iPadOS 中的“共享 iPad”安全性
“共享 iPad”是一种用于 iPad 部署的多用户模式。该模式允许用户共用一部 iPad,同时单独存储每位用户的文稿和数据。每位用户都会获得自己专有的保留储存位置,该位置以 APFS(Apple 文件系统)宗卷的形式实施并受到用户凭证的保护。“共享 iPad”要求使用组织签发和拥有的“管理式 Apple ID”。
通过“共享 iPad”,用户可以登录任何为组织所有且配置为供多用户使用的设备。用户数据被划分到独立的目录中,每个目录都位于自己的数据保护域中且都受到 UNIX 权限和沙盒保护。在 iPadOS 13.4 或更高版本中,用户还可以登录临时会话。用户退出登录临时会话后,系统会删除其 APFS 宗卷并将保留的空间返还给系统。
登录“共享 iPad”
登录“共享 iPad”时同时支持使用原生及联合“管理式 Apple ID”。首次使用联合帐户时,用户会被重定向至身份提供商 (IdP) 的登录门户。认证后,支持的“管理式 Apple ID”会获得一个短时访问令牌,其登录流程与原生“管理式 Apple ID”的登录流程相似。登录后,“共享 iPad”上的“设置助理”会提示用户建立密码(凭证),用于保护设备本地数据的安全以及后续登录屏幕的认证。手持单用户设备的用户可以使用其联合帐户登录一次“管理式 Apple ID”,然后通过密码解锁其设备。与上述流程类似,用户在“共享 iPad”上使用其联合帐户登录一次,此后便可使用其建立的密码。
用户不通过联合认证进行登录时,Apple 身份识别服务 (IDS) 会使用 SRP 协议对“管理式 Apple ID”进行认证。如果认证成功,则会授予一个特定于该设备的短时访问令牌。如果用户此前已经使用过该设备,则他们已有一个使用相同凭证解锁的本地用户帐户。
如果用户此前没有使用过该设备或使用的是临时会话功能,则“共享 iPad”会预置新的 UNIX 用户 ID、用于储存用户个人数据的 APFS 宗卷和本地钥匙串。因为在创建 APFS 宗卷时已经为用户分配(保留)了储存空间,可能没有足够的空间用于创建新的宗卷。在这种情况下,系统会识别数据已经完成同步到云端的现有用户并将该用户从设备中登出,从而允许新用户登录。如果所有现有用户的云端数据上传都未完成,则新用户无法登录,这种情况极少发生。若要登录,新用户需要等待一位用户完成其数据同步,或者让管理员强制删除一个现有的用户帐户,但会存在数据丢失的风险。
如果设备未接入互联网(例如,如果用户没有无线局域网接入点),则仅在有限的天数内可以认证本地帐户。在那种情况下,只有之前拥有现有本地帐户或使用临时会话功能的用户才能登录。时限过期后,即使本地帐户已经存在,用户仍需要在线进行认证。
解锁或创建用户的本地帐户后,若以远程方式认证,由 Apple 服务器签发的短时令牌便会转换为允许登录 iCloud 的 iCloud 令牌。接着就会恢复用户的设置,并从 iCloud 同步其文稿和数据。
当用户会话处于活跃状态且设备保持在线时,文稿和数据将在创建或修改时储存到 iCloud。另外,后台同步机制帮助确保在用户退出登录后将更改推送到 iCloud 或其他使用 NSURLSession 后台会话的网络服务。该用户的后台同步完成后就会卸载用户的 APFS 宗卷,如果用户不重新进行登录便无法再次装载。
临时会话不会与 iCloud 同步数据,并且虽然临时会话可以登录第三方同步服务,如 Box 或 Google Drive,但临时会话结束后便无法继续同步数据。
退出登录“共享 iPad”
用户退出登录“共享 iPad”时,该用户的密钥包会立即锁定,所有 App 都会关闭。若要加速新用户登录过程,iPadOS 会暂时推迟某些普通的退出登录操作,并向新用户显示登录窗口。如果用户在此期间(约 30 秒)登录,“共享 iPad”会在新用户帐户登录的过程中执行推迟的清除操作。但是如果“共享 iPad”处于空闲状态,会触发推迟的清除操作。清除期间登录窗口会重新启动,就像发生了另一次退出登录操作一样。
临时会话结束后,“共享 iPad”会执行完整的退出登录序列,并立即删除临时会话的 APFS 宗卷。