTP 401. Para poupar a vida útil da bateria, a extensão não solicita os códigos do site do Active Directory nem atualiza um TGT até ser desafiado.
As funcionalidades da extensão SSO Kerberos para iOS, iPadOS e visionOS 1.1 incluem o seguinte:
Authentication methods (Métodos de autenticação): adiciona suporte para vários métodos diferentes de autenticação, incluindo palavras-passe e identidades de certificado (PKINIT). A identidade do certificado pode estar num smart card CryptoTokenKit, numa identidade fornecida pela MDM ou no porta-chaves local. A extensão também suporta a alteração da palavra-passe do Active Directory quando a caixa de diálogo de autenticação está a mostrar ou a usar um URL para um site separado.
Password expiration (Data de expiração da palavra‑passe): solicita a informação de expiração da palavra-passe do domínio imediatamente após a autenticação, após alterações da palavra-passe e periodicamente durante o dia. Essa informação é usada para fornecer notificações de expiração de palavras-passe e solicitar novas credenciais se o utilizador tiver alterado a palavra-passe noutro dispositivo.
VPN support (Suporte para VPN): suporta várias configurações de rede diferentes, incluindo várias tecnologias VPN, tal como VPN por aplicação. Se for usada a VPN por aplicação, a extensão SSO Kerberos apenas usa a VPN por aplicação quando a aplicação ou o site que efetuou o pedido está configurado para a usar.
Domain reachability (Acesso fácil ao domínio): use um ping LDAP no domínio para solicitar e, depois, colocar em cache os códigos do site do Active Directory para a ligação da rede atual ao domínio. Partilha o código do site com pedidos Kerberos para outros processos e efetua isso para preservar a duração da bateria. Encontrará mais informação na documentação da Microsoft Ping LDAP 6.3.3.
Negotiation challenges (Desafios de negociação): trata de desafios de negociação HTTP 401 para sites, pedidos NSURLSession e tarefas NSURLSession em segundo plano.
A extensão no macOS
No macOS, a extensão SSO Kerberos adquire proativamente um TGT Kerberos aquando de alterações no estado da rede para garantir que o utilizador está preparado para se autenticar quando for necessário. A extensão SSO Kerberos também ajuda os utilizadores na gestão das respetivas contas de Active Directory. Além disso, permite que os utilizadores alterem as respetivas palavras‑passe de Active Directory e notifica‑os quando uma palavra‑passe estiver prestes a caducar. Os utilizadores também podem alterar as respetivas palavras‑passe da conta local para coincidirem com as palavras‑passe do Active Directory.
A extensão SSO Kerberos deve ser usada com um domínio de Active Directory alojado nas instalações da organização. Os dispositivos não necessitam aceder a um domínio Active Directory para utilizar a extensão SSO Kerberos. Além disso, os utilizadores não necessitam de iniciar sessão nos computadores Mac com contas Active Directory ou móveis; a Apple recomenda a utilização de contas locais.
Os utilizador têm de se autenticar com a extensão SSO Kerberos. Podem iniciar este processo de várias formas:
Se o Mac estiver ligado à rede onde o domínio Active Directory está disponível, o utilizador recebe um aviso para se autenticar imediatamente depois de o perfil de configuração de SSO extensível ser instalado.
Se o perfil já estiver instalado, sempre que o Mac estiver ligado a uma rede onde o domínio Active Directory está disponível, o utilizador recebe imediatamente um aviso para se autenticar.
Se o Safari ou outra aplicação foi utilizada para aceder a um website que aceita ou exige a autenticação Kerberos, o utilizador recebe um aviso para se autenticar.
O utilizador pode selecionar o extra do menu da extensão SSO Kerberos e, depois, clicar em “Iniciar sessão”.
As funcionalidades da extensão SSO Kerberos para macOS incluem o seguinte:
Authentication methods (Métodos de autenticação): A extensão suporta vários métodos diferentes de autenticação, incluindo palavras-passe e identidades de certificado (PKINIT). A identidade do certificado pode estar num smart card CryptoTokenKit, numa identidade fornecida pela MDM ou no porta-chaves local. A extensão também suporta a alteração da palavra-passe do AD quando a caixa de diálogo de autenticação está a mostrar ou a usar um URL para um site separado.
Password expiration (Data de expiração da palavra‑passe): A extensão solicita a informação de expiração da palavra-passe do domínio imediatamente após a autenticação, após alterações da palavra-passe e periodicamente durante o dia. Essa informação é usada para fornecer notificações de expiração de palavras-passe e solicitar novas credenciais se o utilizador tiver alterado a palavra-passe noutro dispositivo.
