Apple 裝置的「Kerberos 單一登入」延伸功能
「Kerberos 單一登入」(Kerberos SSO)延伸功能簡化了從你機構的內部部署 Active Directory 或其他身份服務供應商域名取得 Kerberos 票據授權票據(TGT)的過程,讓用户可以無縫地認證資源(例如網站、App 和檔案伺服器)。
使用 Kerberos SSO 延伸功能的需求
如要使用 Kerberos SSO 延伸功能,你必須擁有:
使用支援「可延伸單一登入(SSO)」配置描述檔承載資料的流動裝置管理(MDM)解決方案來管理裝置。
取用至託管內部部署 Active Directory 網域的網絡。 此網絡取用可透過 Wi-Fi、乙太網絡或 VPN 來進行。
使用 Windows Server 2008 或較新版本的 Active Directory 網域。 Kerberos SSO 延伸功能不適合與 Microsoft Entra ID 配搭使用,Microsoft Entra ID 需要傳統的內部部署 Active Directory 網域。
iOS、iPadOS 和 visionOS 1.1 的延伸功能
在 iOS、iPadOS 和 visionOS 1.1 中,Kerberos SSO 延伸功能只會在接收到 HTTP 401 協調詢問後才會啟用。 為了節省電池壽命,此延伸功能在被詢問前不會要求 Active Directory 網站代碼或重新整理 Kerberos TGT。
iOS、iPadOS 和 visionOS 1.1 的 Kerberos SSO 延伸功能包括以下項目:
認證方式: 加入對多種不同認證方式的支援,包括密碼和證書身份(PKINIT)。 密碼身份可在 CryptoTokenKit 智慧卡、MDM 提供的身份或本機鑰匙圈上。 延伸功能亦支援在認證對話顯示或使用前往獨立網站的 URL 時更改 Active Directory 密碼。
密碼過期: 立即在認證後、更改密碼後和在日間定期要求來自網域的密碼過期資料。 此資料是用於提供密碼過期通知,並在用户在其他裝置上更改他們的密碼時要求新的憑證。
VPN 支援: 支援許多包括各種 VPN 技術(例如「個別 App VPN」)的不同網絡設定。 如已使用「個別 App VPN」,Kerberos SSO 延伸功能只會在要求已設定使用「個別 App VPN」的 App 或網站時才會使用「個別 App VPN」。
網域連線性: 使用前往網域的 LDAP ping 來要求然後為目前前往該網域的網絡連線快取 Active Directory 網站代碼。 其會與其他程序的 Kerberos 要求分享網站代碼,並藉此節省電力。 如需更多資料,請參閲 Microsoft 文件:6.3.3 LDAP Ping。
協調詢問: 處理網站的 HTTP 401 協調詢問、NSURLSession 要求,以及背景 NSURLSession 操作。
macOS 中的延伸功能
在 macOS 中,Kerberos SSO 延伸功能會主動根據網絡狀態變化取得 Kerberos TGT,以確保用户在需要時準備好認證。 Kerberos SSO 延伸功能也有助你的用户管理其 Active Directory 帳户。 此外,其能允許用户更改其 Active Directory 密碼,並在密碼接近到期時通知用户。 用户也可以更改其本機帳户密碼來符合他們的 Active Directory密碼。
Kerberos SSO 延伸功能應與內部部署 Active Directory 網域配搭使用。 裝置無需加入 Active Directory 網域才能使用 Kerberos SSO 延伸功能。 此外,用户無須使用 Active Directory 或流動帳户登入其 Mac 電腦,Apple 建議使用本機帳户取代。
用户必須認證 Kerberos SSO 延伸功能。 用户能以數種方式開始此程序:
如 Mac 已連接到 Active Directory 網域可用的網絡,用户會在 Extensible SSO 設定檔安裝後收到提示立即進行認證。
如果已經安裝描述檔,每當 Mac 連接到 Active Directory 網域可用的網絡時,用户即會收到提示立即進行認證。
如 Safari 或任何其他 App 用於取用接受或需要 Kerberos 認證的網站,用户會收到提示進行認證。
用户可以選擇 Kerberos SSO 延伸功能附加選單,然後按一下「登入」。
macOS 的 Kerberos SSO 延伸功能包括以下項目:
