Applen identiteettipalvelujen johdanto
Apple tarjoaa organisaatiollesi erilaisia identiteettipalveluja, jotka auttavat hallitsemaan salasanoja ja käyttäjätunnuksia turvallisesti sekä työpaikalla että pilvessä. Apple käyttää suojaustoimintoja, kuten todentamista, valtuutusta ja identiteettien federoimista, jotta yksittäiset käyttäjät pääsevät suosikkiappeihinsa ja muihin resursseihin ilman esimerkiksi erillisten käyttäjätunnusten ja salasanojen määrittämisen vaivaa.
Alla on yleiskatsaus tärkeimmistä identiteettipalvelumenetelmistä (todentaminen, valtuutus ja identiteettien federointi) sekä esimerkkejä siitä, kuinka Apple käyttää niitä identiteettipalveluissa.
Todentaminen ja siihen liittyvät Applen palvelut
Suojausprosessin ensimmäinen vaihe on todentaminen. Todentamisella varmistetaan, että käyttäjän identiteetti on oikea.
Apple käyttää useita eri todentamistapoja. Kun käytössä on kertakirjautuminen ja Applen palvelut, kuten henkilökohtainen Apple-tili, hallittu Apple-tili, iCloud, iMessage ja FaceTime, käyttäjät voivat viestiä suojatusti, luoda dokumentteja verkossa ja varmuuskopioida henkilökohtaiset tietonsa ilman, että organisaation tiedot vaarantuvat. Jokaisella palvelulla on oma suojausarkkitehtuuri. Näin Apple varmistaa tietojen turvallisen käsittelyn Applen laitteella tai liikkeessä langattoman verkon kautta, käyttäjien henkilökohtaisten tietojen suojauksen ja suojautumisen tietojen tai palveluiden haitalliselta tai luvattomalta käytöltä. Lisäksi Applella on sisäänrakennettu sovelluskehys mobiililaitteiden hallintaratkaisuille (MDM) ja se tukee MDM-ratkaisuilla tehtävää tiettyihin palveluihin pääsyn rajoittamista ja hallintaa Applen laitteilla.
Valtuutus ja siihen liittyvät Applen palvelut
Todentaminen todistaa kuka olet, kun taas valtuutus puolestaan määrittelee, mitä käyttäjät saavat tehdä. Jotta valtuutus toimii, sinun on annettava käyttäjätunnus ja salasana identiteetin tarjoajalle (IdP). Käsitteellisesti tarkasteltuna identiteetin tarjoaja on ”todentaja”, käyttäjätunnus ja salasana ovat ”vahvistus” (koska henkilö ”vahvistaa” identiteettinsä) ja tiedot, jotka käyttäjä saa kirjauduttuaan sisään, ovat ”tunniste”.
Apple käyttää monentyyppisiä tunnisteita ja vahvistuksia. Vahvistuksena voidaan käyttää varmenteita, älykortteja ja muita laitteita monimenetelmäiseen todentamiseen.
Identiteettien federoiminen
Identiteettien federoiminen on luottamuksen muodostamista eri suojausdomainien identiteetin tarjoajien välille, jotta käyttäjät voivat turvallisesti siirtyä vapaasti järjestelmien välillä. Jotta Identiteettien federoiminen toimii, ylläpitäjien täytyy asettaa domainit, jotka luottavat toisiinsa, ja hyväksyä yksi tapa käyttäjien tunnistamiseen.
Tavallinen esimerkki identiteettien federoinnista on yritystilin käyttäminen sisäänkirjautumisessa identiteetin tarjoajalle. Esimerkiksi jotta organisaation hallittujen Apple-tilien luominen kävisi yksinkertaisemmin, Apple mahdollistaa federoinnin identiteetin tarjoajan (IdP), Google Workspacen ja Microsoft Entra ID:n sekä Apple School Managerin, Apple Business Managerin tai Apple Business Essentialsin välillä. Käyttäjät voivat sitten kirjautua olemassa olevia identiteetin tarjoajan (IdP), Google Workspacen tai Microsoft Entra ID:n tilejään käyttäen iCloudiin tai Apple-laitteille, jotka on liitetty Apple School Manageriin, Apple Business Manageriin tai Apple Business Essentialsiin. Jos käyttäjää ei vaadita vahvistamaan identiteettiään uudestaan, federoinnissa käytetään kertakirjautumisen tai Kerberos-kertakirjautumisen laajennusta.