Apple aygıtlarıyla tek oturum açmaya giriş
Kuruluşlar genellikle kullanıcıların uygulamalardaki ve web sitelerindeki giriş yapma deneyimini iyileştirmek için tasarlanan tek oturum açmadan (SSO) yararlanır. SSO ile, birden fazla uygulamaya veya sisteme kullanıcı kimliğini yeniden onaylamadan erişmek için genel bir kimlik doğrulama işlemi kullanılır. SSO, kullanıcının kimlik bilgilerini (örneğin, parolasını) kaydetmek ve her uygulamada ya da sistem yeniden kullanmak yerine, ilk kimlik doğrulama tarafından sağlanan belirteci kullanır ve kullanıcılara tek seferlik parola kavramı görünümünü verir.
Örneğin, kurumsal ağınızda Active Directory’ye giriş yapıp sonra kurumsal uygulamalarınıza ve web sitelerinize parolanızı yeniden girmeden sorunsuzca eriştiğinizde SSO gerçekleşir. Uygulamaların ve sistemlerin tümü, kullanıcıları tanımlamak ve grup üyelikleri sağlamak için Active Directory’ye güvenecek şekilde ayarlanır; birlikte bir güvenlik alanı oluştururlar.
Kerberos
Kerberos, SSO için büyük ağlarda kullanılan popüler bir kimlik doğrulama protokolüdür. Bu ayrıca Active Directory tarafından kullanılan saptanmış protokoldür. Platformlar genelinde çalışır, şifreleme kullanır ve yeniden oynatma saldırılarına karşı korur. Kullanıcının kimliğini doğrulamak için parolaları, sertifika kimliklerini, akıllı kartları, NFC aygıtlarını ya da diğer donanım kimlik doğrulama ürünlerini kullanabilir. Kerberos gerçekleştiren sunucu Anahtar Dağıtım Merkezi (KDC) olarak bilinir. Apple aygıtlarının kullanıcıların kimliğini doğrulamak için bir ağ bağlantısı üzerinden KDC’ye bağlanması gerekir.
Tüm istemciler ve sunucular doğrudan KDC bağlantısına sahip olduğundan Kerberos, kuruluşun dahili veya özel ağında iyi çalışır. Kurumsal ağda olmayan istemciler bağlanmak ve kimlik doğrulamak için sanal özel ağ (VPN) kullanmalıdır. Kerberos, bulut veya internet tabanlı uygulamalar için ideal değildir. Bunun nedeni, bu uygulamalarda kurumsal ağa doğrudan bağlantı olmamasıdır. Bulut veya internet tabanlı uygulamalar için (aşağıda açıklanan) modern kimlik doğrulama daha uygundur.
macOS, bir Active Directory ortamı ile entegre edildiğinde Kerberos’a tüm kimlik doğrulama etkinlikleri için öncelik verir. Bir kullanıcı Mac’te Active Directory hesabını kullanarak oturum açtığında, Active Directory alan denetleyicisinden bir Kerberos anahtar verme anahtarı (TGT) istenir. Kullanıcı, Kerberos kimlik doğrulamasını destekleyen alanda herhangi bir servisi veya uygulamayı kullanmaya çalıştığında kullanıcının yeniden kimlik doğrulamasına gerek kalmadan o servis için bilet istemek üzere TGT kullanılır. Ekran koruyucuyu kapatmak için parola gerektirecek bir politika ayarlanmışsa, macOS başarılı kimlik doğrulamadan sonra TGT’yi yenilemeye çalışır.
Kerberos destekli sunucuların düzgün bir şekilde çalışması için hem ileri hem de geri Alan Adı Sistemi (DNS) kayıtlarının doğru olması gerekir. Herhangi bir sunucu ve istemci için saat sapmasının 5 dakikadan az olması gerektiği için sistemin saati de önemlidir. En başarılı yöntem, tarih ve saati time.apple.com gibi bir Ağ Zaman Protokolü (NTP) servisini kullanarak otomatik olarak ayarlamaktır.
SSO ile modern kimlik doğrulama
Modern kimlik doğrulama, bulut uygulamaları tarafından kullanan web tabanlı kimlik doğrulama protokolleri kümesine referans verir. Örneğin SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 veya daha yenisi) ve Open ID Connect (OIDC). Bu protokoller internet üzerinden iyi çalışır ve bağlantılarını HTTPS kullanarak şifreler. SAML2, bir kuruluşun ağları ve bulut uygulamaları arasında birleştirmek için sıklıkla kullanılır. Güven alanlarını geçerken; örneğin, şirket içi alanınızdan bir dizi bulut uygulamasına erişirken, federasyon kullanılır.
