Εισαγωγή στην ενιαία σύνδεση για συσκευές Apple
Οι οργανισμοί συχνά χρησιμοποιούν την ενιαία σύνδεση (SSO), η οποία έχει σχεδιαστεί για να βελτιώνει την εμπειρία σύνδεσης των χρηστών σε εφαρμογές και ιστότοπους. Με την Ενιαία σύνδεση (SSO), χρησιμοποιείται μια κοινή διεργασία ελέγχου ταυτότητας για πρόσβαση σε πολλές εφαρμογές ή συστήματα—χωρίς ο χρήστης να διαβεβαιώνει την ταυτότητά του ξανά. Αντί να αποθηκεύει τα διαπιστευτήρια ενός χρήστη (για παράδειγμα, το συνθηματικό του) και να το επαναχρησιμοποιεί για κάθε εφαρμογή ή σύστημα, η Ενιαία σύνδεση (SSO) χρησιμοποιεί το διακριτικό που παρέχεται από τον αρχικό έλεγχο ταυτότητας, δίνοντας στους χρήστες την εντύπωση της έννοιας του συνθηματικού μίας φοράς.
Για παράδειγμα, η ενιαία σύνδεση λαμβάνει χώρα όταν συνδέεστε στο Active Directory στο εταιρικό σας δίκτυο και μετά προσπελάζετε απρόσκοπτα τις εταιρικές εφαρμογές και τους ιστότοπους, χωρίς να χρειάζεται εκ νέου εισαγωγή του συνθηματικού σας. Όλες οι εφαρμογές και τα συστήματα είναι διαμορφωμένα ώστε να θεωρούν αξιόπιστο το Active Directory για ταυτοποίηση χρηστών και παροχή ομαδικών συνδρομών – όλα αυτά αποτελούν έναν τομέα ασφαλείας.
Kerberos
Το Kerberos είναι ένα δημοφιλές πρωτόκολλο ελέγχου ταυτότητας που χρησιμοποιείται σε μεγάλα δίκτυα για Ενιαία σύνδεση. Είναι επίσης το προεπιλεγμένο πρωτόκολλο που χρησιμοποιείται από το Active Directory. Λειτουργεί σε διάφορες πλατφόρμες, χρησιμοποιεί κρυπτογράφηση και προστατεύει κατά των επιθέσεων αναπαραγωγής. Μπορεί να χρησιμοποιεί συνθηματικά, ταυτότητες πιστοποιητικών, έξυπνες κάρτες, συσκευές NFC ή άλλα προϊόντα ελέγχου ταυτότητας υλισμικού για ταυτοποίηση των χρηστών. Ο διακομιστής που εκτελεί το Kerberos είναι γνωστός ως το Κέντρο διανομής κλειδιών (Key Distribution Center – KDC). Για έλεγχο ταυτότητας των χρηστών, οι συσκευές Apple πρέπει να επικοινωνήσουν με το KDC μέσω μιας σύνδεσης δικτύου.
Το Kerberos λειτουργεί καλά στο εσωτερικό ή το ιδιωτικό δίκτυο ενός οργανισμού, διότι όλοι οι πελάτες και οι διακομιστές διαθέτουν απευθείας συνδεσιμότητα με το KDC. Οι πελάτες που δεν βρίσκονται στο εταιρικό δίκτυο πρέπει να χρησιμοποιήσουν ένα εικονικό ιδιωτικό δίκτυο (VPN) για τη σύνδεση και τον έλεγχο ταυτότητας. Το Kerberos δεν είναι ιδανικό για εφαρμογές cloud ή ιστοπαγείς εφαρμογές. Αυτό επειδή αυτές οι εφαρμογές δεν έχουν άμεση συνδεσιμότητα στο εταιρικό δίκτυο. Για τις εφαρμογές cloud ή τις ιστοπαγείς εφαρμογές, ο σύγχρονος έλεγχος ταυτότητας (περιγράφεται παρακάτω) είναι πιο κατάλληλος.
