Introduktion till enkel inloggning med Apple-enheter
Organisationer använder ofta enkel inloggning (SSO) som är utformad så att den förbättrar användarens upplevelse vid inloggning i appar och på webbplatser. Med SSO används en gemensam autentiseringsprocess till att komma åt flera appar eller system utan att användaren behöver försäkra sin identitet igen. Istället för att spara en användares inloggningsuppgifter (t.ex. lösenordet) och återanvända dem i varje app eller systen använder SSO den token som tillhandahållits under den första autentiseringen, vilket ger användare intrycket av ett koncept med ett enda lösenord.
Enkel inloggning inträffar t.ex. när du loggar in i Active Directory i företagsnätverket och sedan smidigt öppnar företagsappar och webbplatser utan att ange lösenordet igen. Alla apparna och systemen är konfigurerade för att lita på att Active Directory identifierar användare och tillhandahåller gruppmedlemskap – tillsammans utgör de en säkerhetsdomän.
Kerberos
Kerberos är ett populärt autentiseringsprotokoll som används för enkel inloggning i stora nätverk. Det är också det förvalda protokoll som används av Active Directory. Det fungerar i flera olika plattformar, använder kryptering och skyddar mot replayattacker. Det kan använda lösenord, certifikatidentiteter, smarta kort, NFC-enheter eller andra produkter för maskinvaruautentisering till att autentisera användaren. Servern som kör Kerberos kallas KDC (Key Distribution Center). Apple-enheter måste kontakta KDC via en nätverksanslutning för att autentisera användare.
Kerberos fungerar bra i en organisations interna eller privata nätverk eftersom alla klienter och servrar har direktanslutning till KDC-servern. Klienter som inte finns i företagsnätverket måste ansluta och autentisera via ett VPN-nätverk. Kerberos är inte perfekt för moln- eller internetbaserade appar. Det beror på att de här apparna saknar direktanslutning till företagsnätverket. För moln- eller internetbaserade appar är modern autentisering (beskrivs nedan) lämpligare.
macOS prioriterar Kerberos för alla autentiseringsaktiviteter när det integreras i en Active Directory-miljö. När en användare loggar in på en Mac med ett Active Directory-konto begärs en Kerberos-TGT (Ticket Granting Ticket) från Active Directory-domänövervakaren. När användaren försöker använda en tjänst eller en app i domänen som stöder Kerberos-autentisering används TGT till att begära en biljett för den tjänsten utan att användaren behöver autentisera igen. Om en policy ställs in om att ett lösenord krävs för att stänga av skärmsläckaren försöker macOS förnya TGT när autentiseringen har utförts.
För att servrar med Kerberos ska fungera på rätt sätt bör poster stämma för både forward och reverse DNS. Systemtiden är också viktig, eftersom tidsavvikelsen för klockan måste vara mindre än 5 minuter för alla servrar och klienter. Det bästa är att ställa in datum och tid automatiskt med hjälp av en nätverkstidsprotokolltjänst, t.ex. time.apple.com.
Modern autentisering med enkel inloggning
Modern autentisering avser en uppsättning med webbaserade autentiseringsprotokoll som används av molnappar. Några exempel är SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 eller senare) och Open ID Connect (OIDC). Dessa protokoll fungerar bra via internet och krypterar anslutningarna med HTTPS. SAML2 används ofta till federering mellan en organisations nätverk och molnappar. Federering används när betrodda domäner överskrids, exempelvis när du ansluter till en uppsättning molnappar från din lokala domän.
Obs! För att kunna dra nytta av OAuth 2.0 måste MDM-lösningen implementera stöd för OAuth 2.0 på serversidan med valfri identitetsleverantör som ska användas för användarregistrering.
Enkel inloggning med de här protokollen varierar beroende på leverantör och miljö. När du till exempel använder Active Directory Federation Services (AD FS) i en organisations nätverk används AD FS med Kerberos för enkel inloggning, och när du autentiserar klienter via internet kan AD FS använda webbläsarcookies. Protokoll för modern autentisering bestämmer inte hur användaren bekräftar sin identitet. Flera av de här protokollen används tillsammans med flerfaktorsautentisering, som en SMS-kod, vid autentisering från okända klienter. En del leverantörer tillhandahåller certifikat på enheten när de ska identifiera kända enheter för att göra autentiseringsprocessen enklare.
Identitetsleverantörer kan ha stöd för enkel inloggning i iOS, iPadOS, macOS och visionOS 1.1 genom användning av tillägg för enkel inloggning. De här tilläggen tillåter att identitetsleverantörer implementerar moderna autentiseringsprotokoll för sina användare.
Appar som stöds
iOS, iPadOS och visionOS 1.1 erbjuder ett flexibelt stöd för enkel inloggning (SSO) till alla appar som använder klassen NSURLSession eller URLSession till att hantera nätverksanslutningar och autentisering. Apple förser alla utvecklare med dessa klasser för smidig integrering av nätverksanslutningar i deras appar.
Alla Mac-appar som stöder Kerberos-autentisering fungerar med SSO. Det gäller många av de appar som ingår i macOS, som Safari, Mail och Kalender, samt även tjänster som fildelning, skärmdelning och SSH. Även många appar från tredje part, som Microsoft Outlook, har stöd för Kerberos.
Konfigurera enkel inloggning
Du konfigurerar enkel inloggning med konfigurationsprofiler som antingen kan installeras manuellt eller hanteras med MDM. Nyttolasten för enkel inloggning tillåter flexibel konfiguration. Enkel inloggning kan göras tillgängligt för alla appar eller begränsas efter appidentifierare, webbadress till tjänsten eller både och.
Enkel strängmönstermatchning används när ett mönster jämförs med prefixet för en efterfrågad webbadress. Mönstren måste börja med antingen https:// eller http:// och matchar inte olika portnummer. Om ett matchningsmönster för en webbadress inte slutar med ett snedstreck (/) läggas det till automatiskt.
https://www.betterbag.com/ matchar till exempel https://www.betterbag.com/index.html men inte http://www.betterbag.com eller https://www.betterbag.com:443/.
Ett jokertecken kan användas för att ange saknade underdomäner. Exempelvis matchar https://*.betterbag.com/ med https://store.betterbag.com/.
Mac-användare kan visa och hantera sin Kerberos-biljettinformation genom att använda appen Biljettvisare som finns i /System/Bibliotek/CoreServices/. Du kan visa ytterligare information genom att klicka på menyn Biljett och välja Diagnostisk information. Om det tillåts av konfigurationsprofilen kan användare också begära, visa och förstöra Kerberos-biljetter genom att använda kommandoradsverktygen kinit, klist och kdestroy.