Tekli oturum açma güvenliği
Tekli oturum açma
iOS ve iPadOS, kurumsal ağlarda tekli oturum açma (SSO) aracılığıyla kimlik doğrulamayı destekler. SSO, kullanıcıların erişim yetkisine sahip olduğu servislerde kimlik doğrulamasını yapmak için Kerberos tabanlı ağlarla çalışır. SSO, güvenli Safari oturumlarından üçüncü parti uygulamalara kadar çeşitli ağ etkinlikleri için kullanılabilir. PKINIT gibi sertifika tabanlı kimlik doğrulama da desteklenir.
macOS, kurumsal ağlarda Kerberos kullanarak kimlik doğrulamayı destekler. Uygulamalar, kullanıcıların erişim yetkisine sahip olduğu servislerde kimlik doğrulamalarını yapmak için Kerberos’u kullanabilir. Kerberos, güvenli Safari oturumları ve ağ dosya sisteminde kimlik doğrulamadan üçüncü parti uygulamalara kadar çeşitli ağ etkinlikleri için de kullanılabilir. Sertifika tabanlı kimlik doğrulama desteklenir ancak geliştirici API’sinin uygulama tarafından kullanılması gerekir.
iOS, iPadOS ve macOS SSO, Kerberos tabanlı kimlik doğrulama ağ geçitleri ve Kerberos biletlerini destekleyen Windows Tümleşik Kimlik Doğrulama sistemleri ile çalışmak için SPNEGO jetonlarını ve HTTP Anlaşma protokolünü kullanır. SSO desteği, açık kaynaklı Heimdal projesini baz alır.
iOS, iPadOS ve macOS üzerinde aşağıdaki şifreleme türleri desteklenir:
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
DES3-CBC-SHA1
ARCFOUR-HMAC-MD5
Safari SSO’yu destekler ve standart iOS ve iPadOS ağ API’lerini kullanan üçüncü parti uygulamalar da bunu kullanacak şekilde yapılandırılabilir. iOS ve iPadOS, SSO’yu yapılandırmak için mobil aygıt yönetimi (MDM) çözümlerinin gerekli ayarları iletmesine izin veren bir konfigürasyon profili verisini destekler. Buna kullanıcı ana adının (Active Directory kullanıcı hesabı) ve Kerberos bölge ayarlarının yapılmasının yanı sıra hangi uygulamaların ve Safari web URL’lerinin SSO’yu kullanmasına izin verileceğinin ayarlanması da dahildir.
macOS’te Kerberos’u yapılandırmak için Bilet Görüntüleyici ile bilet alın, bir Windows Active Directory alanında oturum açın veya kinit
komut satırı aracını kullanın.
Genişletilebilir tekli oturum açma
Uygulama geliştiriciler, SSO genişletmelerini kullanarak kendi tekli oturum açma uygulamalarını sunabilirler. Yerel bir uygulamanın veya bir web uygulamasının kullanıcı kimlik doğrulaması için bazı kimlik sağlayıcıları kullanması gerektiğinde SSO genişletmeleri çağrılır. Geliştiriciler iki tür genişletme sağlayabilir: HTTPS’e yeniden yönlendirenler ve Kerberos gibi bir meydan okuma/karşılık verme mekanizması kullananlar. Bu; OpenID, OAuth, SAML2 ve Kerberos kimlik doğrulama düzenlerinin genişletilebilir tekli oturum açma tarafından desteklenmesini sağlar.
Bir uygulama, tekli oturum açma genişletmesini kullanmak için AuthenticationServices API’sini kullanabilir veya işletim sisteminin sunduğu URL yakalama mekanizmasına güvenebilir. WebKit ve CFNetwork, yerel uygulamada veya WebKit uygulamasında sorunsuz bir tekli oturum açma desteğine izin veren bir yakalama katmanı sunar. Tekli oturum açma genişletmesinin çağrılması için yönetici tarafından sağlanmış bir konfigürasyonun bir mobil aygıt yönetimi (MDM) profili aracılığıyla yüklenmesi gerekir. Ayrıca yeniden yönlendirme türündeki genişletmelerin, destekledikleri kimlik sunucusunun kendilerinin varlığından haberdar olduğunu kanıtlamak için İlişkili Alan verisini kullanması gerekir.
İşletim sistemiyle sağlanan tek genişletme Kerberos SSO genişletmesidir.