Apple aygıtlarıyla Kerberos Tek Oturum Açma genişletmesi
Kerberos Tek Oturum Açma (Kerberos SSO) genişletmesi, kuruluşunuzun şirket içi Active Directory alanından veya başka kimlik sağlayıcı alanından bilet verme bileti (TGT) alma işlemini basitleştirip kullanıcıların web siteleri, uygulamalar ve dosya sunucuları gibi kaynaklarda sorunsuz bir şekilde kimlik doğrulamalarına olanak tanır.
Kerberos SSO genişletmesini kullanma gereksinimleri
Kerberos SSO genişletmesini kullanmak için şunlara sahip olmanız gerekir:
Genişletilebilir Tek Oturum Açma (SSO) konfigürasyon profili verisi desteği ile bir mobil aygıt yönetimi (MDM) çözümüyle yönetilen aygıtlar.
Şirket içi Active Directory alanının sunulduğu ağa erişim. Bu ağ erişimi Wi-Fi, Ethernet veya VPN yoluyla olabilir.
Windows Server 2008 veya daha yenisini kullanan bir Active Directory alanı. Kerberos SSO genişletmesi, geleneksel bir şirket içi Active Directory alanı gerektiren Microsoft Entra ID ile kullanım için tasarlanmamıştır.
iOS’te, iPadOS’te ve visionOS 1.1’de genişletme
iOS’te, iPadOS’te ve visionOS 1.1’de Kerberos SSO genişletmesi yalnızca bir HTTP 401 Anlaşma meydan okuması aldıktan sonra etkinleştirilir. Bu genişletme, pil ömründen tasarruf etmek için Active Directory site kodları istemez ya da meydan okunana kadar Kerberos TGT’yi yenilemez.
iOS, iPadOS ve visionOS 1.1 için Kerberos SSO genişletmesi özellikleri şunları içerir:
Kimlik doğrulama yöntemleri: Parolalar ve sertifika kimlikleri (PKINIT) de dahil olmak üzere birden fazla farklı kimlik doğrulama yöntemi için destek sunar. Sertifika kimliği bir CryptoTokenKit akıllı kartında, MDM tarafından sağlanan bir kimlikte ya da yerel anahtar zincirinde olabilir. Kimlik doğrulama sorgu kutusu ayrı bir web sitesinin URL’sini gösteriyor veya kullanıyor olduğunda genişletme Active Directory parolasını değiştirmeyi de destekler.
Parolanın süresi dolmuş: Hemen kimlik doğrulamadan sonra, parola değiştikten sonra ve gün içinde düzenli olarak alandan gelen parolanın son kullanma tarihi bilgilerini ister. Bu bilgiler, parola son kullanma tarihi bildirimlerini sağlamak ve kullanıcı başka bir aygıtta parolasını değiştirmişse yeni kimlik bilgilerini istemek için kullanılır.
VPN desteği: Her uygulama için VPN gibi çeşitli VPN teknolojilerini içeren pek çok farklı ağ konfigürasyonunu destekler. Her uygulama için VPN kullanılıyorsa, Kerberos SSO genişletmesi her uygulama için VPN’i yalnızca istekte bulunan uygulama veya web sitesi bunu kullanacak şekilde ayarlanmışsa kullanır.
Alan ulaşılabilirliği: Alana şu anki ağ bağlantısı için Active Directory site kodlarını istemek ve ardından önbelleğe almak için alana bir LDAP ping kullanın. Diğer işlemler için site kodunu Kerberos istekleri ile paylaşır ve bunu pil ömründen tasarruf etmek için yapar. Daha fazla bilgi için 6.3.3 LDAP Ping başlıklı Microsoft belgesine bakın.
Anlaşma meydan okumaları: Web siteleri, NSURLSession istekleri ve arka plandaki NSURLSession görevleri için HTTP 401 Anlaşma meydan okumalarını işler.
macOS’te genişletme
macOS’te Kerberos SSO genişletmesi, ileriye yönelik olarak gerektiğinde kullanıcının kimlik doğrulama yapmaya hazır olmasını sağlamak için ağ durumu değişiklikleri üzerinden bir Kerberos TGT alır. Kerberos SSO genişletmesi, kullanıcılarınızın Active Directory hesaplarını yönetmesine de yardımcı olur. Ek olarak, kullanıcıların kendi Active Directory parolalarını değiştirmesine olanak tanır ve parolanın son kullanma tarihinin yaklaştığını kullanıcılara bildirir. Kullanıcılar, yerel hesap parolalarını Active Directory parolalarıyla eşleşecek şekilde de değiştirebilirler.