認證方式: 延伸功能支援多種不同認證方式,包括密碼和證書身份(PKINIT)。 密碼身份可在 CryptoTokenKit 智慧卡、MDM 提供的身份或本機鑰匙圈上。 延伸功能亦支援在認證對話顯示或使用前往獨立網站的 URL 時更改 AD 密碼。
密碼過期: 延伸功能會立即在認證後、更改密碼後和在日間定期要求來自網域的密碼過期資料。 此資料是用於提供密碼過期通知,並在用户在其他裝置上更改他們的密碼時要求新的憑證。
VPN 支援: 延伸功能支援許多不同的網絡設定,包括 VPN 服務(例如「個別 App VPN」)。 如 VPN 為「網絡延伸功能 VPN」,其會在認證和更改密碼時自動觸發連線。 相反,如連線為「個別 App VPN」,Kerberos SSO 延伸功能附加選單總是會顯示網絡為可用。 那是因為其會使用 LDAP Ping 來決定公司網絡的可用性。 當「個別 App VPN」停止連接,LDAP Ping 會重新連接,其會產生似乎是連續的「個別 App VPN」連線。 實際上,已按需要為 Kerberos 流量觸發 Kerberos SSO 延伸功能。
請將以下的輸入項目加至你的 App 至 App 層級 VPN 對應以配搭「個別 App VPN」使用 Kerberos SSO 延伸功能:
com.apple.KerberosExtension 使用指定的要求識別碼 identifier com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent 使用指定的要求識別碼 identifier com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra 使用指定的要求: 識別碼 com.apple.KerberosMenuExtra and anchor apple
網域連線性: 延伸功能會使用對網域的 LDAP ping 來要求,然後快取目前與網域的網絡連線之 AD 網站代碼。 其藉此節省電力。 其也會與其他程序的 Kerberos 要求分享網站代碼。 如需更多資料,請參閲 Microsoft 文件:6.3.3 LDAP Ping。
Kerberos TGT 重新整理: 延伸功能會嘗試將你的 Kerberos TGT 總是保持在最新狀態。 它會透過監察網絡連線和 Kerberos 快取變更來進行此操作。 當你有可用的公司網絡並需要新的票據時,其會主動要求新的票據。 如用户選擇自動登入,延伸功能就會無縫地要求新的票據,直到用户密碼過期。 如用户不選擇自動登入,用户會在 Kerberos 憑證到期時(一般為 10 小時)收到要求憑證提示。
密碼同步: 延伸功能會將本機帳户密碼與 Active Directory 密碼同步。 在首次同步後,其會監察本機和 Active Directory 帳户密碼的更改日期,以決定帳户密碼是否仍然同步。 其會使用日期而非嘗試登入,以避免因失敗嘗試次數太多而導致本機或 AD 帳户被鎖定。
執行程式碼: 延伸功能會在多個事件發生時發佈通知。 這些通知可以觸發程式碼來執行以支援延伸的功能。 通知會被傳送(而非直接執行)是因為 Kerberos 延伸功能程序已經過沙盒處理,且沙盒有助避免系統執行程式碼。 也有一個命令列工具(
app-sso)其會充許程式碼讀取延伸功能的狀態,並要求一般動作(例如登入)。附加選單: 延伸功能包括附加選單,允許用户登入、重新連線、更改密碼、登出和檢視連線狀態。 重新連線選項總是會取得新的 TGT,並重新整理來自網域的密碼過期資料。
帳户使用
Kerberos SSO 不需要你的 Mac 與 Active Directory 綁定,也不需要用户使用流動帳户登入 Mac。 Apple 建議你配搭本機帳户使用 Kerberos SSO 延伸功能。 Kerberos SSO 延伸功能專門為從本機帳户增強 Active Directory 整合而建立。 但是,如你選擇繼續使用流動帳户,你仍可使用 Kerberos SSO 延伸功能。 與流動帳户配搭使用時:
密碼同步將無法使用。 如你使用 Kerberos SSO 延伸功能來更改 Active Directory 密碼,而你未使用與 Kerberos SSO 延伸功能相同的用户帳户登入到你的 Mac,密碼更改方式會與從「用户與群組」偏好設定面板上操作相同。 但如你執行外部密碼更改(即你在網站上更改密碼,或你的服務台人員重設密碼),Kerberos SSO 延伸功能無法將你的流動帳户密碼再次與你的 Active Directory 密碼同步。
不支援將密碼更改 URL 與Kerberos 延伸功能配搭使用。