Extensia de autentificare unică Kerberos cu dispozitivele Apple
Extensia de autentificare unică Kerberos (Kerberos SSO) simplifică procesul de obținere a unui tichet de acordare a tichetelor Kerberos (TGT) din Active Directory sau alt domeniu al furnizorului de identitate local al organizației dvs., permițând autentificarea fără întreruperi a utilizatorilor la resurse precum site‑uri web, aplicații și servere de fișiere.
Cerințe pentru utilizarea extensiei Kerberos SSO
Pentru a utiliza extensia Kerberos SSO, trebuie să aveți:
Dispozitive gestionate cu o soluție de gestionare a dispozitivelor mobile (MDM) care oferă compatibilitate cu sarcina profilului de configurare Autentificare unică extensibilă (SSO).
Acces la rețeaua unde este găzduit domeniul local Active Directory. Accesul la această rețea poate fi realizat prin Wi-Fi, Ethernet sau VPN.
Un domeniu Active Directory care să utilizeze Windows Server 2008 sau ulterior. Extensia Kerberos SSO nu este destinată utilizării împreună cu Microsoft Entra ID, care necesită un domeniu Active Directory local tradițional.
Extensia în iOS, iPadOS și visionOS 1.1
Pe iOS, iPadOS și visionOS 1.1, extensia SSO Kerberos este activată doar după primirea solicitării de negociere HTTP 401. Pentru a economisi bateria, această extensie nu solicită coduri ale site-ului Active Directory și nu reîmprospătează un TGT Kerberos înaintea solicitării.
Extensia SSO Kerberos are următoarele funcționalități pentru iOS, iPadOS și visionOS 1.1:
Metode de autentificare: Oferă compatibilitate pentru mai multe metode de autentificare diferite, inclusiv parole și identități de certificate (PKINIT). Identitatea de certificat se poate afla pe un smart card CryptoTokenKit, o identitate furnizată de MDM sau portcheiul local. De asemenea, extensia acceptă schimbarea parolei Active Directory atunci când este afișat dialogul de autentificare sau când este folosit un URL spre un site web separat.
Expirarea parolei: Solicită informații despre expirarea parolei din domeniu imediat după autentificare, după schimbările parolei și periodic pe durata zilei. Aceste informații sunt utilizate pentru a furniza notificări despre expirarea parolei și a solicita noi acreditări dacă utilizatorul și-a schimbat parola pe alt dispozitiv.
Compatibilitatea VPN: Oferă compatibilitate cu multe configurații de rețea diferite, inclusiv diverse tehnologii VPN, cum ar fi VPN per aplicație. Dacă se utilizează VPN per aplicație, extensia Kerberos SSO utilizează tehnologia VPN per aplicație doar când aplicația sau site‑ul web solicitant este configurat să o utilizeze.
Accesibilitatea domeniului: Utilizează un ping LDAP către domeniu pentru a solicita și apoi a stoca temporar codurile site-ului Active Directory pentru conexiunea de rețea curentă la domeniu. Aceasta partajează codul site-ului cu solicitările Kerberos pentru alte procese, cu scopul de a spori autonomia bateriei. Pentru informații suplimentare, consultați documentația Microsoft 6.3.3 LDAP Ping.
Solicitări de negociere: Gestionează solicitările de negociere HTTP 401 pentru site-uri web, solicitările NSURLSession și sarcinile de fundal NSURLSession.
Extensia în macOS
Pe macOS, extensia SSO Kerberos obține în mod proactiv un tichet Kerberos TGT la fiecare schimbare a stării rețelei pentru a se asigura că utilizatorul este gata să se autentifice când este necesar. De asemenea, extensia Kerberos SSO îi ajută pe utilizatori să își gestioneze conturile Active Directory. În plus, aceasta le permite utilizatorilor să își modifice parolele Active Directory și îi anunță când urmează să le expire parola. De asemenea, utilizatorii își pot modifica parolele contului local, pentru a coincide cu parolele Active Directory.
Extensia Kerberos SSO are trebui să fie utilizată împreună cu un domeniu Active Directory local. Nu este necesar ca dispozitivele să fie conectate la un domeniu Active Directory pentru a utiliza extensia SSO Kerberos. În plus, utilizatorii nu trebuie să se autentifice la computerele lor Mac cu conturile Active Directory sau mobile. Apple recomandă în schimb utilizarea conturilor locale.
Utilizatorii trebuie să se autentifice la extensia Kerberos SSO. Aceștia pot începe acest proces în mai multe moduri:
Dacă Mac‑ul este conectat la rețeaua în care este disponibil domeniul Active Directory, utilizatorului i se solicită să se autentifice imediat după instalarea profilului de configurare SSO extensibil.
Dacă profilul este deja instalat, ori de câte ori Mac‑ul este conectat la o rețea în care este disponibil domeniul Active Directory, utilizatorului i se solicită imediat să se autentifice.
Dacă se utilizează Safari sau orice altă aplicație pentru a accesa un site web care acceptă sau necesită autentificarea Kerberos, utilizatorului i se solicită să se autentifice.
Utilizatorul poate selecta meniul suplimentar al extensiei Kerberos SSO, apoi poate face clic pe Autentificare.
Extensia SSO Kerberos are următoarele funcționalități pentru macOS:
Metode de autentificare: Extensia este compatibilă cu mai multe metode de autentificare diferite, inclusiv parole și identități de certificate (PKINIT). Identitatea de certificat se poate afla pe un smart card CryptoTokenKit, o identitate furnizată de MDM sau portcheiul local. De asemenea, extensia acceptă schimbarea parolei AD atunci când este afișat dialogul de autentificare sau când este folosit un URL spre un site web separat.
