Sikkerhed i Single sign-on
Single sign-on
iOS og iPadOS understøtter godkendelse i virksomhedsnetværk via SSO (Single sign-on). SSO godkender i samarbejde med Kerberos-baserede netværk brugeres adgang til tjenester, de har tilladelse til at få adgang til. SSO kan bruges til en lang række netværksaktiviteter lige fra sikre Safari-sessioner til apps fra tredjeparter. Godkendelse baseret på certifikater såsom PKINIT understøttes også.
macOS understøtter godkendelse i virksomhedsnetværk via Kerberos. Apps kan bruge Kerberos til at godkende brugeres adgang til tjenester, de er godkendt til. Kerberos kan også bruges til en lang række netværksaktiviteter lige fra sikre Safari-sessioner og godkendelse af netværksarkivsystemer til apps fra tredjeparter. Godkendelse baseret på certifikater understøttes, men det kræver brug af et udvikler-API til apps.
SSO i iOS, iPadOS og macOS benytter SPNEGO-tokens og HTTP Negotiate-protokollen til at arbejde sammen med Kerberos-baserede godkendelsesgateways og systemer med Windows-integreret godkendelse, som understøtter Kerberos-billetter. SSO-understøttelsen er baseret på Open Source-projektet Heimdal.
Følgende krypteringstyper understøttes i iOS, iPadOS og macOS:
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
DES3-CBC-SHA1
ARCFOUR-HMAC-MD5
Safari understøtter SSO, og apps fra tredjeparter kan også konfigureres til at bruge SSO, hvis de bruger standardnetværks-API'er i iOS og iPadOS. Til konfigurationen af SSO understøtter iOS og iPadOS konfigurationsprofildata, der giver løsninger til administration af mobile enheder (MDM) mulighed for at overføre de nødvendige indstillinger. Det gælder indstilling af brugerens principal-navn (dvs. Active Directory-brugerkontoen) og Kerberos-områdeindstillinger samt konfiguration af, hvilke apps og URL-adresser i Safari der har tilladelse til at bruge SSO.
Udvidet SSO
App-udviklere kan skabe deres egne implementeringer af SSO ved at bruge SSO-udvidelser. SSO-udvidelserne kaldes, når en indbygget app eller en webapp skal bruge en eller anden identitetsudbyder til brugergodkendelse. Udviklere kan levere to typer udvidelser: Omdirigering (HTTPS) og udfordring/svar (Kerberos). Det betyder, at godkendelsesmekanismerne OpenID, OAuth, SAML2 og Kerberos kan bruges af udvidet SSO. SSO-udvidelser kan også understøtte macOS-godkendelse ved at implementere en indbygget SSO-protokol, som gør det muligt at hente SSO-tokens, når en bruger logger ind i macOS.
En app, der vil bruge en SSO-udvidelse, kan enten bruge API'et AuthenticationServices eller benytte den mekanisme til opsnapning af URL-adresser, som er indeholdt i operativsystemet. WebKit og CFNetwork har et opsnapningslag, der giver alle indbyggede apps og WebKit-apps mulighed for at bruge SSO uden videre. Før en SSO-udvidelse kan kaldes, skal en konfiguration udarbejdet af en administrator installeres via en profil til administration af mobile enheder (MDM). Udvidelser af omdirigeringstypen skal derudover bruge data om tilknyttede domæner til at bevise, at den identitetsserver, de understøtter, er klar over deres eksistens.
Den eneste udvidelse, der følger med operativsystemet, er Kerberos SSO-udvidelsen.