Kerberos SSO genişletmesinin şirket içi Active Directory alanında kullanılması gerekir. Aygıtların Kerberos SSO genişletmesini kullanmak için bir Active Directory alanına katılmış olmaları gerekmez. Ayrıca kullanıcıların kendi Mac bilgisayarlarında Active Directory hesaplarıyla veya taşınabilir hesaplarla oturum açması gerekmez; Apple bunun yerine yerel hesapların kullanılmasını önerir.
Kullanıcılar Kerberos SSO genişletmesinde kimlik doğrulamalıdır. Bu işlemi birçok şekilde başlayabilirler:
Mac, Active Directory alanının kullanılabilir olduğu ağa bağlıysa Genişletilebilir SSO konfigürasyon profili yüklendikten hemen sonra kullanıcıdan kimlik doğrulaması istenir.
Profil zaten yüklüyse; Mac, Active Directory alanının kullanılabildiği bir ağa her bağlandığında kullanıcıdan hemen kimlik doğrulaması istenir.
Kerberos kimlik doğrulamasını kabul eden veya gerektiren bir web sitesine erişmek için Safari veya başka bir uygulama kullanılıyorsa kullanıcıdan kimlik doğrulaması istenir.
Kullanıcı Kerberos SSO genişletmesi menü ekini seçip ardından Giriş Yap’ı tıklayabilir.
macOS için Kerberos SSO genişletmesi özellikleri şunları içerir:
Kimlik doğrulama yöntemleri: Genişletme, parolalar ve sertifika kimlikleri (PKINIT) de dahil olmak üzere birden fazla farklı kimlik doğrulama yöntemini destekler. Sertifika kimliği bir CryptoTokenKit akıllı kartında, MDM tarafından sağlanan bir kimlikte ya da yerel anahtar zincirinde olabilir. Kimlik doğrulama sorgu kutusu ayrı bir web sitesinin URL’sini gösteriyor veya kullanıyor olduğunda genişletme AD parolasını değiştirmeyi de destekler.
Parolanın süresi dolmuş: Genişletme, hemen kimlik doğrulamadan sonra, parola değiştikten sonra ve gün içinde düzenli olarak alandan gelen parolanın son kullanma tarihi bilgilerini ister. Bu bilgiler, parola son kullanma tarihi bildirimlerini sağlamak ve kullanıcı başka bir aygıtta parolasını değiştirmişse yeni kimlik bilgilerini istemek için kullanılır.
VPN desteği: Genişletme, her uygulama için VPN gibi VPN servislerini içeren pek çok farklı ağ konfigürasyonunu destekler. VPN bir Ağ Genişletme VPN’iyse, kimlik doğrulama veya parola değiştirme sırasında otomatik olarak bir bağlantı başlatır. Aksine, bağlantı her uygulama için VPN ise, Kerberos SSO genişletmesi menü ekstrası her zaman ağın kullanılabilir olduğunu gösterir. Bunun nedeni, kurumsal ağ kullanılabilirliğini belirlemek için bir LDAP ping kullanmasıdır. Her uygulama için VPN bağlantısı kesildiğinde LDAP ping onu yeniden bağlar, bunun sonucunda sürekli bir her uygulama için VPN bağlantısı olur. Gerçekte, Kerberos SSO genişletmesi isteğe bağlı Kerberos trafiği için tetiklenmiştir.
