ความปลอดภัยของ iPad ที่แชร์ใน iPadOS
iPad ที่แชร์คือโหมดหลายผู้ใช้สำหรับใช้ในการใช้งาน iPad โหมดนี้ทำให้ผู้ใช้สามารถแชร์ iPad ในขณะที่ยังคงแยกเอกสารและข้อมูลสำหรับผู้ใช้แต่ละคนได้ ผู้ใช้แต่ละคนจะได้รับจะตำแหน่งจัดเก็บข้อมูลที่สำรองไว้ของตัวเอง ซึ่งถูกใช้เป็นดิสก์โวลุ่ม APFS (Apple File System) ที่ปกป้องด้วยข้อมูลประจำตัวของผู้ใช้ iPad ที่แชร์ต้องใช้บัญชี Apple ที่มีการจัดการซึ่งออกและเป็นเจ้าของโดยองค์กร
เมื่อใช้ iPad ที่แชร์ ผู้ใช้สามารถลงชื่อเข้าอุปกรณ์ที่เป็นขององค์กรซึ่งได้รับการกำหนดค่าให้ใช้งานโดยผู้ใช้หลายคนได้ ข้อมูลของผู้ใช้จะถูกแบ่งเป็นไดเรกทอรีที่แยกจากกัน โดยแต่ละไดเรกทอรีจะอยู่ในโดเมนการปกป้องข้อมูลของตัวเอง และจะถูกปกป้องด้วยทั้งสิทธิ์ของ UNIX และ Sandbox ใน iPadOS 13.4 ขึ้นไป ผู้ใช้ยังสามารถลงชื่อเข้าเซสชั่นชั่วคราวได้อีกด้วย เมื่อผู้ใช้ลงชื่อออกจากเซสชั่นชั่วคราว ดิสก์โวลุ่ม APFS ของพวกเขาจะถูกลบ และพื้นที่ที่สำรองไว้จะถูกส่งกลับคืนสู่ระบบ
การลงชื่อเข้า iPad ที่แชร์
รองรับทั้ง บัญชี Apple ที่มีการจัดการเดิมและรวมเมื่อลงชื่อเข้า iPad ที่แชร์ ขณะใช้บัญชีร่วมกันเป็นครั้งแรก ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังพอร์ทัลการลงชื่อเข้าของผู้ให้บริการข้อมูลจำเพาะ (IdP) หลังจากที่ตรวจสอบสิทธิ์แล้ว จะมีการออกโทเค็นการเข้าถึงระยะสั้นสำหรับสำรองข้อมูลบัญชี Apple ที่มีการจัดการ และกระบวนการเข้าสู่ระบบจะดำเนินการคล้ายกับกระบวนการลงชื่อเข้าบัญชี Apple ที่มีการจัดการเดิม เมื่อลงชื่อเข้าแล้ว ผู้ช่วยตั้งค่าบน iPad ที่แชร์จะแจ้งให้ผู้ใช้สร้างรหัส (ข้อมูลประจำตัว) ที่ใช้เพื่อรักษาข้อมูลภายในบนอุปกรณ์ให้ปลอดภัยและตรวจสอบสิทธิ์เพื่อไปยังหน้าจอเข้าสู่ระบบในอนาคต เช่นเดียวกับอุปกรณ์สำหรับผู้ใช้คนเดียว ซึ่งผู้ใช้จะลงชื่อเข้าบัญชี Apple ที่มีการจัดการเพียงครั้งเดียวโดยใช้บัญชีรวม แล้วปลดล็อคอุปกรณ์ด้วยรหัส บน iPad ที่แชร์ ผู้ใช้ก็จะลงชื่อเข้าเพียงครั้งเดียวโดยใช้บัญชีรวม จากนั้นจะใช้รหัสที่สร้างในครั้งต่อๆ ไป
เมื่อผู้ใช้ลงชื่อเข้าโดยไม่มีการตรวจสอบสิทธิ์ร่วมกัน บัญชี Apple ที่มีการจัดการจะถูกตรวจสอบสิทธิ์กับบริการข้อมูลประจำตัว (IDS) ของ Apple โดยใช้โปรโตคอล SRP ถ้าตรวจสอบสิทธิ์สำเร็จ จะได้รับโทเค็นการเข้าถึงระยะสั้นเฉพาะอุปกรณ์ ถ้าผู้ใช้เคยใช้อุปกรณ์มาก่อน ผู้ใช้จะมีบัญชีผู้ใช้ในเครื่องอยู่แล้ว ซึ่งจะปลดล็อคโดยใช้ข้อมูลประจำตัวเดียวกัน
ถ้าผู้ใช้ไม่เคยใช้อุปกรณ์มาก่อน หรือกำลังใช้คุณสมบัติเซสชั่นชั่วคราว iPad ที่แชร์จะจัดเตรียม ID ผู้ใช้ใหม่ของ UNIX, ดิสก์โวลุ่ม APFS เพื่อจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้ และพวงกุญแจภายใน เนื่องจากพื้นที่จัดเก็บข้อมูลถูกจัดสรร (สำรอง) ไว้สำหรับผู้ใช้ตอนที่มีการสร้างดิสก์โวลุ่ม APFS พื้นที่ที่เหลืออยู่จึงอาจไม่เพียงพอต่อการสร้างดิสก์โวลุ่มใหม่ ในกรณีดังกล่าว ระบบจะระบุผู้ใช้ที่มีอยู่แล้วเพื่อระบุว่าผู้ใช้คนใดที่เชื่อมข้อมูลไปยังคลาวด์เสร็จสิ้นแล้ว