Introduction à l’authentification unique avec les appareils Apple
Les organisations ont souvent recours à l’authentification unique, conçue pour améliorer l’expérience de connexion des utilisateurs aux apps et aux sites Web. Avec une authentification unique, un processus d’authentification commun est utilisé pour accéder à plusieurs apps ou systèmes, sans que l’utilisateur ait à valider son identité de nouveau. Plutôt que d’enregistrer les informations d’identification d’un utilisateur (par exemple, son mot de passe) et de les réutiliser pour chaque app ou système, la méthode d’authentification unique utilise le jeton fourni par l’authentification initiale, donnant aux utilisateurs l’apparence d’un concept de mot de passe à usage unique.
Par exemple, l’authentification unique survient lorsque vous vous connectez à Active Directory sur votre réseau d’entreprise avant d’accéder sans problème aux apps et sites Web de votre entreprise sans saisir votre mot de passe de nouveau. L’ensemble des apps et des systèmes est configuré de manière à se fier à Active Directory pour identifier les utilisateurs et fournir un abonnement de groupe, et cet ensemble forme un domaine de sécurité.
Kerberos
Kerberos est un protocole d’authentification populaire que plusieurs grands réseaux utilisent aux fins de l’authentification unique. Il s’agit aussi du protocole qu’Active Directory utilise par défaut. Il fonctionne sur plusieurs plateformes, a recours au chiffrement et protège contre les attaques par réinsertion. Il peut utiliser des mots de passe, ces identités de certificats, des cartes intelligentes, des appareils CCP ou d’autres produits d’authentification matérielle pour identifier l’utilisateur. Le serveur qui réalise le protocole Kerberos est connu sous le nom de centre de distribution de clés (CDC). Pour authentifier les utilisateurs, les appareils Apple doivent contacter le CDC à partir d’une connexion réseau.
Kerberos fonctionne bien sur le réseau interne ou privé d’une organisation, car tous les clients et les serveurs disposent d’une connectivité directe au CDC. Les clients qui ne sont pas sur le réseau d’entreprise doivent utiliser un réseau privé virtuel (VPN) pour se connecter et s’authentifier. Kerberos n’est pas idéal pour les apps infonuagiques ou en ligne. En effet, ces applications ne disposent pas d’une connectivité directe avec le réseau d’entreprise. Pour les apps infonuagiques ou en ligne, l’authentification moderne (décrite ci-dessous) convient mieux.
macOS accorde la priorité au protocole Kerberos pour toutes les activités d’authentification dans un environnement Active Directory. Lorsqu’un utilisateur se connecte à un Mac depuis un compte Active Directory, un ticket TGT (Ticket Granting Ticket) Kerberos est demandé à un contrôleur de domaine Active Directory. Lorsque l’utilisateur essaie d’utiliser un service ou une app sur le domaine qui prend en charge l’authentification Kerberos, le ticket TGT est utilisé afin de demander un ticket pour ce service sans que l’authentification de l’utilisateur ne soit à nouveau nécessaire. Si une règle requiert un mot de passe pour fermer l’économiseur d’écran, macOS tente de renouveler le ticket TGT une fois l’authentification validée.
Pour que les serveurs soumis au protocole Kerberos fonctionnent correctement, les enregistrements DNS (Domain Name System) directs et inverses doivent être exacts. L’heure système est également importante, car la variation d’horloge doit être inférieure à cinq minutes pour tous les serveurs et les clients. La meilleure pratique consiste à définir la date et l’heure automatiquement avec un service de protocole de synchronisation réseau (NTP), tel que time.apple.com.
Authentification moderne avec l’authentification unique
L’authentification moderne fait référence à un ensemble de protocoles d’authentification Web utilisés par les applications infonuagiques. Par exemple, SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 et toutes versions ultérieures) et Open ID Connect (OIDC). Ces protocoles fonctionnent bien sur Internet et chiffrent leurs connexions par HTTPS. SAML2 est fréquemment utilisé pour la fédération entre les réseaux d’une organisation et des applications infonuagiques. La fédération est utilisée lors de la rencontre de domaines de confiance, par exemple, lors de l’accès à un ensemble d’applications infonuagiques de votre domaine sur place.
