Extensão de início de sessão único Kerberos com dispositivos Apple
A extensão de início de sessão único Kerberos (SSO Kerberos) simplifica o processo de aquisição de um ticket para atribuição de tickets de Kerberos (TGT) a partir do domínio do fornecedor de identidade (IdP) ou do Active Directory nas instalações da organizaçã, o que permite aos utilizadores efetuarem a autenticação de forma estável em recursos como sites, aplicações e servidores de ficheiros.
Requisitos para usar a extensão de início de sessão único Kerberos
Para usar a extensão de início de sessão único Kerberos, é necessário:
dispositivos que um serviço de gestão de dispositivos gere com suporte para a carga útil do perfil de início de sessão único (SSO) extensível;
acesso à rede onde se encontra alojado o domínio de Active Directory nas instalaçõe. O acesso à rede pode ser por Wi-Fi, Ethernet ou VPN;
que um domínio do Active Directory use o Windows Server 2008 ou posterior. A extensão de início de sessão único Kerberos não se destina a ser usada com o Microsoft Entra ID, que requer um domínio de Active Directory convencional alojado nas instalações.
A extensão no iOS, iPadOS e visionOS 1.1
Para dispositivos com o iOS, iPadOS e visionOS 1.1, a extensão de início de sessão único Kerberos é ativada apenas após receber um desafio de negociação HTTP 401. Para poupar a vida útil da bateria, a extensão não solicita os códigos do site do Active Directory nem atualiza um TGT até ser desafiado.
As funcionalidades da extensão de início de sessão único Kerberos para iOS, iPadOS e visionOS 1.1 incluem o seguinte:
Authentication methods (Métodos de autenticação): adicione suporte para vários métodos diferentes de autenticação, incluindo palavras-passe e identidades de certificado (PKINIT). A identidade do certificado pode estar num smart card CryptoTokenKit, numa identidade fornecida pelo serviço de gestão de dispositivos ou no porta-chaves local. A extensão também suporta a alteração da palavra-passe do Active Directory quando a caixa de diálogo de autenticação está a mostrar ou a usar um URL para um site separado.
Password expiration (Data de expiração da palavra‑passe): solicita a informação de expiração da palavra-passe do domínio imediatamente após a autenticação, após alterações da palavra-passe e periodicamente durante o dia. Essa informação é usada para fornecer notificações de expiração de palavras-passe e solicitar novas credenciais se o utilizador tiver alterado a palavra-passe noutro dispositivo.
VPN support (Suporte para VPN): suporta várias configurações de rede diferentes, incluindo várias tecnologias VPN, tal como VPN por aplicação. Se for usada a VPN por aplicação, a extensão de início de sessão único Kerberos apenas usa a VPN por aplicação quando a aplicação ou o site que efetuou o pedido está configurado para a usar.
Domain reachability (Acesso fácil ao domínio): use um ping LDAP no domínio para solicitar e, depois, colocar em cache os códigos do site do Active Directory para a ligação da rede atual ao domínio. Partilha o código do site com pedidos Kerberos para outros processos e efetua isso para preservar a duração da bateria. Encontrará mais informação na documentação da Microsoft Ping LDAP 6.3.3.
Negotiation challenges (Desafios de negociação): trata de desafios de negociação HTTP 401 para sites, pedidos NSURLSession e tarefas NSURLSession em segundo plano.
A extensão no macOS
Para computadores Mac, a extensão de início de sessão único Kerberos adquire proativamente um TGT Kerberos aquando de alterações no estado da rede para garantir que o utilizador está preparado para se autenticar quando for necessário. A extensão de início de sessão único Kerberos também ajuda os utilizadores na gestão das respetivas contas de Active Directory. Além disso, permite que os utilizadores alterem as respetivas palavras‑passe de Active Directory e notifica‑os quando uma palavra‑passe estiver prestes a caducar. Os utilizadores também podem alterar as respetivas palavras‑passe da conta local para coincidirem com as palavras‑passe do Active Directory.
A extensão de início de sessão único Kerberos deve ser usada com um domínio de Active Directory alojado nas instalações da organização. Os dispositivos não necessitam aceder a um domínio Active Directory para utilizar a extensão de início de sessão único Kerberos. Além disso, os utilizadores não necessitam de iniciar sessão nos computadores Mac com contas Active Directory ou móveis; a Apple recomenda a utilização de contas locais.
Os utilizador têm de se autenticar com a extensão de início de sessão único Kerberos. Podem iniciar este processo de várias formas:
Se o Mac estiver ligado à rede onde o domínio Active Directory está disponível, o utilizador recebe um aviso para se autenticar imediatamente depois de o perfil de configuração de SSO extensível ser instalado.
Se o perfil já estiver instalado, sempre que o Mac estiver ligado a uma rede onde o domínio Active Directory está disponível, o utilizador recebe imediatamente um aviso para se autenticar.
Se o Safari ou outra aplicação foi utilizada para aceder a um website que aceita ou exige a autenticação Kerberos, o utilizador recebe um aviso para se autenticar.
O utilizador pode selecionar o extra do menu da extensão de início de sessão único Kerberos e, depois, clicar em “Iniciar sessão”.
As funcionalidades da extensão de início de sessão único Kerberos para macOS incluem o seguinte:
Authentication methods (Métodos de autenticação): A extensão suporta vários métodos diferentes de autenticação, incluindo palavras-passe e identidades de certificado (PKINIT). A identidade do certificado pode estar num smart card CryptoTokenKit, numa identidade fornecida pelo serviço de gestão de dispositivos ou no porta-chaves local. A extensão também suporta a alteração da palavra-passe do Active Directory quando a caixa de diálogo de autenticação está a mostrar ou a usar um URL para um site separado.
