Úvod do jednorazového prihlásenia na Apple zariadeniach
Organizácie často využívajú jednorazové prihlásenie (SSO), ktoré je určené na zlepšenie užívateľskej skúsenosti s apkami a webovými stránkami. S SSO sa bežný proces autentifikácie používa na prístup k viacerým apkám alebo systémom bez potreby opätovného proklamovania identity užívateľom. SSO neukladá prihlasovacie údaje užívateľa (napríklad heslo) ani ich opätovne nepoužíva v každej apke alebo systéme, ale používa token poskytnutý počiatočnou autentifikáciou a užívateľom poskytuje koncept jednorazového hesla.
K jednorazovému prihláseniu dôjde napríklad vtedy, keď sa v podnikovej sieti prihlásite do služby Active Directory a potom môžete bezproblémovo pristupovať k podnikovým apkám a webovým stránkam bez opätovného zadávania hesla. Všetky ostatné apky a systémy sú nakonfigurované tak, aby službe Active Directory dôverovali pri identifikácii užívateľov a poskytovaní členstva v skupinách. Spolu tvoria bezpečnostnú doménu.
Kerberos
Kerberos je známy autentifikačný protokol používaný na jednorazové prihlásenie vo veľkých sieťach. Je to tiež predvolený protokol používaný službou Active Directory. Funguje naprieč platformami, používa šifrovanie a chráni proti opakovaným útokom. Umožňuje autentifikovať užívateľov pomocou hesiel, certifikačných identít, kariet Smart Card, NFC zariadení a ďalších hardvérových autentifikačných prostriedkov. Server, na ktorom beží Kerberos, je známy ako centrum distribúcie kľúčov (Key Distribution Center, KDC). Apple zariadenia musia na autentifikáciu užívateľov kontaktovať KDC cez sieťové pripojenie.
Kerberos dobre funguje v internej alebo privátnej sieti organizácie, pretože všetci klienti a servery majú priame pripojenie k centru distribúcie kľúčov. Klienti, ktorí nie sú pripojení k podnikovej sieti, musia na pripojenie a autentifikáciu použiť virtuálnu privátnu sieť (VPN). Kerberos nie je ideálny pre apky založené na cloude alebo internete. Je to preto, že tieto apky nemajú priamu konektivitu s korporátnou sieťou. Pre apky založené na cloude alebo internete je vhodnejšia moderná autentifikácia (popísaná nižšie).
Ak je systém macOS integrovaný do prostredia Active Directory, uprednostňuje protokol Kerberos pri všetkých aktivitách autentifikácie. Keď sa užívateľ prihlási na Macu pomocou účtu Active Directory, na radič domény Active Directory sa odošle požiadavka na TGT lístok (Ticket Granting Ticket) protokolu Kerberos. Keď sa užívateľ pokúsi použiť ľubovoľnú službu alebo apku na doméne, ktorá podporuje autentifikáciu cez Kerberos, TGT lístok sa použije na vyžiadanie lístka pre danú službu bez toho, aby sa užívateľ musel znovu autentifikovať. Ak je pravidlo nastavené tak, aby sa vyžadovalo heslo na zrušenie šetriča obrazovky, macOS sa pokúsi obnoviť TGT po úspešnej autentifikácii.
Pre správne fungovanie serverov s technológiou Kerberos by mali byť vhodné DNS záznamy (Domain Name System) typu forward a reverse. Čas systémových hodín je tiež dôležitý, pretože časová odchýlka pre ľubovoľné servery a klientov musí byť menšia ako 5 minút. Najlepšie je nastaviť dátum a čas automaticky pomocou služby NTP (Network Time Protocol), ako je napríklad time.apple.com.
Moderná autentifikácia s SSO
Pojmom moderná autentifikácia sa označuje súbor webových autentifikačných protokolov používaných cloudovými aplikáciami. Patria tu napríklad riešenia SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 alebo novší) a Open ID Connect (OIDC). Tieto protokoly dobre fungujú cez internet a pripojenia šifrujú pomocou protokolu HTTPS. Na federáciu medzi sieťami organizácie a cloudovými aplikáciami sa často používa protokol SAML2. Pri prekračovaní hraníc dôveryhodných domén, napríklad pri prístupe ku cloudovým apkám z vašej internej domény, sa používa federácia.
