Keamanan masuk tunggal
Masuk tunggal
iOS, iPadOS, dan visionOS mendukung pengesahan ke jaringan perusahaan melalui Masuk tunggal (SSO). SSO dapat digunakan dengan jaringan berbasis Kerberos untuk mengesahkan pengguna atas layanan yang berhak mereka akses. SSO dapat digunakan untuk berbagai aktivitas jaringan, dari sesi Safari aman hingga app pihak ketiga. Pengesahan berbasis sertifikat seperti PKINIT juga didukung.
macOS mendukung pengesahan ke jaringan perusahaan menggunakan Kerberos. App dapat menggunakan Kerberos untuk mengesahkan pengguna ke layanan yang disahkan untuk diakses. Kerberos juga dapat digunakan untuk berbagai aktivitas jaringan, dari sesi Safari aman dan pengesahan sistem file jaringan hingga app pihak ketiga. Pengesahan berbasis sertifikat didukung, meskipun memerlukan adopsi app dari API pengembang.
SSO iOS, iPadOS, macOS, serta visionOS menggunakan token SPNEGO dan protokol Negosiasi HTTP untuk bekerja dengan gateway pengesahan berbasis Kerberos dan sistem Pengesahan Terpadu Windows yang mendukung tiket Kerberos. Dukungan SSO didasarkan pada proyek Heimdal sumber terbuka.
Jenis enkripsi berikut didukung:
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
DES3-CBC-SHA1
ARCFOUR-HMAC-MD5
Safari mendukung SSO, dan app pihak ketiga yang menggunakan API jaringan iOS, iPadOS, serta visionOS standar yang juga dapat dikonfigurasi untuk menggunakannya. Untuk mengonfigurasi SSO, iOS, iPadOS, dan visionOS mendukung muatan profil konfigurasi yang memungkinkan solusi manajemen perangkat bergerak (MDM) untuk menonaktifkan pengaturan yang diperlukan. Ini meliputi pengaturan nama pokok pengguna (yaitu, akun pengguna Active Directory) dan pengaturan realm Kerberos, serta konfigurasi mengenai app dan URL web Safari mana yang harus diizinkan untuk menggunakan SSO.
Masuk tunggal yang dapat diperluas
Pengembang app dapat menyediakan penerapan masuk tunggalnya sendiri menggunakan ekstensi SSO. Ekstensi SSO diaktifkan saat app asli atau web perlu menggunakan beberapa penyedia identitas untuk pengesahan pengguna. Pengembang dapat menyediakan dua jenis ekstensi: jenis yang mengalihkan ke HTTPS dan jenis yang menggunakan mekanisme tantangan/respons seperti Kerberos. Hal ini memungkinkan skema pengesahan OpenID, OAuth, SAML2, dan Kerberos didukung oleh masuk tunggal yang dapat diperluas. Ekstensi SSO mungkin juga mendukung pengesahan macOS dengan mengadopsi protokol SSO asli, yang memungkinkan pengambilan token SSO selama proses masuk ke macOS.
Untuk menggunakan ekstensi masuk tunggal, app dapat menggunakan API AuthenticationServices atau dapat mengandalkan mekanisme intersepsi URL yang ditawarkan oleh sistem operasi. WebKit dan CFNetwork menyediakan lapisan intersepsi yang memungkinkan dukungan tanpa hambatan dari masuk tunggal untuk app asli atau WebKit. Agar ekstensi masuk tunggal diaktifkan, konfigurasi yang disediakan oleh administrator harus diinstal melalui profil manajemen perangkat bergerak (MDM). Selain itu, ekstensi jenis pengalih harus menggunakan muatan Domain Terkait untuk membuktikan bahwa server identitas yang didukung mengetahui keberadaannya.
Satu-satunya ekstensi yang disediakan dengan sistem operasi adalah ekstensi SSO Kerberos.