Úvod do jednorazového prihlásenia na Apple zariadeniach
Organizácie často využívajú jednorazové prihlásenie (SSO), ktoré je určené na zjednodušenie prihlasovania do apiek a na webové stránky. S SSO sa bežný proces autentifikácie používa na prístup k viacerým apkám alebo systémom bez potreby opätovného proklamovania identity užívateľom. SSO neukladá prihlasovacie údaje užívateľa (napríklad heslo) ani ich opätovne nepoužíva v každej apke alebo systéme, ale používa token poskytnutý pri prvotnej autentifikácii, čo užívateľom pripomína koncept jednorazového hesla.
K jednorazovému prihláseniu dôjde napríklad vtedy, keď sa prihlásite k svojmu poskytovateľovi identity a potom môžete bezproblémovo pristupovať k proprietárnym interným apkám a webovým stránkam bez opätovného zadávania hesla. Všetky apky a systémy sú nakonfigurované tak, aby poskytovateľovi identity dôverovali pri identifikácii užívateľov a ich členstva v skupinách. Spolu tak tvoria zabezpečenú doménu.
Moderná autentifikácia s SSO
Pojmom moderná autentifikácia sa označuje súbor webových autentifikačných protokolov používaných cloudovými aplikáciami. Patria tu napríklad riešenia SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1 alebo novší) a Open ID Connect (OIDC). Tieto protokoly dobre fungujú cez internet a pripojenia šifrujú pomocou protokolu HTTPS. Na federáciu medzi sieťami organizácie a cloudovými aplikáciami sa často používa protokol SAML 2.0. Pri prekračovaní hraníc dôveryhodných domén, napríklad pri prístupe ku cloudovým apkám z vašej internej domény, sa používa federácia.
Poznámka: Ak chcete využívať OAuth 2.0 s registráciou užívateľa, služba správy zariadení musí implementovať podporu OAuth 2.0 na strane servera s ľubovoľným poskytovateľom identity, ktorého chce podporovať.
Jednorazové prihlásenie sa pri používaní týchto protokolov líši v závislosti od dodávateľa a prostredia. Napríklad keď používate Active Directory Federation Services (AD FS) v sieti vašej organizácie, AD FS funguje pri SSO s riešením Kerberos a keď užívateľov autentifikujete cez internet, AD FS dokáže používať súbory cookies prehliadača. Moderné autentifikačné protokoly neprikazujú, akým spôsobom majú užívatelia preukazovať svoju identitu. Množstvo týchto protokolov sa pri autentifikácii neznámych klientov používa v kombinácii s ďalším spôsobom overenia, napríklad kódom zaslaným vo forme SMS (označuje sa ako viacfaktorová autentifikácia). Niektorí predajcovia priamo na zariadeniach poskytujú certifikáty na identifikáciu známych zariadení, čo napomáha procesu autentifikácie.
Poskytovatelia identít môžu podporovať SSO v iOS, iPadOS, macOS a visionOS prostredníctvom používania rozšírení jednorazového prihlásenia. Tieto rozšírenia umožňujú poskytovateľom identít implementovať pre užívateľov moderné autentifikačné protokoly.
Kerberos
Kerberos je známy autentifikačný protokol používaný na jednorazové prihlásenie vo veľkých sieťach. Je to tiež predvolený protokol používaný službou Active Directory. Funguje naprieč platformami, používa šifrovanie a chráni proti opakovaným útokom. Umožňuje autentifikovať užívateľov pomocou hesiel, certifikačných identít, kariet Smart Card, NFC zariadení a ďalších hardvérových autentifikačných prostriedkov. Server, na ktorom beží Kerberos, je známy ako centrum distribúcie kľúčov (Key Distribution Center, KDC). Apple zariadenia musia na autentifikáciu užívateľov kontaktovať KDC cez sieťové pripojenie.