Το macOS προτεραιοποιεί το Kerberos για όλες τις δραστηριότητες ελέγχου ταυτότητας όταν είναι ενσωματωμένο σε περιβάλλον Active Directory. Όταν ένας χρήστης πραγματοποιήσει είσοδο σε Mac χρησιμοποιώντας λογαριασμό Active Directory, ζητείται ένα δελτίο εκχώρησης Kerberos (TGT) από τον ελεγκτή τομέα Active Directory. Όταν ο χρήστης επιχειρεί να χρησιμοποιήσει οποιαδήποτε υπηρεσία ή εφαρμογή στον τομέα που υποστηρίζει έλεγχο ταυτότητας Kerberos, το TGT χρησιμοποιείται για να ζητηθεί ένα δελτίο για τη συγκεκριμένη υπηρεσία χωρίς να απαιτεί τον νέο έλεγχο ταυτότητας του χρήστη. Εάν η πολιτική έχει οριστεί έτσι ώστε να απαιτείται συνθηματικό για την απόρριψη της προφύλαξης οθόνης, το macOS επιχειρεί να ανανεώσει το TGT κατά τον επιτυχημένο έλεγχο ταυτότητας.
Για τη σωστή λειτουργία των διακομιστών με Kerberos, τόσο το προωθημένο όσο και το αντίστροφο αρχείο Domain Name System (DNS) πρέπει να είναι ακριβή. Το ρολόι συστήματος είναι επίσης σημαντικό, καθώς η στρέβλωση ώρας πρέπει να είναι μικρότερη από 5 λεπτά για διακομιστές και πελάτες. Η καλύτερη πρακτική είναι ο αυτόματος καθορισμός ημερομηνίας και ώρας μέσω μιας υπηρεσίας Network Time Protocol (NTP), όπως το time.apple.com.
Σύγχρονος έλεγχος ταυτότητας με Ενιαία σύνδεση
Ο σύγχρονος έλεγχος ταυτότητας αναφέρεται σε ένα σύνολο πρωτοκόλλων ιστοπαγούς ελέγχου ταυτότητας που χρησιμοποιούνται από εφαρμογές cloud. Στα παραδείγματα περιλαμβάνονται τα SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 ή μεταγενέστερες εκδόσεις) και το Open ID Connect (OIDC). Αυτά τα πρωτόκολλα λειτουργούν καλά μέσω Διαδικτύου και κρυπτογραφούν τις συνδέσεις τους με χρήση HTTPS. Το SAML2 χρησιμοποιείται συχνά για ομόσπονδο έλεγχο ταυτότητας μεταξύ των δικτύων και των εφαρμογών cloud ενός οργανισμού. Ο Ομόσπονδος έλεγχος ταυτότητας χρησιμοποιείται κατά την επικοινωνία με αξιόπιστους τομείς, π.χ. κατά την πρόσβαση σε ένα σύνολο εφαρμογών cloud από τον επιτόπιο τομέα σας.
Σημείωση: Για να επωφεληθεί από το OAuth 2.0, η λύση MDM πρέπει να υλοποιήσει υποστήριξη διακομιστή για το OAuth 2.0 με οποιονδήποτε πάροχο ταυτότητας (IdP) που θέλει να υποστηρίξει για χρήση με την Εγγραφή χρήστη.
Η Ενιαία σύνδεση με αυτά τα πρωτόκολλα ποικίλλει ανάλογα με τον προμηθευτή και το περιβάλλον. Για παράδειγμα, όταν χρησιμοποιείτε τις υπηρεσίες Active Directory Federation Services (AD FS) στο δίκτυο ενός οργανισμού, το AD FS συνεργάζεται με το Kerberos για SSO και όταν πραγματοποιείτε έλεγχο ταυτότητας πελατών μέσω του Διαδικτύου, το AD FS μπορεί να χρησιμοποιεί cookie προγράμματος περιήγησης. Τα πρωτόκολλα σύγχρονου ελέγχου ταυτότητας δεν υποδεικνύουν πώς πρέπει ο χρήστης να διαβεβαιώσει την ταυτότητά του. Πολλά από αυτά τα πρωτόκολλα χρησιμοποιούνται σε συνδυασμό ελέγχου ταυτότητας πολλαπλών παραγόντων, π.χ. έναν κωδικό SMS, κατά τον έλεγχο ταυτότητας από άγνωστους πελάτες. Κάποιοι προμηθευτές παρέχουν πιστοποιητικά στη συσκευή για αναγνώριση γνωστών συσκευών που μπορούν να βοηθήσουν στη διαδικασία ελέγχου ταυτότητας.
