Apple aygıtlarıyla Tek Oturum Açma’ya giriş
Kuruluşlar genellikle kullanıcıların uygulamalardaki ve web sitelerindeki giriş yapma deneyimini iyileştirmek için tasarlanan Tek Oturum Açmadan (SSO) yararlanır. SSO ile, birden fazla uygulamaya veya sisteme kullanıcı kimliğini yeniden onaylamadan erişmek için genel bir kimlik doğrulama işlemi kullanılır. SSO, kullanıcının kimlik bilgilerini (örneğin, parolasını) kaydetmek ve her uygulamada ya da sistem yeniden kullanmak yerine, ilk kimlik doğrulama tarafından sağlanan belirteci kullanır ve kullanıcılara tek seferlik parola kavramı görünümünü verir.
Örneğin, kimlik sağlayıcınıza (IdP) giriş yapıp sonra parolanızı yeniden girmeden kurum içinde geliştirilen özel uygulamalarınıza ve web sitelerinize sorunsuzca eriştiğinizde SSO gerçekleşir. Uygulamaların ve sistemlerin tümü, kullanıcıları tanımlamak ve grup üyelikleri sağlamak için IdP’ye güvenecek şekilde ayarlanır; birlikte bir güvenlik alanı oluştururlar.
SSO ile modern kimlik doğrulama
Modern kimlik doğrulama, bulut uygulamaları tarafından kullanan web tabanlı kimlik doğrulama protokolleri kümesine referans verir. Örneğin SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 veya daha yenisi) ve Open ID Connect (OIDC). Bu protokoller internet üzerinden iyi çalışır ve bağlantılarını HTTPS kullanarak şifreler. SAML 2.0, bir kuruluşun ağları ve bulut uygulamaları arasında birleştirmek için sıklıkla kullanılır. Güven alanlarını geçerken; örneğin, şirket içi alanınızdan bir dizi bulut uygulamasına erişirken, federasyon kullanılır.
Not: Kullanıcı Kaydı ile kullanmak üzere OAuth 2.0’dan yararlanmak için aygıt yönetimi servisinin desteklemek istediği herhangi bir IdP ile OAuth 2.0 için sunucu tarafında destek uygulaması gerekir.
Bu protokollerle tek oturum açma, satıcıya ve ortama göre değişir. Örneğin, bir kuruluşun ağında Active Directory Federation Services (AD FS) kullandığınızda AD FS, SSO için Kerberos ile çalışır ve siz internet yoluyla istemcilerin kimlik doğrulamasını yaparken AD FS tarayıcı çerezlerini kullanabilir. Modern kimlik doğrulama protokolleri, kullanıcının kimliğini nasıl açıklayacağını dikte etmez. Bu protokollerin birçoğu, bilinmeyen istemcilerden kimlik doğrularken SMS kodu gibi çok faktörlü kimlik doğrulama birlikte kullanılır. Bazı satıcılar, kimlik doğrulama işleminde yardımcı olması için bilinen aygıtları tanımlamak için aygıtta sertifikalar sağlar.
Kimlik sağlayıcıları (IdP), Tek Oturum Açma genişletmeleri kullanımıyla iOS’te, iPadOS’te, macOS’te ve visionOS’te SSO’yu destekleyebilir. Bu genişletmeler, IdP’lerin kullanıcıları için modern kimlik doğrulama protokolleri uygulamalarına izin verir.
Kerberos
Kerberos, SSO için büyük ağlarda kullanılan popüler bir kimlik doğrulama protokolüdür. Bu ayrıca Active Directory tarafından kullanılan saptanmış protokoldür. Platformlar genelinde çalışır, şifreleme kullanır ve yeniden oynatma saldırılarına karşı korur. Kullanıcının kimliğini doğrulamak için parolaları, sertifika kimliklerini, akıllı kartları, NFC aygıtlarını ya da diğer donanım kimlik doğrulama ürünlerini kullanabilir. Kerberos gerçekleştiren sunucu Anahtar Dağıtım Merkezi (KDC) olarak bilinir. Apple aygıtlarının kullanıcıların kimliğini doğrulamak için bir ağ bağlantısı üzerinden KDC’ye bağlanması gerekir.
