Kerberos-kertakirjautumislaajennus Applen laitteissa
Kerberoksen kertakirjautumisen (Kerberos SSO) laajennus yksinkertaistaa Kerberoksen lipun myöntävän lipun (TGT) saamista organisaation paikallisesta Active Directorysta tai muusta identiteetintarjoajadomainista, mikä mahdollistaa käyttäjille saumattoman todentamisen sellaisiin resursseihin kuten verkkosivustot, apit ja tiedostopalvelimet.
Vaatimukset Kerberos-kertakirjautumislaajennukselle
Kerberoksen kertakirjautumislaajennuksen käyttäminen edellyttää seuraavia:
Laitteita on hallittava mobiililaitteiden hallintaratkaisulla (MDM), jossa on tuki laajennettavan kertakirjautumisen asetusprofiilitietosisällölle.
Pääsy verkkoon, jossa paikallinen Active Directory -domain on. Verkkoyhteyteen voidaan käyttää Wi-Fiä, Ethernetiä tai VPN:ää.
Active Directory ‑domain, jossa on käytössä Windows Server 2008 tai uudempi. Kerberoksen kertakirjautumislaajennusta ei ole tarkoitettu käytettäväksi Microsoft Entra ID:n kanssa, joka edellyttää perinteistä paikallista Active Directory -domainia.
Laajennus iOS:ssä, iPadOS:ssä ja visionOS 1.1:ssä
iOS:ssä, iPadOS:ssä ja visionOS 1.1:ssä Kerberos-kertakirjautumislaajennus aktivoidaan vasta, kun on saatu HTTP 401 neuvottele ‑haaste. Akun säästämiseksi tämä laajennus ei pyydä Active Directory ‑toimipaikan koodeja tai päivitä Kerberoksen TGT-lippua ennen kuin saa haasteen.
Kerberos-kertakirjautumislaajennukseen iOS:ssä, iPadOS:ssä ja visionOS 1.1:ssä sisältyvät seuraavat ominaisuudet:
Todentamismenetelmät Lisää tuen useille eri todentamismenetelmille, mukaan lukien salasanat ja varmenneidentiteetit (PKINIT). Varmenneidentiteetti voi olla CryptoTokenKit-älykortti, MDM:n toimittama identiteetti tai paikallinen avainnippu. Laajennus myös tukee Active Directory ‑salasanan vaihtamista, kun todentamisvalintaikkuna näytetään tai käyttämällä erillisen verkkosivuston osoitetta.
Salasanan vanheneminen: Pyytää salasanan vanhenemistietoa domainilta heti todentamisen jälkeen, salasanan vaihtumisen jälkeen ja ajoittain päivän aikana. Tätä tietoa käytetään salasanan vanhenemisilmoitusten antamiseksi ja uusien tunnistetietojen pyytämiseksi, jos käyttäjä on vaihtanut salasanaansa toisessa laitteessa.
VPN-tuki: Tukee monia erilaisia verkkomäärityksiä, mukaan lukien erilaiset VPN-teknologiat kuten appikohtainen VPN. Jos appikohtainen VPN on käytössä, Kerberos-kertakirjautumislaajennus käyttää appikohtaista VPN:ää vain, kun pyytävä appi tai verkkosivusto on määritetty käyttämään sitä.
Domainin tavoitettavuus: Käytä LDAP-pingiä domainille Active Directory ‑toimipaikan koodien pyytämiseen ja välimuistiin tallentamiseen nykyistä domain-verkkoyhteyttä varten. Jakaa toimipaikan koodin muiden prosessien Kerberos-pyyntöjen kanssa akun virran säästämiseksi. Jos haluat lisätietoja, katso Microsoftin dokumentaatiosivu 6.3.3 LDAP Ping.
Neuvotteluhaasteet: Käsittelee HTTP 401 neuvottele ‑haasteet verkkosivustoille, NSURLSession-pyynnöt ja NSURLSession-taustatehtävät.
Laajennus macOS:ssä
macOS:ssä Kerberos-kertakirjautumislaajennus hankkii proaktiivisesti verkon tilamuutosten yhteydessä Kerberoksen TGT-lipun, jolla varmistetaan, että käyttäjä on valmis todentamiseen, kun sitä tarvitaan. Kerberoksen kertakirjautumislaajennus auttaa käyttäjiä myös hallitsemaan Active Directory -tilejään. Lisäksi se sallii käyttäjien muuttaa Active Directory -salasanansa ja ilmoittaa heille, kun salasana on vanhentumassa. Käyttäjät voivat myös muuttaa paikallisen tilin salasanansa vastamaan Active Directory -salasanaansa.