VPN support (Suporte para VPN): a extensão suporta várias configurações de rede diferentes, incluindo serviços VPN, como VPN por aplicação. Se a VPN for uma VPN de extensão de rede, esta aciona automaticamente uma ligação durante a autenticação ou alteração de palavras-passe. Por outro lado, se a ligação for VPN por aplicação, o menu adicional da extensão SSO Kerberos mostra sempre que a rede está disponível. É porque usa um Ping LDAP para determinar a disponibilidade da rede empresarial. Quando a VPN por aplicação é desligada, o Ping LDAP voltar a estabelecer ligação, o que resulta no que parece ser uma ligação VPN por aplicação contínua. Na verdade, a extensão SSO Kerberos foi ativada para tráfego Kerberos a pedido.
Adicione as seguintes entradas à sua aplicação para mapeamento de camadas de aplicação de VPN para usar a extensão Kerberos SSO com a VPN por aplicação:
com.apple.KerberosExtension com o identificador designado obrigatório com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent com o identificador designado obrigatório com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra com o identificador designado obrigatório: identifier com.apple.KerberosMenuExtra and anchor apple
Domain reachability (Acesso fácil ao domínio): A extensão usa um ping LDAP no domínio para solicitar e, depois, colocar em cache, os códigos do site do AD para a ligação da rede atual ao domínio. Efetua isso para preservar a duração da bateria. Também partilha o código do site com pedidos Kerberos para outros processos. Encontrará mais informação na documentação da Microsoft Ping LDAP 6.3.3.
Kerberos TGT refresh (Atualização do TGT Kerberos): a extensão tenta sempre manter o TGT Kerberos atualizado. Para isso, monitoriza as ligações de rede e as alterações da cache de Kerberos. Quando a sua rede empresarial está disponível e for necessário um novo bilhete, esta solicita proativamente um novo. Se o utilizador optar por iniciar sessão automaticamente, a extensão solicita indistintamente um novo bilhete até a palavra-passe do utilizador expirar. Se o utilizador não optar por iniciar sessão automaticamente, o utilizador recebe um aviso para digitar as credenciais quando a respetiva credencial do Kerberos expirar — normalmente, após 10 horas.
Password sync (Sincronização de palavras‑passe): a extensão sincroniza a palavra‑passe da conta local com a palavra‑passe do Active Directory. Após a sincronização inicial, monitoriza as datas de alteração de palavras-passe de contas locais e do Active Directory para determinar se as palavras-passe das contas ainda estão em sincronização. Usa as datas em vez de tentar um início de sessão para impedir o bloqueio da conta AD ou local, porque foram efetuadas demasiadas tentativas falhadas.
Run scripts (Executar scripts): a extensão publica notificações quando ocorrem vários eventos. Essas notificações podem acionar a execução de scripts para que suportem a ampliação da funcionalidade. São enviadas notificações em vez da execução direta de scripts, porque os processos da extensão Kerberos estão isolados e a sandbox ajudaria a impedir a execução dos scripts. Também existe uma ferramenta da linha de comandos,
app-sso
, que permite que os scripts efetuem a leitura do estado da extensão e solicitem ações comuns, tal como iniciar sessão.Menu extra (Menu extra): a extensão inclui um menu adicional para permitir que o utilizador inicie sessão, volte a estabelecer ligação, altere a palavra-passe, termine sessão e visualize o estado da ligação. A opção para voltar a ligar obtém um novo TGT e atualiza a informação de expiração da palavra-passe a partir do domínio.
Utilização da conta
A extensão SSO Kerberos não exige que o Mac esteja associado ao Active Directory ou que o utilizador tenha sessão iniciada no Mac com uma conta móvel. A Apple sugere a utilização da extensão SSO Kerberos com uma conta local. A extensão SSO Kerberos foi criada especificamente para melhorar a integração do Active Directory a partir de uma conta local. No entanto, se optar por continuar a utilizar contas móveis, pode continuar a utilizar a extensão SSO Kerberos. Quando utilizado com contas móveis:
a sincronização de palavra‑passe não funciona. Se utilizar a extensão SSO Kerberos para alterar a palavra‑passe do Active Directory e tiver sessão iniciada no Mac com a mesma conta de utilizador que está a utilizar com a extensão SSO Kerberos, as alterações de palavra-passe funcionam como no painel de preferências Utilizadores e Grupos. Mas, se executar uma alteração de palavra-passe externa — o que significa que altera a palavra-passe num website, ou que a assistência técnica a repõe — a extensão SSO Kerberos não pode recuperar a palavra-passe da conta móvel em sincronia com a palavra-passe do Active Directory;
a utilização de um URL de alteração de palavra-passe com a extensão Kerberos não é suportada.