Introdução ao início de sessão único em dispositivos Apple
As organizações usam frequentemente o início de sessão único (SSO), que foi concebido para melhorar a experiência de início de sessão dos utilizadores em aplicações e sites. Com SSO, um processo de autenticação comum é usado para aceder a várias aplicações ou sistemas — sem que o utilizador afirme novamente a sua identidade. Em vez de guardar as credenciais de um utilizador (por exemplo, a palavra‑passe) e reutilizá‑las para cada aplicação ou sistema, o início de sessão único (SSO) está a utilizar o token fornecido pela autenticação inicial, o que dá aos utilizadores o aspeto de um conceito de palavra‑passe única.
Por exemplo, o início de sessão único (SSO) ocorre quando inicia sessão no seu fornecedor de identidade (IdP) e, depois, acede indistintamente às suas aplicações e sites proprietários internos sem introduzir novamente a palavra‑passe. Todas as aplicações e sistemas são configuradas para confiar no fornecedor de identidade (IdP) para identificar utilizadores e fornecer adesões a grupos; juntas formam um domínio de segurança.
Autenticação moderna com SSO
Autenticação moderna faz referência a um conjunto de protocolos de autenticação baseados na web usados por aplicações na nuvem. Os exemplos incluem SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 ou posterior) e Open ID Connect (OIDC). Esses protocolos funcionam melhor através da internet e cifram as ligações com HTTPS. SAML 2.0 é usada frequentemente para federar entre as redes e aplicações na nuvem da organização. A federação é usada ao cruzar domínios de confiança, por exemplo, ao aceder a um conjunto de aplicações na nuvem a partir do seu domínio nas instalações.
Nota: para beneficiar de OAuth 2.0 para utilização com o registo do utilizador, o serviço de gestão de dispositivos tem de implementar suporte no servidor para OAuth 2.0 com qualquer fornecedor de identidade (IdP) que pretendam que suporte.
O início de sessão único com estes protocolos varia dependendo do fornecedor e do ambiente. Por exemplo, quando está a usar o AD FS (Active Directory Federation Services) na rede de uma organização, o AD FS funciona com o Kerberos para SSO e quando autentica clientes através da internet, o AD FS pode usar cookies do navegador. Os protocolos de autenticação modernos não ditam como o utilizador afirma a sua identidade. Muitos desses protocolos são usados em combinação com autenticação multifatores, tal como um código SMS durante a autenticação em clientes desconhecidos. Alguns fornecedores fornecem certificados no dispositivo para identificar dispositivos conhecidos para auxiliarem no processo de autenticação.
Os fornecedores de identidade (IdP) podem suportar início de sessão único (SSO) no iOS, iPadOS, macOS e visionOS através da utilização de extensões de início de sessão único. Essas extensões permitem que os IdP implementem protocolos de autenticação modernos para os seus utilizadores.
Kerberos
Kerberos é um protocolo de autenticação popular usado em redes grandes para SSO. É também o protocolo predefinido usado pelo Active Directory. Funciona entre plataformas, usa cifragem e protege contra ataques repetidos. Pode usar palavras-passe, identidades de certificado, smart cards, dispositivos NFC ou outros produtos de autenticação de hardware para autenticar o utilizador. O servidor que executa Kerberos é conhecido como o Centro de distribuição de chaves (KDC). Para autenticar os utilizadores, os dispositivos Apple têm de contactar o serviço KDC através de uma ligação à rede.
O Kerberos funciona corretamente na rede interna ou privada de uma organização, porque todos os clientes e servidores têm conectividade direta ao KDC. Os clientes que não estão na rede empresarial têm de usar uma rede privada virtual (VPN) para estabelecer ligação e proceder à autenticação. Kerberos não é a solução ideal para aplicações baseadas na internet ou na nuvem. É porque estas aplicações não têm conectividade direta à rede empresarial. Para as aplicações baseadas na nuvem ou internet, a autenticação moderna (descrita abaixo) é mais adequada.
O macOS dá prioridade a Kerberos para todas as atividades de autenticação quando integradas num ambiente do Active Directory. Quando um utilizador inicia sessão num Mac através de uma conta Active Directory, é solicitado um Kerberos TGT (Ticket Granting Ticket) ao controlador de domínio Active Directory. Quando um utilizador tenta usar qualquer serviço ou aplicação no domínio que suporte autenticação Kerberos, o TGT é usado para solicitar um bilhete para esse serviço sem solicitar novamente a autenticação do utilizador. Se estiver definida uma política para solicitar uma palavra-passe para ignorar a proteção de ecrã, o macOS tenta renovar o TGT após a autenticação bem sucedida.
Para que os servidores Kerberos funcionem adequadamente, os registos de DNS (Domain Name System) diretos e inversos devem ser exatos. A hora do relógio do sistema também é importante, porque o desalinhamento do relógio tem de ser inferior a 5 minutos para quaisquer servidores e clientes. A melhor prática é definir a data e hora automaticamente usando um serviço NTP (Network Time Protocol), como time.apple.com.
Aplicações suportadas
O iOS, iPadOS e visionOS 1.1 fornecem um suporte flexível para o SSO para qualquer aplicação que usa a classe NSURLSession ou URLSession para gerir as ligações da rede e autenticação. A Apple fornece a todos os programadores estas classes para integrar ligações à rede nas suas aplicações de forma estável.
Qualquer aplicação Mac que suporte a autenticação Kerberos funciona com SSO. Isto inclui muitas das aplicações integradas no macOS, como Safari, Mail e Calendário, e inclui serviços como partilha de ficheiros, partilha de ecrã e shell segura (SSH). Muitas aplicações de terceiros também suportam Kerberos.
Configurar Início de sessão único
Para configurar o início de sessão único (SSO), pode aplicar as definições necessárias através de um serviço de gestão de dispositivos. A configuração tem de incluir informação acerca da extensão de início de sessão único que comunica com o fornecedor de identidade (IdP), assim como as aplicações e endereços URL da web do Safari que podem usar o início de sessão único ou estão restritas de o usar. Também pode usar a extensão de início de sessão único Kerberos fornecida pela Apple, incluída no iOS, iPadOS, macOS e visionOS.
É utilizada uma simples correspondência do padrão da cadeia de caracteres ao comparar um padrão contra o prefixo de uma hiperligação solicitada. Os padrões devem começar assim com https:// ou http:// e não corresponderão a números de porta diferentes. Se um padrão de correspondência de uma hiperligação não terminar com uma barra (/), é anexada uma.
Por exemplo, https://www.betterbag.com/ corresponde a https://www.betterbag.com/index.html mas não corresponde a http://www.betterbag.com ou https://www.betterbag.com:443/.
Pode também ser utilizado um carácter universal único para especificar os subdomínios em falta. Por exemplo, https://*.betterbag.com/ corresponde a https://store.betterbag.com/.