Kerberos SSO genişletmesini her uygulama için VPN ile kullanmak üzere şu girişleri Uygulamalar Arası Katman VPN Eşleme’nize ekleyin:
com.apple.KerberosExtension using designated requirement identifier com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent using designated requirement identifier com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra using designated requirement: identifier com.apple.KerberosMenuExtra and anchor apple
Alan ulaşılabilirliği: Genişletme, alana şu anki ağ bağlantısı için AD Site kodlarını istemek ve ardından önbelleğe almak için alana bir LDAP ping kullanır. Bunu pil ömrünü korumak için yapar. Diğer işlemler için site kodunu Kerberos istekleri ile de paylaşır. Daha fazla bilgi için 6.3.3 LDAP Ping başlıklı Microsoft belgesine bakın.
Kerberos TGT yenileme: Genişletme, Kerberos TGT’nizi her zaman yeni tutmaya çalışır. Bunu, ağ bağlantılarını ve Kerberos önbellek değişikliklerini izleyerek yapar. Kurumsal ağınız kullanılabilir olduğunda ve yeni bir anahtar gerektiğinde ileriye yönelik olarak yeni bir tane ister. Kullanıcı otomatik olarak giriş yapmayı seçerse, genişletme kullanıcının parolasının süresi dolana kadar yeni bir anahtarı sorunsuzca ister. Kullanıcı otomatik olarak giriş yapmayı seçmediyse Kerberos kimlik bilgilerinin süresi dolduğunda (genellikle 10 saat) kimlik bilgileri istenir.
Parola eşzamanlama: Genişletme yerel hesap parolasını Active Directory parolasıyla eşzamanlar. İlk eşzamanlamadan sonra, hesap parolalarının hala eşzamanlı olup olmadığını belirlemek için yerel ve Active Directory hesap parolalarının değişiklik tarihlerini izler. Çok fazla başarısız deneme nedeniyle yerel veya AD hesabını kilitlemeyi engellemek için oturum açma girişimi yerine tarihleri kullanır.
Betikleri çalıştırma: Genişletme, çeşitli olaylar gerçekleştiğinde bildirim gönderir. Bu bildirimler, işlevselliği genişletmeyi desteklemek amacıyla çalıştırmak için betikleri başlatabilir. Kerberos genişletme işlemleri korumalı olduğundan ve korumalı alan betiklerin çalıştırılmasını engellemeye yardımcı olduğundan, betikleri doğrudan çalıştırmak yerine bildirimler gönderilir. Ayrıca, betiklerin genişletmenin durumunu okumasına ve giriş yapma gibi genel eylemleri istemesine izin veren
app-ssoadlı bir komut satırı aracı vardır.Menü ekstrası: Genişletme; kullanıcının giriş yapmasına, yeniden bağlanmasına, parolayı değiştirmesine, çıkış yapmasına ve bağlantı durumunu görüntülemesine izin veren bir menü ekstrası içerir. Yeniden bağlanma seçeneği her zaman yeni bir TGT alır ve alandaki parola son kullanma tarihi bilgilerini yeniler.
Hesap kullanımı
Kerberos SSO genişletmesi Mac’inizin Active Directory’ye bağlı olmasını veya kullanıcının Mac’te taşınabilir bir hesapla oturum açmasını gerektirmez. Apple, Kerberos SSO genişletmesini yerel bir hesapla kullanmanızı önerir. Kerberos SSO genişletmesi, yerel bir hesaptan Active Directory entegrasyonunu geliştirmek için özel olarak yaratılmıştır. Taşınabilir hesapları kullanmayı sürdürmeyi seçerseniz Kerberos SSO genişletmesini yine de kullanabilirsiniz. Taşınabilir hesaplarla kullanıldığında:
Parola eşzamanlama çalışmaz. Active Directory parolanızı değiştirmek için Kerberos SSO genişletmesini kullanırsanız ve Mac’inizde Kerberos SSO genişletmesi ile kullandığınız kullanıcı hesabıyla oturum açtıysanız, parola değişiklikleri Kullanıcılar ve Gruplar tercih bölümünde olduğu gibi çalışır. Ancak harici bir parola değişikliği gerçekleştirirseniz, yani parolanızı bir web sitesinde değiştirirseniz ya da yardım masanız parolanızı sıfırlarsa Kerberos SSO genişletmesi taşınabilir hesabınızın parolasını Active Directory parolanızla eşzamanlı halde geri getiremez.
Kerberos genişletmesi ile bir parola değiştirme URL’si kullanma desteklenmiyor.