Kerberoksen kertakirjautumislaajennusta tulee käyttää paikallisen Active Directory -domainin kanssa. Laitteiden ei tarvitse olla Active Directory ‑domainiin liittyneitä käyttääkseen Kerberos-kertakirjautumislaajennusta. Käyttäjien ei myöskään tarvitse kirjautua Mac-tietokoneilleen Active Directorylla tai liikkuvilla tileillä. Apple suosittelee käyttämään sen sijaan paikallisia tilejä.
Käyttäjien täytyy todentautua Kerberos-kertakirjautumislaajennukselle. Käyttäjät voivat aloittaa tämän prosessin jollakin seuraavista tavoista:
Jos Mac on yhteydessä verkkoon, jossa Active Directory ‑domain on saatavilla, käyttäjää pyydetään todentautumaan välittömästi sen jälkeen, kun laajennettavan kertakirjautumisen asetusprofiili on asennettu.
Jos profiili on jo asennettu, aina kun Mac yhdistyy verkkoon, jossa Active Directory ‑domain on saatavilla, käyttäjää pyydetään välittömästi todentautumaan.
Jos Safaria tai jotain muuta appia käytetään pääsyyn verkkosivustolle, joka hyväksyy tai edellyttää Kerberos-todentautumista, käyttäjää pyydetään todentautumaan.
Käyttäjä voi valita Kerberoksen kertakirjautumislaajennuksen valikkoekstran ja klikata sitten Kirjaudu sisään.
Kerberos-kertakirjautumislaajennukseen macOS:ssä sisältyvät seuraavat ominaisuudet:
Todentamismenetelmät Laajennus tukee useita eri todentamismenetelmiä, mukaan lukien salasanat ja varmenneidentiteetit (PKINIT). Varmenneidentiteetti voi olla CryptoTokenKit-älykortti, MDM:n toimittama identiteetti tai paikallinen avainnippu. Laajennus myös tukee AD-salasanan vaihtamista, kun todentamisvalintaikkuna näytetään tai käyttämällä erillisen verkkosivuston osoitetta.
Salasanan vanheneminen: Laajennus pyytää salasanan vanhenemistietoa domainilta heti todentamisen jälkeen, salasanan vaihtumisen jälkeen ja ajoittain päivän aikana. Tätä tietoa käytetään salasanan vanhenemisilmoitusten antamiseksi ja uusien tunnistetietojen pyytämiseksi, jos käyttäjä on vaihtanut salasanaansa toisessa laitteessa.
VPN-tuki: Laajennus tukee monia erilaisia verkkomäärityksiä, mukaan lukien VPN-palvelut, kuten appikohtainen VPN. Jos VPN on verkkolaajennus-VPN, se aloittaa automaattisesti yhteyden todentauduttaessa tai salasanaa vaihdettaessa. Jos taas yhteys on appikohtainen VPN, Kerberoksen kertakirjautumislaajennuksen valikkoekstra näyttää aina, että verkko on käytettävissä. Se johtuu siitä, että se käyttää LDAP-pingiä yrityksen verkon saatavuuden selvittämiseen. Kun appikohtainen VPN katkaisee yhteyden, LDAP-ping muodostaa sen uudelleen, jolloin appikohtainen VPN-yhteys näyttää olevan jatkuva. Todellisuudessa Kerberoksen kertakirjautumislaajennus on käynnistetty Kerberoksen on demand -liikennettä varten.
Lisää seuraavat tietueet App to App Layer VPN Mapping ‑määritykseen, jos haluat käyttää Kerberoksen kertakirjautumislaajennusta appikohtaisen VPN:n kanssa:
com.apple.KerberosExtension käyttäen määritettyä vaatimustunnistetta com.apple.KerberosExtension ja ankkuria apple
com.apple.AppSSOAgent käyttäen määritettyä vaatimustunnistetta com.apple.AppSSOAgent ja ankkuria apple
com.apple.KerberosMenuExtra käyttäen määritettyä vaatimustunnistetta com.apple.KerberosMenuExtra ja ankkuria apple
Domainin tavoitettavuus: Laajennus käyttää LDAP-pingiä domainille AD-toimipaikan koodien pyytämiseen ja välimuistiin tallentamiseen nykyistä domain-verkkoyhteyttä varten. Tämä auttaa säästämään akun virtaa. Ominaisuus myös jakaa toimipaikan koodin muiden prosessien Kerberos-pyyntöjen kanssa. Jos haluat lisätietoja, katso Microsoftin dokumentaatiosivu 6.3.3 LDAP Ping.
