Rozszerzenie logowania jednokrotnego Kerberos na urządzeniach Apple
Rozszerzenie Kerberos SSO upraszcza proces pobierania biletów TGT z lokalnej (on-premise) domeny Active Directory organizacji lub domeny innego dostawcy tożsamości, co umożliwia użytkownikom bezproblemowe uwierzytelnianie w takich zasobach, jak witryny, aplikacje oraz serwery plików.
Wymagania dotyczące korzystania z rozszerzenia Kerberos SSO
Wymagania rozszerzenia Kerberos SSO:
Urządzenia zarządzane przy użyciu rozwiązania MDM oferującego obsługę pakietu danych profilu konfiguracji Extensible Single Sign-on (SSO).
Dostęp do sieci, w której zlokalizowana jest lokalna domena Active Directory (on-premise). Może być to dostęp za pośrednictwem sieci Wi-Fi, Ethernet lub VPN.
Domena Active Directory z systemem Windows Server 2008 lub nowszym. Rozszerzenie Kerberos SSO nie jest przeznaczone do użycia w połączeniu z usługą Microsoft Entra ID, która wymaga tradycyjnej lokalnej (on-premise) domeny Active Directory.
Rozszerzenie w systemach iOS, iPadOS i visionOS 1.1
W systemach iOS, iPadOS i visionOS 1.1 rozszerzenie Kerberos SSO jest aktywowane po odebraniu wyzwania HTTP 401 Negotiate. W celu zmniejszenia zużycia baterii, do momentu otrzymania wyzwania rozszerzenie to nie wysyła żądania kodów witryny Active Directory ani nie odświeża identyfikatora Kerberos TGT.
Funkcje rozszerzenia Kerberos SSO w systemach iOS, iPadOS i visionOS 1.1 to między innymi:
Metody uwierzytelniania: Dodaje obsługę wielu różnych metod uwierzytelniania, między innymi opartych o użycie haseł oraz certyfikatów tożsamości (PKINIT). Tożsamość certyfikatu może znajdować się na karcie inteligentnej obsługującej CryptoTokenKit, być dostarczana przez rozwiązanie MDM lub znajdować się w lokalnym pęku kluczy. Rozszerzenie obsługuje także zmianę hasła Active Directory podczas wyświetlania okna dialogowego uwierzytelniania oraz przy użyciu adresu URL prowadzącego do osobnej witryny.
Wygaśnięcie hasła: Żądanie informacji o wygaśnięciu hasła wysyłane jest do domeny od razu po uwierzytelnieniu, po zmianie hasła oraz okresowo w ciągu dnia. Ta informacja jest używana do wyświetlania powiadomień o wygaśnięciu hasła oraz żądania nowych danych uwierzytelniania, jeśli użytkownik zmienił hasło na innym urządzeniu.
Obsługa VPN: Obsługiwanych jest wiele różnych konfiguracji sieci i technologii VPN, na przykład funkcja VPN dla aplikacji. Jeśli używana jest funkcja VPN dla aplikacji, rozszerzenie Kerberos SSO używa jej tylko wtedy, gdy dana aplikacja lub witryna jest skonfigurowana do jej użycia.
Dostępność domeny: Polecenie ping protokołu LDAP umożliwia wysłanie żądania uzyskania kodów lokalizacji Active Directory dla bieżącego połączenia sieciowego z domeną, a następnie zachowanie ich w pamięci podręcznej. Kod lokalizacji udostępniany jest żądaniom Kerberos z innych procesów w celu przedłużenia czasu pracy na baterii. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją firmy Microsoft: 6.3.3 LDAP Ping.
Wyzwania negocjacji: Obsługa wyzwań HTTP 401 podczas negocjacji połączeń z witrynami, żądań NSURLSession oraz zadań NSURLSession wykonywanych w tle.
Rozszerzenie w systemie macOS
W systemie macOS rozszerzenie Kerberos SSO proaktywnie pobiera identyfikator Kerberos TGT przy zmianie stanu sieci, zapewniając możliwość uwierzytelnienia użytkownika w razie potrzeby. Rozszerzenie Kerberos SSO pomaga także użytkownikom zarządzać swoimi kontami Active Directory. Oprócz tego pozwala ono użytkownikom zmieniać swoje hasła Active Directory oraz powiadamia ich, gdy zbliża się termin wygaśnięcia hasła. Użytkownicy mogą także zmienić hasła swoich kont lokalnych na hasła Active Directory.
