iPadOS’te Paylaşılan iPad güvenliği
Paylaşılan iPad, iPad dağıtımlarında kullanılabilecek çok kullanıcılı bir moddur. Her kullanıcının belgelerini ve verilerini ayrı tutarak kullanıcıların bir iPad’i paylaşmalarına olanak tanır. Her kullanıcı, kendine ayrılmış özel bir depolama konumuna sahip olur; bu işlem, kullanıcının kimlik bilgileri tarafından korunan bir APFS (Apple File System) disk bölümü yaratılarak gerçekleştirilir. Paylaşılan iPad, kuruluş tarafından verilen ve kuruluşa ait olan bir Yönetilen Apple Kimliği kullanılmasını gerektirir.
Paylaşılan iPad ile kullanıcı, birden fazla kullanıcı tarafından kullanılacak şekilde ayarlanmış herhangi bir kuruluşa ait aygıta giriş yapabilir. Kullanıcı verileri, her biri kendi veri koruma alanında ve hem UNIX izinleri hem de Sandbox ile korunan ayrı dizinler şeklinde bölüntülenir. iPadOS 13.4 veya daha yenisinde kullanıcılar geçici bir oturum da açabilirler. Kullanıcı geçici oturumu kapattığında kullanıcının APFS disk bölümü silinir ve kullanıcıya ayrılan alan sisteme geri verilir.
Paylaşılan iPad’e giriş yapma
Paylaşılan iPad’e giriş yapılırken hem yerel hem de birleştirilmiş Yönetilen Apple Kimlikleri desteklenir. Bir birleştirilmiş hesap ilk kez kullanılırken kullanıcı, kimlik sağlayıcının (IdP) giriş portalına yönlendirilir. Kimlik doğrulandıktan sonra yardımcı Yönetilen Apple Kimlikleri için kısa ömürlü bir erişim jetonu verilir ve oturum açma süreci yerel Yönetilen Apple Kimlikleri giriş yapma sürecine benzer şekilde devam eder. Giriş yapıldıktan sonra Paylaşılan iPad’deki Ayarlama Yardımcısı, kullanıcıdan aygıtta bulunan yerel verileri korumak ve gelecekte oturum açma ekranında kimlik doğrulamak için kullanılacak bir parola (kimlik bilgisi) oluşturmasını ister. Kullanıcının, birleştirilmiş hesabı kullanarak kendi Yönetilen Apple Kimliği’ne bir kez giriş yapıp aygıtının kilidini açtığı tek kullanıcılı bir aygıt gibi Paylaşılan iPad’de de kullanıcı, birleştirilmiş hesabı kullanarak bir kez giriş yapar ve bundan sonra oluşturduğu parolayı kullanır.
Bir kullanıcı birleştirilmiş kimlik doğrulama olmadan giriş yaptığında Yönetilen Apple Kimliği, Apple Kimlik Servisi (IDS) ile SRP protokolü kullanılarak doğrulanır. Kimlik doğrulama başarılı olursa aygıta özel kısa ömürlü bir erişim jetonu verilir. Kullanıcı, aygıtı daha önce kullanmışsa aynı kimlik bilgisi kullanılarak kilidi açılan yerel bir kullanıcı hesabına zaten sahiptir.
Kullanıcı, aygıtı daha önce kullanmadıysa veya geçici oturum özelliğini kullanıyorsa Paylaşılan iPad yeni bir UNIX kullanıcı kimliği, kullanıcının kişisel verilerinin depolanacağı bir APFS disk bölümü ve yerel bir anahtar zinciri hazırlar. Depolama, APFS disk bölümü yaratılırken kullanıcıya ayrıldığı için yeni bir disk bölümü yaratmak için yeterli yer olmayabilir. Böyle bir durumda sistem, verilerinin bulutla eşzamanlanması bitmiş mevcut bir kullanıcı belirler ve yeni kullanıcının giriş yapabilmesi için bu kullanıcıyı aygıttan çıkarır. Çok düşük bir ihtimal de olsa mevcut kullanıcıların hiçbiri bulut verilerini karşıya yüklemeyi tamamlamadıysa yeni kullanıcı giriş yapamaz. Yeni kullanıcının giriş yapması için başka bir kullanıcının verilerinin eşzamanlanmasının bitmesini beklemesi veya bir yöneticiden mevcut kullanıcı hesaplarından birini zorla silmesini istemesi gerekir. Böyle bir durumda veri kaybı yaşanabilir.
Aygıt internete bağlı değilse (örneğin kullanıcının Wi-Fi erişim noktası yoksa) sınırlı sayıda gün için yerel hesapta kimlik doğrulama gerçekleştirilebilir. Bu durumda, yalnızca daha önceden var olan yerel hesaplara veya geçici bir oturuma sahip kullanıcılar giriş yapabilir. Zaman sınırı dolduktan sonra, kullanıcıların yerel bir hesap olsa bile çevrimiçi olarak kimlik doğrulaması yapmaları gerekir.
Kullanıcının yerel hesabı yaratıldıktan veya hesabın kilidi açıldıktan sonra (kimlik uzaktan doğrulanıyorsa) Apple sunucuları tarafından verilen kısa ömürlü jeton, iCloud’a giriş yapmaya izin veren iCloud jetonuna dönüştürülür. Ardından kullanıcının ayarları iCloud’dan geri yüklenir ve belgeleri ile verileri eşzamanlanır.
Kullanıcı oturumu etkinken aygıt da çevrimiçiyse belgeler ve veriler yaratıldıkça veya değiştirildikçe iCloud’a yüklenir. Buna ek olarak, arka planda eşzamanlama mekanizması kullanıcı çıkış yaptıktan sonra değişikliklerin iCloud’a veya NSURLSession arka plan oturumlarını kullanan diğer web servislerine iletilmesini sağlamaya yardımcı olur. Bu kullanıcı için arka planda eşzamanlama tamamlandığında, kullanıcının APFS disk bölümünün bağlantısı kesilir ve kullanıcı tekrar giriş yapıncaya dek yeniden bağlanamaz.
Geçici oturumlarda iCloud ile veri eşzamanlaması yapılmaz ve geçici bir oturumda Box veya Google Drive gibi üçüncü parti bir eşzamanlama servisine giriş yapılabilse bile geçici oturum sona erdiğinde verileri eşzamanlamayı sürdürme özelliği yoktur.
Paylaşılan iPad’den çıkış yapma
Kullanıcı Paylaşılan iPad’den çıkış yaptığında, o kullanıcının anahtar çantası hemen kilitlenir ve tüm uygulamalar kapatılır. Yeni kullanıcının giriş yapma durumunu hızlandırmak için iPadOS bazı sıradan çıkış yapma eylemlerini geçici olarak erteler ve yeni kullanıcıya bir oturum açma penceresi sunar. Bu süre içinde (yaklaşık 30 saniye) bir kullanıcı giriş yaparsa Paylaşılan iPad ertelenen silmeyi yeni kullanıcı hesabına giriş yapmanın bir parçası olarak gerçekleştirir. Ancak, Paylaşılan iPad atıl kalırsa ertelenen silmeyi başlatır. Silme aşaması sırasında, çıkış yapılmış gibi Oturum Açma Penceresi yeniden başlatılır.
Geçici oturum sona erdiğinde, Paylaşılan iPad, oturum kapatma dizisinin tamamını gerçekleştirir ve geçici oturumun APFS disk bölümünü hemen siler.