Kerberoksen TGT-lipun päivittäminen: Laajennus yrittää aina pitää Kerberoksen TGT-lipun tuoreena. Se tekee tämän valvomalla verkkoyhteyksiä ja Kerberos-välimuistin muutoksia. Kun yritysverkko on saatavilla ja tarvitaan uusi lippu, se pyytää uutta lippua proaktiivisesti. Jos käyttäjä valitsee automaattisen sisäänkirjautumisen, laajennus pyytää saumattomasti uutta lippua, kunnes käyttäjän salasana vanhenee. Jos käyttäjä ei valitse automaattista sisäänkirjautumista, käyttäjältä pyydetään tunnistetietoja, kun hänen Kerberos-tunnistetietonsa vanhenevat – yleensä 10 tunnin kuluttua.
Salasanan synkronointi: Laajennus synkronoi paikallisen tilin salasanan Active Directory ‑salasanan kanssa. Ensimmäisen synkronoinnin jälkeen se valvoo paikallisen ja Active Directory ‑tilin salasananvaihtopäiväyksiä saadakseen selville, ovatko tilien salasanat edelleen synkronoidut keskenään. Se käyttää päiväyksiä sisäänkirjautumisyritysten sijasta, jotta paikallista tai AD-tiliä ei lukittaisi liian monen epäonnistuneen kirjautumisyrityksen vuoksi.
Skriptien suorittaminen: Laajennus julkaisee ilmoituksia erilaisten tapahtumien tapahtuessa. Nämä ilmoitukset voivat käynnistää skriptien suorittamisen laajennettua toiminnallisuutta varten. Ilmoitusten lähettämistä käytetään suoran skriptien suorittamisen sijasta, koska Kerberos-laajennuksen prosessit on eristetty ja eristys auttaisi estämään skriptien toimintaa. On myös olemassa komentorivityökalu
app-sso, joka mahdollistaa skripteille laajennuksen tilan lukemisen ja yleisten toimintojen kuten sisäänkirjautumisen pyytämisen.Valikkoekstra: Laajennukseen kuuluu valikkoekstra, jonka avulla käyttäjät voivat kirjautua sisään, yhdistää uudelleen, vaihtaa salasanaa, kirjautua ulos ja katsoa yhteyden tilan. Uudelleenyhdistämisvalinta hakee aina uuden TGT-lipun ja päivittää salasanan vanhenemistiedot domainilta.
Tilin käyttö
Kerberoksen kertakirjautumislaajennus ei edellytä, että Mac on yhdistettynä Active Directoryyn tai että käyttäjä on kirjautuneena Maciin liikkuvalla tilillä. Apple suosittelee, että käytät Kerberoksen kertakirjautumislaajennusta paikallisella tilillä. Kerberoksen kertakirjautumislaajennus kehitettiin varta vasten parantamaan Active Directoryn integrointia paikalliselta tililtä. Jos kuitenkin päätät jatkaa liikkuvien tilien käyttöä, voit silti käyttää Kerberoksen kertakirjautumislaajennusta. Liikkuvien tilien käytön yhteydessä:
Salasanasynkronointi ei toimi. Jos käytät Kerberoksen kertakirjautumislaajennusta Active Directory -salasanan vaihtamiseen ja olet kirjautuneena Maciin samalla käyttäjätilillä kuin jota käytät Kerberoksen kertakirjautumislaajennuksenkin kanssa, salasanamuutokset toimivat samoin kuin Käyttäjät ja ryhmät -asetusosiossa. Jos kuitenkin vaihdat salasanan ulkoisesti (esimerkiksi verkkosivulla tai tukipalvelu nollaa sen), Kerberoksen kertakirjautumislaajennus ei voi synkronoida liikkuvan tilin salasanaa yhdenmukaiseksi Active Directory -salasanan kanssa.
Salasanan muutososoitteen käyttöä Kerberos-laajennuksen kanssa ei tueta.