และปลดผู้ใช้คนนั้นออกจากอุปกรณ์เพื่อให้ผู้ใช้คนใหม่ลงชื่อเข้าได้ ในกรณีที่ผู้ใช้ที่มีอยู่ทั้งหมดยังอัปโหลดข้อมูลไปยังคลาวด์ของตนไม่เสร็จสิ้น ซึ่งเกิดขึ้นได้ยาก ผู้ใช้คนใหม่จะไม่สามารถลงชื่อเข้าได้ ในการลงชื่อเข้า ผู้ใช้คนใหม่จะต้องรอให้ข้อมูลของผู้ใช้คนก่อนหน้าเชื่อมข้อมูลเสร็จสิ้นก่อน หรือจะต้องขอให้ผู้ดูแลระบบบังคับลบบัญชีผู้ใช้ที่มีอยู่แล้ว ซึ่งเสี่ยงต่อการทำให้ข้อมูลสูญหาย
ถ้าอุปกรณ์ไม่ได้เชื่อมต่อกับอินเทอร์เน็ต (เช่น ถ้าผู้ใช้ไม่มีจุดเชื่อมต่อ Wi-Fi) อาจเกิดการตรวจสอบสิทธิ์ขึ้นกับบัญชีในเครื่องในช่วงระยะเวลาที่จำกัด ในสถานการณ์เช่นนั้น เฉพาะผู้ใช้ที่มีบัญชีในเครื่องอยู่ก่อนหน้านี้หรือผู้ใช้ที่มีเซสชั่นชั่วคราวเท่านั้นที่จะสามารถลงชื่อเข้าได้ หลังจากการจำกัดเวลาหมดอายุ ผู้ใช้จะต้องตรวจสอบสิทธิ์ออนไลน์แม้ว่าจะมีบัญชีในเครื่องอยู่แล้วก็ตาม
หลังจากที่บัญชีในเครื่องของผู้ใช้ถูกปลดล็อคหรือถูกสร้างแล้ว ถ้าบัญชีนั้นได้รับการตรวจสอบสิทธิ์จากระยะไกล โทเค็นระยะสั้นที่ออกโดยเซิร์ฟเวอร์ของ Apple จะถูกแปลงเป็นโทเค็น iCloud ที่อนุญาตให้ลงชื่อเข้า iCloud จากนั้นการตั้งค่าของผู้ใช้จะถูกกู้คืนและเอกสารและข้อมูลของผู้ใช้จะถูกเชื่อมข้อมูลจาก iCloud
ขณะที่เซสชั่นของผู้ใช้ยังทำงานอยู่และอุปกรณ์ยังออนไลน์ เอกสารและข้อมูลจะถูกจัดเก็บบน iCloud เมื่อสร้างหรือแก้ไข นอกจากนี้ กลไกเชื่อมข้อมูลเบื้องหลังจะช่วยให้มั่นใจได้ว่าการเปลี่ยนแปลงจะถูกผลักไปที่ iCloud หรือบริการเว็บอื่นๆ โดยใช้เซสชั่นพื้นหลัง NSURLSession หลังจากที่ผู้ใช้ลงชื่อออก หลังจากการเชื่อมข้อมูลเบื้องหลังสำหรับผู้ใช้รายนั้นเสร็จสมบูรณ์ ดิสก์โวลุ่ม APFS ของผู้ใช้จะเลิกการต่อเชื่อม และจะไม่สามารถต่อเชื่อมได้อีกครั้งหากผู้ใช้ไม่ลงชื่อเข้ากลับมาใหม่
เซสชั่นชั่วคราวจะไม่เชื่อมข้อมูลกับ iCloud และแม้ว่าเซสชั่นชั่วคราวจะสามารถลงชื่อเข้าบริการเชื่อมข้อมูลของบริษัทอื่นได้ เช่น Box หรือ Google Drive ไม่มีคุณสมบัติที่จะเชื่อมข้อมูลต่อไปเมื่อเซสชั่นชั่วคราวสิ้นสุดลง
การลงชื่อออกจาก iPad ที่แชร์
เมื่อผู้ใช้ลงชื่อออกจาก iPad ที่แชร์ กระเป๋ากุญแจ (Keybag) ของผู้ใช้คนนั้นจะถูกล็อคโดยทันทีและแอปทั้งหมดจะถูกปิดระบบ ในการเพิ่มความเร็วกรณีที่ผู้ใช้คนใหม่ลงชื่อเข้า iPadOS จะเลื่อนการทำงานลงชื่อออกตามปกติบางรายการออกไปชั่วคราว แล้วแสดงหน้าต่างเข้าสู่ระบบสำหรับผู้ใช้คนใหม่นั้น ถ้าผู้ใช้ลงชื่อเข้าในช่วงเวลานี้ (ประมาณ 30 วินาที) iPad ที่แชร์จะดำเนินการล้างข้อมูลที่เลื่อนออกไปซึ่งเป็นส่วนหนึ่งของการลงชื่อเข้าบัญชีผู้ใช้ใหม่ อย่างไรก็ตาม ถ้า iPad ที่แชร์ไม่ได้ใช้งาน ระบบจะสั่งทำงานการล้างข้อมูลที่เลื่อนออกไป ในระหว่างระยะการล้างข้อมูล ระบบจะเริ่มการทำงานหน้าต่างเข้าสู่ระบบใหม่คล้ายกับการลงชื่อออกอีกครั้ง
เมื่อเซสชั่นชั่วคราวสิ้นสุดลง iPad ที่แชร์จะดำเนินขั้นตอนการออกจากระบบตามลำดับอย่างสมบูรณ์และลบดิสก์โวลุ่ม APFS ของเซสชั่นชั่วคราวโดยทันที