Introducción al inicio de sesión único en los dispositivos Apple
Las organizaciones a menudo usan el inicio de sesión único (SSO), el cual está diseñado para mejorar la experiencia de inicio de sesión en apps y sitios web. Con el SSO, se usa un proceso de autenticación común para acceder a varias apps o sistemas, sin que el usuario vuelva a afirmar su identidad. En lugar de guardar las credenciales de un usuario (por ejemplo, su contraseña) y reutilizarlas para cada app o sistema, el SSO usa el identificador proporcionado por la autenticación inicial, dando a los usuarios la experiencia de un concepto de contraseña única.
Por ejemplo, el inicio de sesión único se lleva a cabo cuando inicias sesión en Active Directory en tu red corporativa y luego accedes sin interrupción a tus apps y sitios web empresariales sin tener que volver a ingresar tu contraseña. Todas las apps y sistemas están configurados para confiar en Active Directory para identificar usuarios y proporcionar autorizaciones de grupos; y juntos forman un dominio de seguridad.
Kerberos
Kerberos es un protocolo de autenticación popular utilizado en redes grandes para utilizar el inicio de sesión único (SSO); es el protocolo predeterminado de Active Directory. Funciona en varias plataformas, utiliza encriptación y protege contra ataques de replay. Además, puede usar contraseñas, identidades de certificados, tarjetas inteligentes, dispositivos NFC, o u otros productos de autenticación por hardware para autenticar al usuario. Al servidor que administra Kerberos se le conoce como centro de distribución de claves (KDC). Para autenticar a los usuarios, los dispositivos de Apple deben ponerse en contacto con el centro de distribución de claves mediante una conexión de red.
Kerberos es especialmente útil en las redes privadas e internas de las organizaciones por que todos los clientes y servidores tienen conectividad directa con el centro de distribución de claves (KDC). Los clientes que no están en la red corporativa deben usar una red privada virtual (VPN) para conectarse autenticarse. Kerberos no es ideal para las apps basadas en la nube o en Internet porque estas apps no tienen conexión directa con la red corporativa. Para las apps basadas en la nube o en Internet, la autenticación moderna (descrita a continuación) es más adecuada.
El sistema operativo macOS da prioridad a Kerberos para todas las actividades de autenticación cuando se integra en un entorno de Active Directory. Cuando un usuario inicia sesión en una Mac usando una cuenta de Active Directory, se solicita un ticket de otorgamiento de ticket (TGT) de Kerberos a un controlador de dominio de Active Directory. Cuando el usuario trata de usar cualquier servicio o app del dominio que sea compatible con la autenticación Kerberos, se usa el TGT para generar un ticket para dicho servicio sin requerir al usuario que vuelva a autenticarse. Si se establece una política para solicitar una contraseña para que desaparezca el protector de pantalla, macOS trata de renovar el TGT tras la correcta autenticación.
Para que los servidores kerberizados funcionen correctamente, los registros del sistema de nombres de dominio (DNS), tanto directos como inversos, deben ser precisos. La hora del reloj del sistema también es importante, porque la desviación del reloj debe ser menor de 5 minutos para cualquier servidor y cliente. El procedimiento recomendado es establecer la fecha y la hora automáticamente con un servicio Network Time Protocol (NTP), como time.apple.com.
Autenticación Moderna e Inicio de Sesión Único (SSO)
Autenticación Moderna se refiere a un conjunto de protocolos de autenticación basados en la web utilizados por aplicaciones en la nube; por ejemplo, SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 o posterior) y Open ID Connect (OIDC). Esos protocolos funcionan bien en Internet y encriptan sus conexiones mediante HTTPS. A menudo se utiliza SAML2 para conectar las redes de una organización y las aplicaciones en la nube. La federación se usa cuando se cruzan dominios de confianza, por ejemplo, cuando se accede a un conjunto de apps en la nube desde el dominio local.
Nota: para aprovechar las ventajas de OAuth 2.0, la solución de MDM debe implementar compatibilidad en el servidor con OAuth 2.0 con cualquier proveedor de identidad (IdP) que quiera ser compatible para usarlo con el perfil Inscripción de usuarios.
Con esos protocolos, el método de inicio de sesión único varía dependiendo del proveedor y el entorno. Por ejemplo, al usar los Servicios de Federación de Active Directory (AD FS) en la red de una organización, AD FS funciona con Kerberos para realizar el inicio de sesión único (SSO). Además, cuando autentificas a los clientes a través de Internet, AD FS puede usar las cookies del navegador. Los protocolos de Autenticación Moderna no establecen cómo el usuario debe confirmar su identidad. Muchos de esos protocolos se utilizan en combinación con la autenticación de varios factores (como un código SMS) al autentificar a clientes (dispositivos o apps) desconocidos. Algunos proveedores proporcionan certificados en el dispositivo para identificar los dispositivos conocidos con el fin de facilitar el proceso de autenticación.
Los proveedores de identidad (IdP) pueden admitir el SSO en iOS, iPadOS, macOS y visionOS 1.1 mediante el uso de extensiones de inicio de sesión único. Estas extensiones permiten a los proveedores de identidad implementar protocolos de autenticación modernos para sus usuarios.
Apps compatibles
Los sistemas operativos iOS, iPadOS y visionOS 1.1 proporcionan compatibilidad flexible con el inicio de sesión único (SSO) en cualquier app que use las clases NSURLSession
o URLSession
para administrar la autenticación y las conexiones de red. Apple proporciona a todos los desarrolladores estas clases para integrar perfectamente las conexiones de red en sus apps.
Cualquier app de Mac que sea compatible con la autenticación Kerberos funciona con SSO. Esto incluye muchas de las apps integradas en macOS, como Safari, Mail y Calendario, así como servicios para compartir archivos, compartir pantalla y shell segura (SSH). Hay una gran variedad de apps de terceros, como Microsoft Outlook, compatibles con Kerberos.
Configurar el inicio de sesión único
La configuración del inicio de sesión único (SSO) se lleva a cabo mediante perfiles de configuración, que se pueden instalar manualmente o administrar mediante MDM. La carga SSO permite una configuración flexible. El SSO se puede aplicar a todas las apps o se puede restringir por identificador de app, URL de servicio o ambos criterios.
Para comparar un patrón con el prefijo de una URL solicitada, se utiliza la identificación de patrones en cadenas de caracteres. Por lo tanto, los patrones deben empezar o bien por https:// o http://, y no coincidirán con números de puertos divergentes. Si un patrón de coincidencia de URL no termina con una diagonal invertida (/), se agrega una.
Por ejemplo, https://www.betterbag.com/ coincide con https://www.betterbag.com/index.html pero no con http://www.betterbag.com o https://www.betterbag.com:443/.
Se puede usar un comodín para especificar los subdominios que faltan. Por ejemplo, https://*.betterbag.com/ coincide con https://store.betterbag.com/.
Los usuarios de Mac pueden ver y administrar la información de sus tickets Kerberos usando la app Visor de Tickets, ubicada en /Sistema/Biblioteca/CoreServices/. Puedes consultar información adicional haciendo clic en el menú Ticket y seleccionando Información de diagnóstico. Si el perfil de configuración lo permite, los usuarios también pueden solicitar, ver y destruir tickets Kerberos usando las herramientas de línea de comandos kinit
, klist
y kdestroy
respectivamente.