Rozszerzenie Kerberos SSO powinno być używane z domeną Active Directory on-premise. Urządzenia mogą używać rozszerzenia Kerberos SSO bez konieczności dołączania do domeny Active Directory. Dodatkowo użytkownicy nie muszą logować się na swoich komputerach Mac przy użyciu kont Active Directory lub kont mobilnych. Zamiast tego Apple zaleca korzystanie z kont lokalnych.
Użytkownicy muszą uwierzytelnić się w rozszerzeniu Kerberos SSO. Istnieje kilka metod rozpoczynania tego procesu:
Jeśli Mac jest połączony z siecią, w której dostępna jest domena Active Directory, użytkownik jest proszony o uwierzytelnienie natychmiast po zainstalowaniu profilu konfiguracji Extensible SSO.
Jeśli profil ten jest już zainstalowany, za każdym razem, gdy Mac łączy się z siecią, w której dostępna jest domena Active Directory, użytkownik jest od razu proszony o uwierzytelnienie.
Jeśli przy użyciu Safari lub dowolnej innej aplikacji otwierana jest witryna akceptująca lub wymagająca uwierzytelnienia Kerberos, użytkownik proszony jest o uwierzytelnienie.
Użytkownik może wybrać menu dodatkowe rozszerzenia Kerberos SSO, a następnie kliknąć w Zaloguj się.
Funkcje rozszerzenia Kerberos SSO w systemie macOS to między innymi:
Metody uwierzytelniania: Rozszerzenie obsługuje wiele różnych metod uwierzytelniania, między innymi opartych o użycie haseł oraz certyfikatów tożsamości (PKINIT). Tożsamość certyfikatu może znajdować się na karcie inteligentnej obsługującej CryptoTokenKit, być dostarczana przez rozwiązanie MDM lub znajdować się w lokalnym pęku kluczy. Rozszerzenie obsługuje także zmianę hasła Active Directory podczas wyświetlania okna dialogowego uwierzytelniania oraz przy użyciu adresu URL prowadzącego do osobnej witryny.
Wygaśnięcie hasła: Rozszerzenie wysyła do domeny żądanie informacji o wygaśnięciu hasła od razu po uwierzytelnieniu, po zmianie hasła oraz okresowo w ciągu dnia. Ta informacja jest używana do wyświetlania powiadomień o wygaśnięciu hasła oraz żądania nowych danych uwierzytelniania, jeśli użytkownik zmienił hasło na innym urządzeniu.
Obsługa VPN: Rozszerzenie obsługuje wiele różnych konfiguracji sieci, w tym usługi VPN, na przykład VPN dla aplikacji. W przypadku połączeń VPN obsługiwanych przez rozszerzenie sieci VPN, połączenie nawiązywane jest automatycznie podczas uwierzytelniania lub zmiany hasła. Jeśli natomiast używana jest funkcja VPN dla aplikacji, menu dodatkowe Kerberos SSO zawsze informuje, że sieć jest dostępna. Dzieje się tak, ponieważ dostępność sieci korporacyjnej sprawdzana jest przy użyciu polecenia ping protokołu LDAP. Gdy połączenie VPN dla aplikacji rozłącza się, polecenie ping protokołu LDAP powoduje ponowne nawiązanie połączenia, co w efekcie widoczne jest jako ciągłe połączenie VPN dla aplikacji. W rzeczywistości rozszerzenie Kerberos SSO zostało uaktywnione na żądanie do obsługi ruchu sieciowego Kerberos.
