ความปลอดภัยของการลงชื่อเข้าครั้งเดียว
การลงชื่อเข้าครั้งเดียว
iOS และ iPadOS รองรับการตรวจสอบสิทธิ์ของเครือข่ายองค์กรผ่านการลงชื่อเข้าครั้งเดียว (SSO) SSO ทำงานกับเครือข่ายที่ใช้ Kerberos เพื่อตรวจสอบสิทธิ์ผู้ใช้กับบริการที่พวกเขาได้รับอนุญาตให้เข้าถึง SSO สามารถใช้ได้สำหรับกิจกรรมเครือข่ายจำนวนมาก ตั้งแต่เซสชั่น Safari ที่ปลอดภัยไปจนถึงแอปของบุคคลหรือบริษัทอื่น การตรวจสอบสิทธิ์ที่ใช้ใบรับรอง เช่น PKINIT ก็ได้รับการรองรับด้วยเช่นกัน
macOS รองรับการตรวจสอบสิทธิ์ของเครือข่ายองค์กรโดยใช้ Kerberos แอปสามารถใช้ Kerberos เพื่อตรวจสอบสิทธิ์ผู้ใช้กับบริการที่พวกเขาได้รับอนุญาตให้เข้าถึง Kerberos ยังสามารถใช้ได้สำหรับกิจกรรมเครือข่ายจำนวนมาก ตั้งแต่เซสชั่น Safari และการตรวจสอบสิทธิ์ระบบไฟล์เครือข่ายที่ปลอดภัย ไปจนถึงแอปของบุคคลหรือบริษัทอื่น การตรวจสอบสิทธิ์โดยใบรับรองได้รับการรองรับ อย่างไรก็ตาม แอปจะต้องนำ API ของนักพัฒนามาใช้
iOS, iPadOS และ macOS SSO ใช้โทเค็น SPNEGO และโปรโตคอล HTTP Negotiate เพื่อทำงานร่วมกับเกตเวย์การตรวจสอบสิทธิ์ที่ใช้ Kerberos และระบบการตรวจสอบสิทธิ์แบบผสานกับ Windows ที่รองรับตั๋ว Kerberos การรองรับ SSO ใช้โปรเจ็กต์โอเพนซอร์ซ Heimdal
ประเภทการเข้ารหัสต่อไปนี้ได้รับการรองรับใน iOS, iPadOS และ macOS:
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
DES3-CBC-SHA1
ARCFOUR-HMAC-MD5
Safari รองรับ SSO และแอปของบุคคลหรือบริษัทอื่นที่ใช้ API เครือข่าย iOS และ iPadOS มาตรฐานก็สามารถได้รับการกำหนดค่าเพื่อใช้งานด้วยเช่นกัน ในการกำหนดค่า SSO นั้น iOS และ iPadOS รองรับเพย์โหลดโปรไฟล์การกำหนดค่าที่อนุญาตให้โซลูชั่นการจัดการอุปกรณ์เคลื่อนที่ (MDM) เรียกใช้การตั้งค่าที่จำเป็น ซึ่งรวมถึงการตั้งค่าชื่อหลักของผู้ใช้ (ซึ่งก็คือบัญชีผู้ใช้ Active Directory) และการตั้งค่าบริเวณ Kerberos เช่นเดียวกับการกำหนดค่าว่าแอปและ URL เว็บ Safari ใดที่ควรได้รับอนุญาตให้ใช้ SSO
ในการกำหนดค่า Kerberos ใน macOS ให้รับตั๋วด้วย Ticket Viewer, เข้าสู่ระบบโดเมน Windows Active Directory หรือใช้เครื่องมือบรรทัดคำสั่ง kinit
การลงชื่อเข้าครั้งเดียวแบบขยายได้
นักพัฒนาแอปสามารถมอบการใช้การลงชื่อเข้าครั้งเดียวของตนเองโดยใช้ส่วนขยาย SSO ได้ ส่วนขยาย SSO ใช้งานเมื่อแอปเว็บหรือแอปดั้งเดิมต้องการใช้การให้ข้อมูลประจำตัวสำหรับการตรวจสอบสิทธิ์ของผู้ใช้ นักพัฒนาสามารถมอบส่วนขยายได้สองประเภท: ส่วนขยายที่เปลี่ยนเส้นทางไปยัง HTTPS และส่วนขยายที่ใช้กลไกการร้องถามและตอบกลับ เช่น Kerberos ซึ่งช่วยให้การลงชื่อเข้าครั้งเดียวแบบขยายได้รองรับแบบแผนการตรวจสอบสิทธิ์ OpenID, OAuth, SAML2 และ Kerberos
ในการใช้ส่วนขยายการลงชื่อเข้าครั้งเดียว แอปสามารถใช้ API AuthenticationServices หรือพึ่งพากลไกการสกัดกั้น URL ที่ระบบปฏิบัติการมีให้ได้ WebKit และ CFNetwork มีชั้นการสกัดกั้นทำให้สามารถรองรับการลงชื่อเข้าแบบครั้งเดียวได้อย่างราบรื่นสำหรับแอปดั้งเดิมหรือแอป WebKit ใดๆ สำหรับการใช้งานส่วนขยายการลงชื่อเข้าครั้งเดียว ต้องมีการติดตั้งการกำหนดค่าโดยผู้ดูแลระบบผ่านโปรไฟล์การจัดการอุปกรณ์เคลื่อนที่ (MDM) นอกจากนี้ ส่วนขยายแบบเปลี่ยนเส้นทางต้องใช้เพย์โหลดโดเมนที่เกี่ยวข้องเพื่อพิสูจน์ว่าเซิร์ฟเวอร์ข้อมูลประจำตัวที่รองรับรับรู้ถึงการมีอยู่ของส่วนขยาย
ส่วนขยายเดียวที่มาพร้อมระบบปฏิบัติการคือส่วนขยาย Kerberos SSO