Password expiration (Data de expiração da palavra‑passe): A extensão solicita a informação de expiração da palavra-passe do domínio imediatamente após a autenticação, após alterações da palavra-passe e periodicamente durante o dia. Essa informação é usada para fornecer notificações de expiração de palavras-passe e solicitar novas credenciais se o utilizador tiver alterado a palavra-passe noutro dispositivo.
VPN support (Suporte para VPN): a extensão suporta várias configurações de rede diferentes, incluindo serviços VPN, como VPN por aplicação. Se a VPN for uma VPN de extensão de rede, esta aciona automaticamente uma ligação durante a autenticação ou alteração de palavras-passe. Por outro lado, se a ligação for VPN por aplicação, o menu adicional da extensão de início de sessão único Kerberos mostra sempre que a rede está disponível. É porque usa um Ping LDAP para determinar a disponibilidade da rede empresarial. Quando a VPN por aplicação é desligada, o Ping LDAP voltar a estabelecer ligação, o que resulta no que parece ser uma ligação VPN por aplicação contínua. Na verdade, a extensão de início de sessão único Kerberos foi ativada para tráfego Kerberos a pedido.
Adicione as seguintes entradas à sua aplicação para mapeamento de camadas de aplicação de VPN para usar a extensão de início de sessão único Kerberos com a VPN por aplicação:
com.apple.KerberosExtension com o identificador designado obrigatório com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent com o identificador designado obrigatório com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra com o identificador designado obrigatório: identifier com.apple.KerberosMenuExtra and anchor apple
Domain reachability (Acesso fácil ao domínio): A extensão usa um ping LDAP no domínio para solicitar e, depois, colocar em cache, os códigos do site do Active Directory para a ligação da rede atual ao domínio. Efetua isso para preservar a duração da bateria. Também partilha o código do site com pedidos Kerberos para outros processos. Encontrará mais informação na documentação da Microsoft Ping LDAP 6.3.3.
Kerberos TGT refresh (Atualização do TGT Kerberos): a extensão tenta sempre manter o TGT Kerberos atualizado. Para isso, monitoriza as ligações de rede e as alterações da cache de Kerberos. Quando a sua rede empresarial está disponível e for necessário um novo bilhete, esta solicita proativamente um novo. Se o utilizador optar por iniciar sessão automaticamente, a extensão solicita indistintamente um novo bilhete até a palavra-passe do utilizador expirar. Se o utilizador não optar por iniciar sessão automaticamente, o utilizador recebe um aviso para digitar as credenciais quando a respetiva credencial do Kerberos expirar — normalmente, após 10 horas.
Password sync (Sincronização de palavras‑passe): a extensão sincroniza a palavra‑passe da conta local com a palavra‑passe do Active Directory. Após a sincronização inicial, monitoriza as datas de alteração de palavras-passe de contas locais e do Active Directory para determinar se as palavras-passe das contas ainda estão em sincronização. Usa as datas em vez de tentar um início de sessão para impedir o bloqueio da conta Active Directory ou local, porque foram efetuadas demasiadas tentativas falhadas.
Run scripts (Executar scripts): a extensão publica notificações quando ocorrem vários eventos. Essas notificações podem acionar a execução de scripts para que suportem a ampliação da funcionalidade. São enviadas notificações em vez da execução direta de scripts, porque os processos da extensão Kerberos estão isolados e a sandbox ajudaria a impedir a execução dos scripts. Também existe uma ferramenta da linha de comandos,
app-sso, que permite que os scripts efetuem a leitura do estado da extensão e solicitem ações comuns, tal como iniciar sessão.Menu extra (Menu extra): a extensão inclui um menu adicional para permitir que o utilizador inicie sessão, volte a estabelecer ligação, altere a palavra-passe, termine sessão e visualize o estado da ligação. A opção para voltar a ligar obtém um novo TGT e atualiza a informação de expiração da palavra-passe a partir do domínio.
Os utilizadores podem visualizar e gerir as suas informações de bilhete Kerberos usando a aplicação Visualizador de Tickets, situada em /Sistema/Biblioteca/CoreServices/Applications/. Pode ver informações adicionais clicando no menu Ticket e selecionando “Informação de diagnóstico”. Se for permitido pela configuração, os utilizadores também podem solicitar, visualizar e destruir bilhetes Kerberos usando as ferramentas de linha de comandos kinit, klist e kdestroy, respetivamente.
Utilização da conta
A extensão de início de sessão único Kerberos não exige que o Mac esteja associado ao Active Directory ou que o utilizador tenha sessão iniciada no Mac com uma conta móvel. A Apple sugere a utilização da extensão SSO Kerberos com uma conta local. A extensão de início de sessão único Kerberos foi criada especificamente para melhorar a integração do Active Directory a partir de uma conta local. No entanto, se optar por continuar a utilizar contas móveis, pode continuar a utilizar a extensão de início de sessão único Kerberos. Quando utilizado com contas móveis:
a sincronização de palavra‑passe não funciona. Se utilizar a extensão de início de sessão único Kerberos para alterar a palavra‑passe do Active Directory e tiver sessão iniciada no Mac com a mesma conta de utilizador que está a utilizar com a extensão de início de sessão único Kerberos, as alterações de palavra-passe funcionam como no painel de preferências Utilizadores e Grupos. Mas, se executar uma alteração de palavra-passe externa — o que significa que altera a palavra-passe num website, ou que a assistência técnica a repõe — a extensão de início de sessão único Kerberos não pode recuperar a palavra-passe da conta móvel em sincronia com a palavra-passe do Active Directory;
a utilização de um URL de alteração de palavra-passe com a extensão Kerberos não é suportada.