Expirarea parolei: Extensia solicită informații despre expirarea parolei din domeniu imediat după autentificare, după schimbările parolei și periodic pe durata zilei. Aceste informații sunt utilizate pentru a furniza notificări despre expirarea parolei și a solicita noi acreditări dacă utilizatorul și-a schimbat parola pe alt dispozitiv.
Compatibilitatea VPN: Extensia este compatibilă cu o varietate de configurații de rețea, inclusiv cu servicii VPN, cum ar fi VPN per aplicație. Dacă VPN‑ul este un VPN de extensie a rețelei, acesta declanșează automat o conexiune la autentificare sau la schimbarea parolelor. În schimb, în cazul în care conexiunea este un VPN per aplicație, meniul suplimentar al extensiei Kerberos SSO afișează întotdeauna că rețeaua este disponibilă. Aceasta se întâmplă deoarece utilizează un ping LDAP pentru determinarea disponibilității rețelei corporative. Când VPN‑ul per aplicație se deconectează, pingul LDAP îl reconectează, ducând la ceea ce pare a fi o conexiune VPN per aplicație continuă. În realitate, extensia Kerberos SSO a fost declanșată pentru traficul Kerberos la cerere.
Adăugați următoarele intrări la maparea între aplicații a stratului VPN pentru a utiliza extensia Kerberos SSO cu VPN‑ul per aplicație:
com.apple.KerberosExtension folosind identificatorul de cerință desemnat com.apple.KerberosExtension și anchor apple
com.apple.AppSSOAgent folosind identificatorul de cerință desemnat com.apple.AppSSOAgent și anchor apple
com.apple.KerberosMenuExtra folosind identificatorul de cerință desemnat com.apple.KerberosMenuExtra și anchor apple
Accesibilitatea domeniului: Extensia utilizează un ping LDAP către domeniu pentru a solicita și apoi a stoca temporar codurile site‑ului AD pentru conexiunea de rețea curentă la domeniu. Acest lucru are rolul de a spori autonomia bateriei. De asemenea, partajează codul site-ului cu solicitările Kerberos pentru alte procese. Pentru informații suplimentare, consultați documentația Microsoft 6.3.3 LDAP Ping.
Reîmprospătarea TGT Kerberos: Extensia încearcă să țină mereu tichetul TGT Kerberos actualizat. Acest lucru este realizat prin monitorizarea conexiunilor de rețea și a modificărilor stocării temporare Kerberos. Când este disponibilă rețeaua corporativă și este necesar un nou tichet, extensia solicită în mod proactiv unul nou. Dacă utilizatorul alege să se autentifice automat, extensia solicită fără întrerupere un tichet nou înainte ca parola utilizatorului să expire. Dacă utilizatorul nu optează să se autentifice în mod automat, i se cer acreditările la expirarea acreditărilor Kerberos – de obicei în 10 ore.
Sincronizarea parolei: Extensia sincronizează parola contului local cu parola Active Directory. După sincronizarea inițială, aceasta monitorizează datele de schimbare a parolei pentru contul local și Active Directory pentru a stabili dacă parolele contului sunt în continuare sincronizate. Ea utilizează datele în loc să încerce un login pentru a evita blocarea accesului contului local sau AD din cauza numărului excesiv de încercări eșuate.
Executarea scripturilor: Extensia afișează notificări când apar diverse evenimente. Aceste notificări pot declanșa executarea unor scripturi pentru a accepta extinderea funcționalității. Notificările sunt trimise în locul executării directe a scripturilor, deoarece procesele extensiei Kerberos se află în sandbox și sandboxul nu ar permite rularea scripturilor. Există și un instrument în linie de comandă,
app-sso, care permite ca scripturile să citească starea extensiei și să solicite acțiuni obișnuite, cum ar fi autentificarea.Meniu suplimentar: Extensia include un meniu suplimentar pentru a permite autentificarea, reconectarea, schimbarea parolei, ieșirea din cont și vizualizarea stării conexiunii de către utilizator. Opțiunea de reconectare obține mereu un nou tichet TGT și reîmprospătează informațiile despre expirarea parolei din domeniu.
Utilizarea contului
Extensia Kerberos SSO nu impune ca Mac‑ul să fie asociat la Active Directory sau ca utilizatorul să fie autentificat pe Mac cu un cont mobil. Apple vă sugerează să utilizați extensia Kerberos SSO cu un cont local. Extensia Kerberos SSO a fost creată special pentru a îmbunătăți integrarea Active Directory pornind de la un cont local. Cu toate acestea, dacă alegeți să continuați să utilizați conturi mobile, puteți totuși să utilizați extensia Kerberos SSO. La utilizarea cu conturi mobile:
Sincronizarea parolei nu va funcționa. Dacă utilizați extensia Kerberos SSO pentru a schimba parola dvs. Active Directory și dacă ați efectuat login pe Mac cu același cont pe care îl utilizați cu extensia Kerberos SSO, schimbarea parolelor funcționează la fel ca din panoul de preferințe Utilizatori și grupuri. Dar, dacă efectuați o schimbare a parolei la exterior – mai precis, dacă schimbați parola pe un site web sau dacă v-o schimbă serviciul de asistență – extensia Kerberos SSO nu va putea resincroniza parola contului dvs. mobil cu parola dvs. Active Directory.
Utilizarea unui URL pentru schimbarea parolei cu extensia Kerberos nu este compatibilă.