Poznámka: Ak chcete využívať OAuth 2.0, riešenie MDM musí implementovať podporu pre OAuth 2.0 na strane servera s akýmkoľvek poskytovateľom identít (IdP), ktorého chcú podporovať na používanie pri registrácii užívateľov.
Jednorazové prihlásenie sa pri používaní týchto protokolov líši v závislosti od dodávateľa a prostredia. Napríklad keď používate Active Directory Federation Services (AD FS) v sieti vašej organizácie, AD FS funguje pri SSO s riešením Kerberos a keď užívateľov autentifikujete cez internet, AD FS dokáže používať súbory cookies prehliadača. Moderné autentifikačné protokoly neprikazujú, akým spôsobom majú užívatelia preukazovať svoju identitu. Množstvo týchto protokolov sa pri autentifikácii neznámych klientov používa v kombinácii s ďalším spôsobom overenia, napríklad kódom zaslaným vo forme SMS (označuje sa ako viacfaktorová autentifikácia). Niektorí predajcovia priamo na zariadeniach poskytujú certifikáty na identifikáciu známych zariadení, čo napomáha procesu autentifikácie.
Poskytovatelia identít môžu podporovať SSO v iOS, iPadOS, macOS a visionOS 1.1 prostredníctvom používania rozšírení jednorazového prihlásenia. Tieto rozšírenia umožňujú poskytovateľom identít implementovať pre užívateľov moderné autentifikačné protokoly.
Podporované apky
Systémy iOS, iPadOS a visionOS 1.1 poskytujú flexibilnú podporu pre jednorazové prihlásenie do ľubovoľnej apky využívajúcej na spravovanie sieťových pripojení a autentifikácie triedu NSURLSession alebo URLSession. Apple poskytuje všetkým vývojárom tieto triedy s cieľom bezproblémovej integrácie sieťových pripojení v rámci ich apiek.
Ľubovoľná apka na Macu, ktorá podporuje autentifikáciu cez Kerberos, pracuje s SSO. To zahŕňa mnoho apiek vstavaných do systému macOS, ako sú napríklad Safari, Mail, Kalendár, ako aj služby zdieľania súborov, zdieľania obrazovky a bezpečného shellu (SSH). Mnoho apiek tretích strán, ako je napríklad Microsoft Outlook, tiež podporujú Kerberos.
Konfigurácia jednorazového prihlásenia
SSO môžete skonfigurovať pomocou konfiguračných profilov, ktoré je možné nainštalovať manuálne alebo ich spravovať cez MDM. Objem dát SSO umožňuje flexibilnú konfiguráciu. SSO môže byť dostupné pre všetky apky, byť obmedzené podľa identifikátora apky, URL služby alebo obomi parametrami.
Pri porovnávaní vzoru s predponou vyžiadanej URL sa používa porovnanie jednoduchého vzoru reťazca. Ako také sa musia vzory začínať reťazcom https:// alebo http:// a nebudú zhodné s odlišnými číslami portov. Ak sa zhodný vzor URL nekončí na lomku (/), bude pridaná.
Vzor https://www.betterbag.com/ vráti zhodu napríklad pre https://www.betterbag.com/index.html, nie však pre http://www.betterbag.com alebo https://www.betterbag. com:443/.
Na špecifikáciu chýbajúcich subdomén možno používať aj jednoduché náhradné znaky. Vzor https://*.betterbag.com/ vráti zhodu napríklad pre https://store.betterbag.com/.
Užívatelia Macu môžu zobraziť a spravovať svoje informácie o lístku v Kerberose pomocou apky Ticket Viewer umiestnenej v priečinku /Systém/Knižnica/CoreServices/. Ďalšie informácie sa zobrazia po kliknutí na menu Lístok a vybratí možnosti Diagnostické informácie. Ak to konfiguračný protokol podporuje, užívatelia môžu vyžiadať, zobraziť alebo zrušiť lístky Kerberos aj pomocou nástrojov príkazového riadka kinit, klist, resp. kdestroy.