Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 声明式状态报告
- 声明式 App 配置
- 认证凭证和身份资源声明
- 后台任务管理声明式
- “日历”声明式配置
- “证书”声明式配置
- “通讯录”声明式配置
- Exchange 声明式配置
- “谷歌账户”声明式配置
- LDAP 声明式配置
- 旧有交互式描述文件的声明式配置
- 旧有描述文件声明式配置
- “邮件”声明式配置
- 数学笔记和计算器 App 声明式配置
- “密码”声明式配置
- “通行密钥证明”声明式配置
- Safari 浏览器浏览管理声明式配置
- Safari 浏览器扩展管理声明式配置
- “屏幕共享”声明式配置
- 服务配置文件声明式配置
- “软件更新”声明式配置
- “软件更新”设置声明式配置
- 储存空间管理声明式配置
- “已订阅的日历”声明式配置
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange Web 服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
-
- 词汇表
- 文稿修订历史
- 版权和商标
在 Apple 设备上使用单点登录介绍
组织经常使用单点登录 (SSO),其旨在提升用户登录 App 和网站的体验。有了 SSO,多个 App 或系统可通过一个通用的认证过程来进行访问,用户无需重新断言其身份。SSO 不会保存用户的凭证(例如其密码)并将其重新用于每个 App 或系统,而是使用初始认证提供的令牌,为用户呈现一种单次密码概念的体验。
例如,你登录身份提供商 (IdP) 后无缝访问企业内部专有 App 和网站而无需再次输入密码的过程就使用了 SSO。所有 App 和系统都配置为信任 IdP 识别用户身份并提供群组成员身份;它们共同形成一个安全域。
通过 SSO 进行新式验证
新式验证是指云端应用程序使用的一系列基于网页的认证协议。示例包括 SAML 2.0、OAuth 2.0(iOS 16、iPadOS 16.1、visionOS 1.1 或更高版本)以及 Open ID Connect (OIDC)。这些协议使用 HTTPS 加密其连接,非常适合在互联网上使用。SAML 2.0 常用于组织网络和云端应用程序之间的联合。跨信任域时会使用联合,例如从本地域访问一组云端应用程序时。
【注】若要充分利用 OAuth 2.0 配合用户注册使用,设备管理服务需要针对想要支持的任何 IdP 实施服务器端 OAuth 2.0 支持。
使用这些协议的单点登录因供应商和环境的不同而异。例如,Active Directory 联合服务 (AD FS) 在组织网络上使用时可为 SSO 使用 Kerberos,而通过互联网认证客户端时则可使用浏览器 Cookie。新式验证协议并不指明用户证明其身份的方式。从未知客户端进行认证时,其中许多协议都会与多重认证(如短信验证码)配合使用。某些供应商会在设备上预置证书来识别未知设备,从而在认证过程中提供协助。
在 iOS、iPadOS、macOS 和 visionOS 中通过使用单点登录扩展,IdP 可以支持 SSO。这些扩展允许 IdP 为其用户实施新式认证协议。
Kerberos
Kerberos 是大型网络中常用的 SSO 认证协议,也是 Active Directory 使用的默认协议。Kerberos 可跨平台工作,使用加密,并且可防范重放攻击。还可使用密码、证书身份、智能卡、NFC 设备或其他硬件认证产品来认证用户。执行 Kerberos 的服务器称为密钥分发中心 (KDC)。若要认证用户,Apple 设备需要通过网络连接联系 KDC。
Kerberos 非常适用于组织内部或私有网络,因为所有客户端和服务器都直接连接到 KDC。未在企业网络上的客户端需要使用虚拟专用网络 (VPN) 连接和认证。Kerberos 并非完美适用于基于云端或互联网的 App。这是因为这些应用程序无法直接接入企业网络。对于基于云端或互联网的 App,新式认证(如下所述)更加适合。
集成到 Active Directory 环境时,macOS 将优先使用 Kerberos 进行所有认证活动。用户使用 Active Directory 账户登录 Mac 时,Active Directory 域控制器将请求 Kerberos 授权票据的票据 (TGT)。用户尝试使用支持 Kerberos 认证的域的任何服务或 App 时,TGT 用于请求该服务的票据,从而无需用户进行再次认证。如果设定策略以要求密码来取消屏幕保护程序,macOS 会尝试续期 TGT 直到认证成功。
若要让已 Kerberos 化的服务器正常工作,正向和反向域名系统 (DNS) 记录都应当准确。系统时钟时间也很重要,因为对于任何服务器和客户端而言,时钟偏差需要少于 5 分钟。使用“网络时间协议” (NTP) 服务(如 time.apple.com)来自动设定日期和时间是比较好的做法。
支持的 App
对于使用 NSURLSession 或 URLSession 类管理网络连接和认证的任何 App,iOS、iPadOS 和 visionOS 提供灵活的 SSO 支持。Apple 向所有开发者提供这些类,以便其将网络连接无缝集成到自己的 App 中。
任何支持 Kerberos 认证的 Mac App 也支持 SSO。这包括许多内建于 macOS 的 App,如 Safari 浏览器、“邮件”和“日历”,还包括文件共享、屏幕共享和 Secure Shell (SSH) 等服务。许多第三方 App 也支持 Kerberos。
配置单点登录
若要配置 SSO,请使用设备管理服务应用必要的配置。配置需要包括与 IdP 通信的单点登录扩展的相关信息,以及允许或限制哪些 App 和 Safari 浏览器网页 URL 使用 SSO。你还可以使用由 Apple 提供且包含在 iOS、iPadOS、macOS 和 visionOS 中的 Kerberos 单点登录扩展。
在对所请求的 URL 的前缀进行模式比较时,采用简单字符串模式匹配。例如,模式需要以 https:// 或 http:// 开头,端口号不同则不匹配。如果 URL 匹配模式不是以斜杠 (/) 结尾,则在其末尾追加一个斜杠。
例如,https://www.betterbag.com/ 匹配 https://www.betterbag.com/index.html,但不匹配 http://www.betterbag.com 或 https://www.betterbag.com:443/。
单个通配符也可能会被用于指定缺失的子域。例如,https://*.betterbag.com/ 匹配 https://store.betterbag.com/。