搭配 Apple 裝置的「Kerberos 單一登入」延伸功能
「Kerberos 單一登入」(Kerberos SSO)延伸功能簡化從你組織的內部部署 Active Directory 或其他識別身分供應商網域取得 Kerberos 票卷授予票(TGT)的程序,讓使用者流暢地認證如網站、App 和檔案伺服器等資源。
使用 Kerberos SSO 延伸功能的需求
若要使用 Kerberos SSO 延伸功能,你必須具備:
裝置搭配支援「可延伸單一登入(SSO)」設定描述檔承載資料的行動裝置管理(MDM)解決方案管理。
連接到內部部署 Active Directory 網域受託管的網路。此網路連線可透過 Wi-Fi、乙太網路或 VPN。
使用 Windows Server 2008 或以上版本的 Active Directory 網域。Kerberos SSO 延伸功能並不適合搭配需要傳統內部部署 Active Directory 網域的 Microsoft Entra ID 使用。
iOS、iPadOS 和 visionOS 1.1 中的延伸功能
在 iOS、iPadOS 和 visionOS 1.1 中,Kerberos SSO 延伸功能只會在收到 HTTP 401 協商認證後啟用。為了節省電池續航力,此延伸功能不會要求 Active Directory 網站代碼或重新整理 Kerberos TGT。
iOS、iPadOS 和 visionOS 1.1 的 Kerberos SSO 延伸功能包含下列項目:
認證方式:加入對多種不同認證方法的支援,包含密碼和憑證識別身份 (PKINIT)。憑證式別身份可以位於 CryptoTokenKit 智慧卡、MDM 提供的識別身份或本機鑰匙圈上。當顯示認證對話框或使用個別網站的 URL 時,該延伸功能也支援更改 Active Directory 密碼。
密碼過期:會在認證後、更改密碼後立即和當天定期從網域要求密碼過期資訊。此資訊會用來在使用者在另一部裝置上更改其密碼時提供密碼到期通知和要求新的憑證。
VPN 支援:支援多種不同的網路設定,包含各種 VPN 技術,例如個別 App VPN。如果使用個別 App VPN,則 Kerberos SSO 延伸功能僅在要求 App 或網站設定為使用個別 App VPN 時使用它。
網域可達性:使用對網域的 LDAP ping 來要求,然後快取目前與網域網路連線的 Active Directory 網站代碼。它與其他程序的 Kerberos 要求共享網站代碼,並這樣做來保存電池續航力。如需更多資訊,請參閱 Microsoft 文件:6.3.3 LDAP Ping。
協商認證:處理網站、NSURLSession 要求和背景 NSURLSession 作業的 HTTP 401 協調挑戰。
macOS 中的延伸功能
在 macOS 中,Kerberos SSO 延伸功能會依據網路狀態的更動主動取得 Kerberos TGT,以確保使用者已準備好在需要時進行認證。Kerberos SSO 延伸功能也能協助使用者管理其 Active Directory 的帳號。此外,Kerberos SSO 延伸功能可讓使用者更改其 Active Directory 密碼,並在密碼即將到期時予以提醒。使用者也可以將其本機帳號密碼更改為與 Active Directory 密碼相同的密碼。
Kerberos SSO 延伸功能應搭配內部部署 Active Directory 網域使用。裝置不需要加入 Active Directory 網域來使用 Kerberos SSO 延伸功能。此外,使用者不需要使用其 Active Directory 或行動帳號登入 Mac 電腦;相反地,Apple 建議使用本機帳號。
使用者必須認證 Kerberos SSO 延伸功能。使用者可透過以下任一方式開始此程序:
若 Mac 已連接 Active Directory 網域可用的網路,使用者在「可延伸 SSO」設定描述檔安裝後會收到立即認證的提示。
若已安裝描述檔,每當 Mac 已連接有 Active Directory 網域可用的網路,使用者都會立即收到認證的提示。
若 Safari 或其他 App 已用來存取接受或要求 Kerberos 認證的網站,使用者會收到認證的提示。
使用者可以選取 Kerberos SSO 延伸功能附加選單,然後按一下「登入」。
macOS 的 Kerberos SSO 延伸功能包含下列項目:
認證方式:延伸功能支援多種不同認證方法,包含密碼和憑證識別身份(PKINIT)。憑證式別身份可以位於 CryptoTokenKit 智慧卡、MDM 提供的識別身份或本機鑰匙圈上。當顯示認證對話框或使用個別網站的 URL 時,該延伸功能也支援更改 AD 密碼。
密碼過期:延伸功能會在認證後、更改密碼後立即和當天定期從網域要求密碼過期資訊。此資訊會用來在使用者在另一部裝置上更改其密碼時提供密碼到期通知和要求新的憑證。
VPN 支援:該延伸功能支援許多不同的網路設定,包含 VPN 服務,例如個別 App VPN。如果該 VPN 是「網路延伸功能 VPN」,它會在認證或更改密碼時自動觸發連線。相比之下,如果連線是個別 App VPN,Kerberos SSO 附加選單會總是顯示網路可用。這是因為連線會使用 LDAP Ping 來確認企業網路的可用範圍。在個別 App VPN 中斷連線時,LDAP Ping 會重新連接個別 App VPN,從而造成看起來為持續的個別 App VPN 連線。實際上,Kerberos SSO 延伸功能已為隨選即用的 Kerberos 流量所觸發。
將以下項目加入至你的「App 對 App 層級 VPN 對應」以搭配個別 App VPN 使用 Kerberos SSO 延伸功能:
使用指定需求識別碼 com.apple.KerberosExtension 和 anchor apple 的 com.apple.KerberosExtension
使用指定需求識別碼 com.apple.AppSSOAgent 和 anchor apple 的 com.apple.AppSSOAgent
使用指定需求的 com.apple.KerberosMenuExtra:識別碼 com.apple.KerberosMenuExtra 和 anchor apple
網域可達性:該延伸功能會使用對網域的 LDAP ping 來要求,然後快取目前與網域網路連線的 AD 網站代碼。這樣做是為了保存電池續航力。它也會與其他程序的 Kerberos 要求共享網站代碼。如需更多資訊,請參閱 Microsoft 文件:6.3.3 LDAP Ping。
Kerberos TGT 重新整理:該延伸功能會嘗試一直保持 Kerberos TGT 最新狀態。它透過監控網路連線和 Kerberos 快取更動來實現此目的。當你的公司網路可用並且需要新票卷時,它會主動要求新票卷。如果使用者選擇自動登入,延伸功能會無縫地要求新票卷,直到使用者的密碼過期為止。若使用者不選擇自動登入,在其 Kerberos 憑證過期(通常為 10 小時)時便會收到要求憑證的提示。
密碼同步:該延伸功能將本機帳號密碼與 Active Directory 密碼同步。初始同步後,它會監控本機和 Active Directory 帳號密碼更改日期,以決定帳號密碼是否仍保持同步。它使用日期而不是嘗試登入來防止因嘗試失敗次數過多而鎖定本機或 AD 帳號。
執行工序指令:當各種事件發生時,延伸功能會發佈通知。這些通知可以觸發工序指令執行以支援擴展功能。發送通知而不是直接執行工序指令,因為 Kerberos 延伸功能程序已經過沙箱處理,沙箱有助於防止工序指令的執行。還有一個指令行工具
app-sso,它允許工序指令讀取延伸功能的狀態並要求登入等常見動作。附加選單:該延伸功能包含一個附加選單,允許使用者登入、重新連接、更改密碼、登出和查看連線狀態。重新連接選項會一直擷取新的 TGT 並重新整理網域中密碼的到期資訊。
帳號使用
Kerberos SSO 延伸功能不會要求 Mac 綁定到 Active Directory 或使用者以行動帳號登入 Mac。Apple 建議你搭配本機帳號使用 Kerberos SSO 延伸功能。Kerberos SSO 延伸功能專為強化來自本機帳號的 Active Directory 整合而製作。然後,若你選擇繼續使用行動帳號,你仍可使用 Kerberos SSO 延伸功能。搭配行動帳號使用時:
密碼同步將無法作業。若你使用 Kerberos SSO 延伸功能來更改 Active Directory 密碼且已透過搭配 Kerberos SSO 延伸功能使用的相同使用者帳號登入 Mac,密碼的更改會如同透過「使用者與群組」偏好設定面板運作。但若你執行外部密碼更改,即你在網站上更改密碼,或你的協助中心重置密碼,Kerberos SSO 延伸功能便無法將你的行動帳號密碼與你的 Active Directory 密碼同步。
不支援搭配 Kerberos 延伸功能使用密碼更改 URL。