Tüm istemciler ve sunucular doğrudan KDC bağlantısına sahip olduğundan Kerberos, kuruluşun dahili veya özel ağında iyi çalışır. Kurumsal ağda olmayan istemciler bağlanmak ve kimlik doğrulamak için sanal özel ağ (VPN) kullanmalıdır. Kerberos, bulut veya internet tabanlı uygulamalar için ideal değildir. Bunun nedeni, bu uygulamalarda kurumsal ağa doğrudan bağlantı olmamasıdır. Bulut veya internet tabanlı uygulamalar için (aşağıda açıklanan) modern kimlik doğrulama daha uygundur.
macOS, bir Active Directory ortamı ile entegre edildiğinde Kerberos’a tüm kimlik doğrulama etkinlikleri için öncelik verir. Bir kullanıcı Mac’te Active Directory hesabını kullanarak oturum açtığında, Active Directory alan denetleyicisinden bir Kerberos anahtar verme anahtarı (TGT) istenir. Kullanıcı, Kerberos kimlik doğrulamasını destekleyen alanda herhangi bir servisi veya uygulamayı kullanmaya çalıştığında kullanıcının yeniden kimlik doğrulamasına gerek kalmadan o servis için bilet istemek üzere TGT kullanılır. Ekran koruyucuyu kapatmak için parola gerektirecek bir politika ayarlanmışsa, macOS başarılı kimlik doğrulamadan sonra TGT’yi yenilemeye çalışır.
Kerberos destekli sunucuların düzgün bir şekilde çalışması için hem ileri hem de geri Alan Adı Sistemi (DNS) kayıtlarının doğru olması gerekir. Herhangi bir sunucu ve istemci için saat sapmasının 5 dakikadan az olması gerektiği için sistemin saati de önemlidir. En başarılı yöntem, tarih ve saati time.apple.com gibi bir Ağ Zaman Protokolü (NTP) servisini kullanarak otomatik olarak ayarlamaktır.
Desteklenen uygulamalar
iOS, iPadOS ve visionOS, ağ bağlantılarını ve kimlik doğrulamayı yönetmek için NSURLSession veya URLSession sınıfını kullanan her uygulamaya esnek SSO desteği sunar. Apple, tüm geliştiricilere ağ bağlantılarını kendi uygulamalarına sorunsuz bir şekilde entegre etmeleri için bu sınıfları sağlar.
Kerberos kimlik doğrulamasını kullanan tüm Mac uygulamaları SSO ile çalışır. Bunların içinde Safari, Mail ve Takvim gibi macOS’te yerleşik birçok uygulama ve dosya paylaşma, ekran paylaşma ve güvenli kabuk (SSH) gibi servisler sayılabilir. Birçok üçüncü parti uygulama da Kerberos’u destekler.
Tek Oturum Açma’yı ayarlama
SSO’yu ayarlamak için aygıt yönetimi servisini kullanarak gerekli konfigürasyonu uygulayın. Konfigürasyon, IdP ile iletişim kuran Tek Oturum Açma genişletmesi hakkında bilgilerin yanı sıra SSO’yu kullanmasına izin verilen veya kullanması sınırlanan uygulamalar ve Safari web URL’leri hakkında bilgileri de içermelidir. iOS’te, iPadOS’te, macOS’te ve visionOS’te bulunan Apple tarafından sağlanan Kerberos Tek Oturum Açma genişletmesini de kullanabilirsiniz.
Bir örüntü, istenen URL’nin önekiyle karşılaştırılırken tek dize örüntü eşleştirmesi kullanılır. Mesela, örüntüler https:// veya http:// ile başlamalı ve farklı kapı numaralarıyla eşleşmemelidir. URL eşleştirme örüntüsü eğik çizgi (/) ile bitmiyorsa, sona bir tane eklenir.
Örneğin https://www.betterbag.com/ adresi https://www.betterbag.com/index.html ile eşleşir ancak http://www.betterbag.com veya https://www.betterbag.com:443/ ile eşleşmez.
Eksik alt alanların belirtilmesi için tek bir joker karakter de kullanılabilir. Örneğin https://*.betterbag.com/ adresi https://store.betterbag.com/ ile eşleşir.