Segurança de Início de sessão único
Início de sessão único
O iOS e iPadOS oferecem suporte à autenticação em redes empresariais através do Início de Sessão Único (SSO). O SSO trabalha com redes baseadas em Kerberos para autenticar usuários nos serviços em que são autorizados a acessar. O SSO pode ser usado em uma série de atividades de rede, de sessões seguras do Safari até apps de terceiros. Também há suporte à autenticação baseada em certificados, como PKINIT.
O macOS oferece suporte à autenticação em redes empresariais por meio do Kerberos. Os apps podem usar o Kerberos para autenticar usuários nos serviços que são autorizados a acessar. O Kerberos também pode ser usado em uma série de atividades de rede, de sessões seguras do Safari e autenticação em sistemas de arquivos em rede até apps de terceiros. Há suporte à autenticação baseada em certificados, embora o app seja obrigado a adotar uma API de desenvolvedor.
O SSO do iOS, iPadOS e macOS usa tokens SPNEGO e o protocolo HTTP Negotiate para funcionar com gateways de autenticação baseados em Kerberos e sistemas de Autenticação Integrada do Windows que oferecem suporte a tíquetes do Kerberos. O suporte ao SSO é baseado no projeto Heimdal de código aberto.
Os seguintes tipos de criptografia são aceitos no iOS, iPadOS e macOS:
AES-128-CTS-HMAC-SHA1-96;
AES-256-CTS-HMAC-SHA1-96;
DES3-CBC-SHA1;
ARCFOUR-HMAC-MD5.
O Safari oferece suporte ao SSO e os apps de terceiros que usam APIs de rede padrão do iOS e iPadOS também podem ser configurados para usá-lo. Para configurar o SSO, o iOS e iPadOS oferecem suporte ao payload de um perfil de configuração que permite que soluções de gerenciamento de dispositivos móveis (MDM) acionem os ajustes necessários. Isso inclui a definição do nome principal do usuário (ou seja, a conta do usuário no Active Directory) e os ajustes do domínio Kerberos, assim como a definição de quais apps e URLs do Safari devem ter permissão para usar o SSO.
Início de sessão único extensível
Os desenvolvedores de apps podem fornecer suas próprias implementações do início de sessão único por meio de extensões do SSO. As extensões SSO são chamadas quando um app nativo ou web precisa usar algum provedor de identidade para autenticação do usuário. Os desenvolvedores podem fornecer dois tipos de extensões: as que redirecionam para HTTPS e as que usam um mecanismo de desafio/resposta, como Kerberos. Isso permite que os esquemas de autenticação do OpenID, OAuth, SAML2 e Kerberos sejam usados com o início de sessão único extensível. As extensões de SSO também podem ser compatíveis com a autenticação do macOS, adotando um protocolo SSO nativo, que permite a recuperação de tokens SSO durante o início de sessão do macOS
Para usar uma extensão de início de sessão único, um app pode usar a API AuthenticationServices ou o mecanismo de interceptação de URL oferecido pelo sistema operacional. O WebKit e p CFNetwork fornecem uma camada de interceptação que permite suporte integrado ao início de sessão único em qualquer app nativo ou WebKit. Para que uma extensão de início de sessão único seja chamada, uma configuração fornecida por um administrador deve ser instalada por meio de um perfil de gerenciamento de dispositivos móveis (MDM). Além disso, as extensões do tipo redirecionamento devem usar o payload de Domínios Associados para provar que o servidor de identidade ao qual oferecem suporte está ciente da sua existência.
A única extensão fornecida com o sistema operacional é a extensão de SSO do Kerberos.