Dodanie poniższych pozycji do odwzorowania VPN w warstwie aplikacji pozwala na używanie rozszerzenia Kerberos SSO z funkcją VPN dla aplikacji:
com.apple.KerberosExtension z dodatkowym wymogiem: com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent z dodatkowym wymogiem: identifier com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra z dodatkowym wymogiem: identifier com.apple.KerberosMenuExtra and anchor apple
Dostępność domeny: Rozszerzenie to używa polecenia ping protokołu LDAP w celu wysłania żądania uzyskania kodów lokalizacji Active Directory dla bieżącego połączenia sieciowego z domeną, a następnie zachowuje je w pamięci podręcznej. Ma to na celu oszczędzanie baterii. Kod lokalizacji udostępniany jest także żądaniom Kerberos z innych procesów. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją firmy Microsoft: 6.3.3 LDAP Ping.
Odświeżanie identyfikatora Kerberos TGT: Rozszerzenie stara się zawsze utrzymywać aktualny identyfikator Kerberos TGT. W tym celu monitoruje połączenia z siecią oraz zmiany w pamięci podręcznej Kerberos. Gdy sieć korporacyjna jest dostępna i potrzebny jest nowy bilet, proaktywnie wysyłane jest żądanie jego uzyskania. Jeśli użytkownik wybierze automatyczne logowanie, rozszerzenie wysyła żądania uzyskania nowego biletu do momentu wygaśnięcia hasła użytkownika. Jeśli użytkownik nie wybierze automatycznego logowania, otrzymuje prośbę o uwierzytelnienie za każdym razem, gdy wygasają dane uwierzytelnienia Kerberos, czyli zwykle co 10 godzin.
Synchronizacja haseł: Rozszerzenie synchronizuje hasło konta lokalnego z hasłem Active Directory. Po przeprowadzeniu pierwszej synchronizacji monitoruje ono daty zmian hasła konta lokalnego i hasła Active Directory, aby ustalić, czy hasła są nadal zsynchronizowane. Używanie dat zamiast prób logowania chroni przez zablokowaniem konta lokalnego lub konta Active Directory na skutek zbyt wielu nieudanych prób logowania.
Uruchamianie skryptów: Rozszerzenie rozsyła powiadomienia po wystąpieniu określonych zdarzeń. Te powiadomienia mogą uruchamiać skrypty zapewniające dodatkowe funkcje. Wysyłanie powiadomień zamiast bezpośredniego uruchamiania skryptów jest konieczne, ponieważ procesy rozszerzenia Kerberos działają w piaskownicy, której celem jest blokowanie możliwości uruchamiania skryptów. Dostępne jest także narzędzie wiersza poleceń
app-sso, które pozwala skryptom odczytywać stan rozszerzenia i wysyłać żądania wykonania określonych czynności, takich jak logowanie.Menu dodatkowe: Rozszerzenie zawiera menu dodatkowe pozwalające użytkownikowi na logowanie się, łączenie ponowne, zmienianie hasła, wylogowywanie się oraz wyświetlanie statusu połączenia. Opcja ponownego połączenia zawsze pobiera nowy identyfikator TGT i odświeża z domeny dane dotyczące wygaśnięcia hasła.
Używanie kont
Rozszerzenie Kerberos SSO nie wymaga dowiązania Maca do Active Directory ani zalogowana użytkownika na Macu przy użyciu konta mobilnego. Zgodnie z zaleceniami Apple rozszerzenie Kerberos SSO powinno być używane z kontem lokalnym. Rozszerzenie Kerberos SSO zostało stworzone właśnie w celu usprawnienia integracji Active Directory przy korzystaniu z kont lokalnych. Jeśli jednak zdecydujesz się na dalsze korzystanie z kont mobilnych, możesz nadal używać rozszerzenia Kerberos SSO. W przypadku korzystania z kont mobilnych:
Synchronizacja haseł nie jest obsługiwana. Jeśli użytkownik zmienia swoje hasło Active Directory przy użyciu rozszerzenia Kerberos SSO i jest zalogowany na Macu przy użyciu tego samego konta, którego używa z rozszerzeniem Kerberos SSO, zmiana hasła działa tak samo, jak w panelu preferencji Użytkownicy i grupy. Jednak w przypadku przeprowadzenia zewnętrznej zmiany hasła, czyli zmiany go w witrynie lub wyzerowania go przez helpdesk, rozszerzenie Kerberos SSO nie może zsynchronizować hasła konta mobilnego z hasłem Active Directory.
Używanie z rozszerzeniem Kerberos adresu URL do zmiany hasła nie jest obsługiwane.