Not: OAuth 2.0’dan yararlanmak için MDM çözümünün, Kullanıcı Kaydı ile kullanmak üzere desteklemek istediği herhangi bir kimlik sağlayıcı (IdP) ile OAuth 2.0 için sunucu tarafında destek uygulaması gerekir.
Bu protokollerle tek oturum açma, satıcıya ve ortama göre değişir. Örneğin, bir kuruluşun ağında Active Directory Federation Services (AD FS) kullandığınızda AD FS, SSO için Kerberos ile çalışır ve siz internet yoluyla istemcilerin kimlik doğrulamasını yaparken AD FS tarayıcı çerezlerini kullanabilir. Modern kimlik doğrulama protokolleri, kullanıcının kimliğini nasıl açıklayacağını dikte etmez. Bu protokollerin birçoğu, bilinmeyen istemcilerden kimlik doğrularken SMS kodu gibi çok faktörlü kimlik doğrulama birlikte kullanılır. Bazı satıcılar, kimlik doğrulama işleminde yardımcı olması için bilinen aygıtları tanımlamak için aygıtta sertifikalar sağlar.
Kimlik sağlayıcıları (IdP), tek oturum açma genişletmeleri kullanımıyla iOS’te, iPadOS’te, macOS’te ve visionOS 1.1’de SSO’yu destekleyebilir. Bu genişletmeler, IdP’lerin kullanıcıları için modern kimlik doğrulama protokolleri uygulamalarına izin verir.
Desteklenen uygulamalar
iOS, iPadOS ve visionOS 1.1, ağ bağlantılarını ve kimlik doğrulamayı yönetmek için NSURLSession
veya URLSession
sınıfını kullanan her uygulamaya esnek SSO desteği sunar. Apple, tüm geliştiricilere ağ bağlantılarını kendi uygulamalarına sorunsuz bir şekilde entegre etmeleri için bu sınıfları sağlar.
Kerberos kimlik doğrulamasını kullanan tüm Mac uygulamaları SSO ile çalışır. Bunların içinde Safari, Mail ve Takvim gibi macOS’te yerleşik birçok uygulama ve dosya paylaşma, ekran paylaşma ve güvenli kabuk (SSH) gibi servisler sayılabilir. Microsoft Outlook gibi birçok üçüncü parti uygulama da Kerberos’u destekler.
Tek oturum açmayı ayarlama
SSO’yu, elle yüklenebilen veya MDM ile yönetilebilen konfigürasyon profillerini kullanarak ayarlarsınız. SSO verisi esnek konfigürasyona izin verir. SSO, tüm uygulamalara açık olabilir veya uygulama tanıtıcısıyla, servis URL’siyle veya her ikisiyle birden sınırlanabilir.
Bir örüntü, istenen URL’nin önekiyle karşılaştırılırken tek dize örüntü eşleştirmesi kullanılır. Mesela, örüntüler https:// veya http:// ile başlamalı ve farklı kapı numaralarıyla eşleşmemelidir. URL eşleştirme örüntüsü eğik çizgi (/) ile bitmiyorsa, sona bir tane eklenir.
Örneğin https://www.betterbag.com/ adresi https://www.betterbag.com/index.html ile eşleşir ancak http://www.betterbag.com veya https://www.betterbag.com:443/ ile eşleşmez.
Eksik alt alanların belirtilmesi için tek bir joker karakter de kullanılabilir. Örneğin https://*.betterbag.com/ adresi https://store.betterbag.com/ ile eşleşir.
Mac kullanıcıları, /Sistem/Kitaplık/CoreServices/ klasöründe bulunan Bilet Görüntüleyici’yi kullanarak kendi Kerberos bilet bilgilerini görüntüleyebilir ve yönetebilirler. Bilet menüsünü tıklayıp Tanı Bilgileri’ni seçerek ek bilgiler görebilirsiniz. Konfigürasyon profili izin veriyorsa kullanıcılar, sırasıyla şu komut satırı araçlarını kullanarak da Kerberos biletleri isteyebilir, bunları görüntüleyebilir ve silebilirler: kinit
, klist
ve kdestroy
.