Kertakirjautumisen suojaus
Kertakirjautuminen
iOS ja iPadOS tukevat todentamista yritysverkkoihin kertakirjautumisella (SSO, Single sign-on). Kertakirjautuminen toimii yhdessä Kerberos-pohjaisten verkkojen kanssa ja todentaa käyttäjät palveluihin, joihin heille on valtuutettu pääsy. Kertakirjautumista voidaan käyttää useisiin verkkotoimintoihin aina suojatuista Safari-istunnoista muiden valmistajien appeihin. Myös varmennepohjaista todentamista, kuten PKINIT, tuetaan.
macOS tukee todentautumista yritysverkkoihin Kerberoksella. Apit voivat todentaa käyttäjät Kerberoksella palveluihin, joihin heille on valtuutettu pääsy. Kerberosta voidaan myös käyttää useisiin verkkotoimintoihin aina suojatuista Safari-istunnoista ja verkon tiedostojärjestelmän todentamisesta muiden valmistajien appeihin. Varmennepohjaista todentamista tuetaan, mutta apilta vaaditaan tällöin kehittäjän rajapinnan käyttöönottoa.
iOS:n, iPadOS:n ja macOS:n kertakirjautumisten SPNEGO-suojaustunnukset ja HTTP Negotiate -protokolla toimivat Kerberos-pohjaisten todentamisen yhdyskäytävien ja Kerberos-lippuja tukevien Windows Integrated Authentication -järjestelmien kanssa. Kertakirjautumisen tuki perustuu avoimen lähdekoodin Heimdal-projektiin.
Seuraavia salaustyyppejä tuetaan iOS:ssä, iPadOS:ssä ja macOS:ssä:
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
DES3-CBC-SHA1
ARCFOUR-HMAC-MD5
Safari tukee kertakirjautumista, ja myös muiden valmistajien standardien mukaisia iOS- ja iPadOS-verkkoyhteysrajapintoja käyttävät apit voidaan määrittää käyttämään kertakirjautumista. Kertakirjautumisen määrittämistä varten iOS ja iPadOS tukevat asetusprofiileja, joiden avulla mobiilinhallintaratkaisut (MDM) voivat lähettää tarvittavat asetukset. Näissä määritetään käyttäjän ensisijainen nimi (eli Active Directory -käyttäjätili) ja Kerberos-alueen asetukset ja määritetään, minkä appien ja Safarin verkko-osoitteiden sallitaan käyttää kertakirjautumista.
Laajennettava kertakirjautuminen
Appien kehittäjät voivat tarjota omia kertakirjautumistoteutuksia kertakirjautumisen laajennuksilla. Kertakirjautumisen laajennukset otetaan käyttöön, kun natiivi- tai verkkoapin tarvitsee käyttää jotain identiteetin tarjoajaa käyttäjän todentamiseen. Kehittäjät voivat tarjota kahdentyyppisiä laajennuksia: sellaisia, jotka uudelleenohjaavat HTTPS:ään, ja sellaisia, jotka käyttävät haaste/vastaus-mekanismia, kuten Kerberos. Tämän ansiosta laajennettava kertakirjautuminen voi tukea OpenID-, OAuth-, SAML2- ja Kerberos-todentamismalleja. Kertakirjautumisen laajennukset voivat tukea myös macOS:n todennusta käyttämällä natiivia kertakirjautumisprotokollaa, joka mahdollistaa kertakirjautumistunnisteiden hakemisen macOS:n sisäänkirjautumisen aikana.
Appi voi käyttää kertakirjautumisen laajennusta joko käyttämällä AuthenticationServices API:a tai osoitteen sieppausmekanismia, jonka käyttöjärjestelmä tarjoaa. WebKit ja CFNetwork tarjoavat sieppauskerroksen, joka sallii kertakirjautumisen saumattoman tuen mille tahansa natiivi- tai WebKit-apille. Jotta kertakirjautumisen laajennus otetaan käyttöön, ylläpitäjän tarjoama määritys täytyy asentaa mobiililaitteenhallintaprofiilin (MDM) avulla. Tämän lisäksi uudelleenohjaustyyppisten laajennusten täytyy käyttää Yhdistetyt domainit -tietosisältöä sen varmistamiseen, että niiden tukema identiteettipalvelin tietää niiden olemassaolosta.
Ainoa käyttöjärjestelmän tarjoama laajennus on Kerberos-kertakirjautumislaajennus.