Definições de carga útil de MDM de início de sessão único extensível para dispositivos Apple
Use a carga útil de início de sessão único extensível para definir extensões para autenticação multifator do utilizador num iPhone, iPad ou Mac registados numa solução de gestão de dispositivos móveis (MDM).
Esta extensão serve para identificar fornecedores para oferecer uma experiência perfeita quando os utilizadores iniciam sessão em aplicações e websites. Quando corretamente configurada através de MDM, o utilizador autentica-se uma vez e obtém automaticamente acesso aos websites e aplicações nativos subsequentes. As outras funcionalidades seguintes podem ser usadas com a carga útil de início de sessão único extensível quando implementadas pelo programador:
Porta-chaves em iCloud
Autenticação multifator.
VPN por aplicação
Notificação de utilizador.
Para além das extensões de início de sessão único para programadores de terceiros, o iOS 13, o iPadOS 13.1 e o macOS 10.15 possuem uma extensão Kerberos integrada que pode ser usada para iniciar a sessão de utilizadores em aplicações nativas, assim como websites compatíveis com autenticação Kerberos.
A carga útil de início de sessão único extensível suporta o seguinte. Encontrará informação adicional em Informação sobre a carga útil.
Método de aprovação suportado: requer a aprovação do utilizador.
Método de instalação suportado: requer uma solução MDM para a instalação.
Identificador de carga útil suportado: com.apple.extensiblesso
Sistemas operativos e canais compatíveis: iOS, iPadOS, utilizador do iPad partilhado, utilizador do macOS, visionOS 1.1.
Tipos de registo suportados: registo do utilizador, registo do dispositivo, registo automático de dispositivos.
Duplicados permitidos: verdadeiro — apenas uma carga útil de início de sessão único extensível pode ser entregue a um utilizador ou dispositivo.
É possível usar as definições da tabela abaixo com a carga útil de início de sessão único extensível.
Definição | Descrição | Necessário | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Preferred KDCs (KDC preferidos) | A lista ordenada de KDC para usar para tráfego Kerberos. Esta chave deve ser usada se os servidores não forem detetáveis com a DNS. Se forem especificados servidores, estes são usados para ambas as verificações de conectividade e experimentados primeiro para tráfego Kerberos. Se os servidores não responderem, é usada a deteção DNS. Cada entrada é formatada da mesma forma que seria num ficheiro krb5.conf. | Não | |||||||||
Extension identifier (Identificador de extensão) | O ID de pacote único para a aplicação. | Sim | |||||||||
Team identifier (Identificador da equipa) | O ID de equipa único para a aplicação. | Sim | |||||||||
Sign-on type (Tipo de início de sessão) |
| Sim | |||||||||
Authentication method (Método de autenticação) macOS 13 ou posterior | O método de autenticação de início de sessão na plataforma que a extensão usa. É necessário que a extensão SSO também suporte o método.
| Não | |||||||||
Registration token (Token de registo) macOS 13 ou posterior | O token que este dispositivo usa para o registo com o início de sessão único na plataforma. Use-o para um registo silencioso com fornecedor de identidade. É necessário que método de autenticação não esteja vazio. | Não | |||||||||
Realm | O realm Kerberos completo onde a conta do utilizador está localizada. Esta chave é ignorada para cargas úteis de Redirecionar. | Não | |||||||||
Hosts | Domínios aprovados que podem ser autenticados com a extensão de aplicação. | Não | |||||||||
URLs | Obrigatório para cargas úteis de Redirecionar. Ignorados para as cargas úteis de credenciais. Os URL têm de começar com https:// ou http://, o esquema e o nome de host são correspondidos sem distinção entre maiúsculas e minúsculas, os parâmetros de consulta e os fragmentos do URL não são permitidos e os URL de todas as cargas úteis de SSO extensíveis instaladas têm de ser únicos. | Não |
Nota: cada fornecedor de MDM implementa essas definições de forma diferente. Para saber como as várias definições de início de sessão único extensível são aplicadas aos seus dispositivos e utilizadores, consulte a documentação do seu fornecedor de MDM.