Remarque : Pour tirer parti d’OAuth 2.0, la solution de GAM doit mettre en œuvre la prise en charge du serveur pour OAuth 2.0 avec tout fournisseur d’identité qu’elle souhaite prendre en charge pour l’inscription d’utilisateurs.
L’authentification unique avec ces protocoles varie selon le fournisseur et l’environnement. Par exemple, lorsque vous utilisez les services de fédération Active Directory (AD FS) sur le réseau d’une organisation, AD FS fonctionne avec Kerberos pour l’authentification unique et lorsque vous authentifiez des clients sur Internet, AD FS peut utiliser des témoins. Les protocoles d’authentification moderne ne dictent pas à l’utilisateur comment valider son identité. Bon nombre de ces protocoles sont utilisés en combinaison avec l’authentification à plusieurs facteurs comme un code SMS lors de l’identification de clients inconnus. Certains fournisseurs stockent des certificats sur l’appareil pour identifier des appareils connus afin de faciliter le processus d’authentification.
Les fournisseurs d’identité peuvent prendre en charge l’authentification unique dans iOS, iPadOS, macOS et visionOS 1.1 en utilisant des extensions d’authentification unique. Ces extensions permettent aux fournisseurs d’identité de mettre en œuvre des protocoles d’authentification modernes pour les utilisateurs.
Apps prises en charge
iOS, iPadOS et visionOS 1.1 offrent une prise en charge flexible de l’authentification unique à toute app utilisant la classe NSURLSession
ou URLSession
pour gérer les connexions réseau et l’authentification. Apple fournit à tous les développeurs ces classes pour que les connexions réseau s’intègrent naturellement au sein de leurs apps.
Toute app Mac prenant en charge l’authentification Kerberos fonctionne avec le processus SSO. Cela inclut la plupart des apps intégrées à macOS, telles que Safari, Mail et Calendrier, ainsi que les services de partage de fichier, de partage d’écran et SSH. De nombreuses apps tierces, telles que Microsoft Outlook, prennent aussi en charge le protocole Kerberos.
Configurer l’authentification unique
Vous pouvez configurer l’authentification unique à l’aide de profils de configuration, lesquels peuvent être soit installés manuellement, soit gérés par une solution de gestion des appareils mobiles. L’entité Authentification unique permet une configuration souple. L’authentification unique peut être ouverte à toutes les apps ou restreinte par identificateur d’app, par URL de service ou les deux.
Un simple filtrage par motif de chaîne est utilisé lors de la comparaison d’un motif avec le préfixe d’une URL demandée. Pour ce faire, les motifs doivent commencer par https:// ou http:// et ils ne correspondront pas à des numéros de port différents. Si un filtrage par motif d’URL ne se termine pas par une barre oblique (/), une barre oblique (/) lui sera annexée.
Par exemple, https://www.betterbag.com/ correspond à https://www.betterbag.com/index.html, mais ne correspondra pas à http://www.betterbag.com ou https://www.betterbag.com:443/.
Un simple métacaractère peut également être utilisé pour spécifier les sous-domaines manquants. Par exemple, https://*.betterbag.com/ correspond à https://store.betterbag.com/.
Les utilisateurs Mac peuvent consulter et gérer les informations du ticket Kerberos en utilisant l’app Visualiseur de ticket située dans /System/Library/CoreServices. Vous pouvez consulter des informations supplémentaires en cliquant sur le menu Ticket et en sélectionnant Informations de diagnostic. Si le profil de configuration le permet, les utilisateurs peuvent également demander, consulter et détruire les tickets Kerberos avec les outils de ligne de commande kinit
, klist
et kdestroy
, respectivement.