Οι πάροχοι ταυτότητας μπορούν να υποστηρίξουν την Ενιαία σύνδεση (SSO) σε iOS, iPadOS, macOS και visionOS 1.1 μέσω της χρήσης επεκτάσεων ενιαίας σύνδεσης. Αυτές οι επεκτάσεις επιτρέπουν στους παρόχους ταυτότητας να εφαρμόζουν σύγχρονα πρωτόκολλα ελέγχου ταυτότητας για τους χρήστες τους.
Υποστηριζόμενες εφαρμογές
Τα iOS, iPadOS και visionOS 1.1 παρέχουν ευέλικτη υποστήριξη για την Ενιαία σύνδεση (SSO) σε οποιαδήποτε εφαρμογή που χρησιμοποιεί την κλάση NSURLSession
ή URLSession
για διαχείριση συνδέσεων δικτύου και έλεγχο ταυτότητας. Η Apple παρέχει σε όλους τους προγραμματιστές αυτές τις κλάσεις για απρόσκοπτη ενσωμάτωση συνδέσεων δικτύου στις εφαρμογές τους.
Οποιαδήποτε εφαρμογή Mac που υποστηρίζει έλεγχο ταυτότητας Kerberos λειτουργεί με SSO. Σε αυτές περιλαμβάνονται πολλές από τις ενσωματωμένες εφαρμογές του macOS, όπως Safari, Mail, Ημερολόγιο, καθώς και υπηρεσίες όπως η κοινή χρήση αρχείων, η κοινή χρήση οθόνης και secure shell (SSH). Πολλές εφαρμογές τρίτων, όπως το Microsoft Outlook, υποστηρίζουν επίσης το Kerberos.
Διαμόρφωση της Ενιαίας σύνδεσης
Μπορείτε να ρυθμίσετε τις παραμέτρους της Μοναδικής σύνδεσης χρησιμοποιώντας προφίλ διαμόρφωσης, τα οποία μπορείτε να εγκαταστήσετε χειροκίνητα ή να τα διαχειριστείτε με MDM. Το φορτίο μοναδικής σύνδεσης επιτρέπει ευέλικτη ρύθμιση παραμέτρων. Η μοναδική σύνδεση μπορεί να είναι ανοικτή σε όλες τις εφαρμογές ή να είναι περιορισμένη από αναγνωριστικό εφαρμογής, υπηρεσία διεύθυνσης URL ή και τα δύο.
Χρησιμοποιείται απλό μοτίβο αντιστοίχισης κατά τη σύγκριση ενός μοτίβου με το πρόθεμα της αιτούμενης διεύθυνσης URL. Επομένως, τα μοτίβα πρέπει να ξεκινούν με https:// ή http:// και να μην αντιστοιχούν σε διαφορετικούς αριθμούς θυρών. Αν ένα μοτίβο αντιστοίχισης διεύθυνσης URL δεν τελειώνει σε κάθετο (/), τότε προστίθεται μια κάθετος.
Για παράδειγμα, το https://www.betterbag.com/ αντιστοιχεί στο https://www.betterbag.com/index.html αλλά δεν αντιστοιχεί στο http://www.betterbag.com ή στο https://www.betterbag.com:443/.
Μπορεί επίσης να χρησιμοποιηθεί ένα μοναδικό μπαλαντέρ για καθορισμό υποτομέων που λείπουν. Για παράδειγμα, το https://*.betterbag.com/ θα αντιστοιχεί στο https://store.betterbag.com/.
Οι χρήστες Mac μπορούν να προβάλλουν και να διαχειρίζονται τα στοιχεία του δελτίου τους Kerberos χρησιμοποιώντας την εφαρμογή Προβολή δελτίων στο /Σύστημα/Βιβλιοθήκη/CoreServices/. Μπορείτε να δείτε επιπλέον πληροφορίες κάνοντας κλικ στο μενού «Δελτίο» και επιλέγοντας «Διαγνωστικές πληροφορίες». Αν επιτρέπεται από το προφίλ διαμόρφωσης, οι χρήστες μπορούν επίσης να ζητούν, να προβάλλουν και να καταστρέφουν δελτία Kerberos με χρήση των εργαλείων της γραμμής εντολών kinit
, klist
και kdestroy
, αντίστοιχα.