Kerberos dobre funguje v internej alebo privátnej sieti organizácie, pretože všetci klienti a servery majú priame pripojenie k centru distribúcie kľúčov. Klienti, ktorí nie sú pripojení k podnikovej sieti, musia na pripojenie a autentifikáciu použiť virtuálnu privátnu sieť (VPN). Kerberos nie je ideálny pre apky založené na cloude alebo internete. Je to preto, že tieto apky nemajú priamu konektivitu s korporátnou sieťou. Pre apky založené na cloude alebo internete je vhodnejšia moderná autentifikácia (popísaná nižšie).
Ak je systém macOS integrovaný do prostredia Active Directory, uprednostňuje protokol Kerberos pri všetkých aktivitách autentifikácie. Keď sa užívateľ prihlási na Macu pomocou účtu Active Directory, na radič domény Active Directory sa odošle požiadavka na TGT lístok (Ticket Granting Ticket) protokolu Kerberos. Keď sa užívateľ pokúsi použiť ľubovoľnú službu alebo apku na doméne, ktorá podporuje autentifikáciu cez Kerberos, TGT lístok sa použije na vyžiadanie lístka pre danú službu bez toho, aby sa užívateľ musel znovu autentifikovať. Ak je pravidlo nastavené tak, aby sa vyžadovalo heslo na zrušenie šetriča obrazovky, macOS sa pokúsi obnoviť TGT po úspešnej autentifikácii.
Pre správne fungovanie serverov s technológiou Kerberos by mali byť vhodné DNS záznamy (Domain Name System) typu forward a reverse. Čas systémových hodín je tiež dôležitý, pretože časová odchýlka pre ľubovoľné servery a klientov musí byť menšia ako 5 minút. Najlepšie je nastaviť dátum a čas automaticky pomocou služby NTP (Network Time Protocol), ako je napríklad time.apple.com.
Podporované apky
Systémy iOS, iPadOS a visionOS poskytujú flexibilnú podporu pre jednorazové prihlásenie do ľubovoľnej apky využívajúcej na spravovanie sieťových pripojení a autentifikácie triedu NSURLSession alebo URLSession. Apple poskytuje všetkým vývojárom tieto triedy s cieľom bezproblémovej integrácie sieťových pripojení v rámci ich apiek.
Ľubovoľná apka na Macu, ktorá podporuje autentifikáciu cez Kerberos, pracuje s SSO. To zahŕňa mnoho apiek vstavaných do systému macOS, ako sú napríklad Safari, Mail a Kalendár, ako aj služby zdieľania súborov, zdieľania obrazovky a bezpečného shellu (SSH). Mnoho apiek tretích strán tiež podporuje Kerberos.
Konfigurácia jednorazového prihlásenia
Ak chcete nakonfigurovať SSO, pomocou služby správy zariadení použite potrebnú konfiguráciu. Konfigurácia musí obsahovať informácie o rozšírení pre jednotné prihlásenie, ktoré komunikuje s poskytovateľom identity, ako aj o apkách a webových URL adresách v Safari, ktoré môžu používať SSO alebo majú jeho používanie zakázané. Môžete tiež použiť rozšírenie pre jednorazové prihlásenie Kerberos od spoločnosti Apple, ktoré je súčasťou systémov iOS, iPadOS, macOS a visionOS.
Pri porovnávaní vzoru s predponou vyžiadanej URL sa používa porovnanie jednoduchého vzoru reťazca. Ako také sa musia vzory začínať reťazcom https:// alebo http:// a nebudú zhodné s odlišnými číslami portov. Ak sa zhodný vzor URL nekončí na lomku (/), bude pridaná.
Vzor https://www.betterbag.com/ vráti zhodu napríklad pre https://www.betterbag.com/index.html, nie však pre http://www.betterbag.com alebo https://www.betterbag. com:443/.
Na špecifikáciu chýbajúcich subdomén možno používať aj jednoduché náhradné znaky. Vzor https://*.betterbag.com/ vráti zhodu napríklad pre https://store.betterbag.com/.