امتداد تسجيل الدخول الموحد المستند إلى Kerberos باستخدام أجهزة Apple
يعمل امتداد تسجيل الدخول الموحد (SSO) المستند إلى Kerberos (Kerberos SSO) على تبسيط عملية الحصول على تذكرة منح التذاكر (TGT) الخاصة بـ Kerberos من نطاق Active Directory المحلي الخاص بمؤسستك أو مزود هوية آخر، ما يتيح للمستخدمين المصادقة بسلاسة على موارد مثل مواقع الويب والتطبيقات وخوادم الملفات.
متطلبات استخدام ملحق SSO المستند إلى Kerberos
لاستخدام ملحق تسجيل الدخول الموحد بنظام Kerberos، يجب توفر التالي:
أجهزة مُدارة باستخدام أحد حلول إدارة جهاز الجوال (MDM) التي تدعم حمولة ملف تعريف تكوين تسجيل الدخول الموحد (SSO) القابل للتوسعة.
الوصول إلى الشبكة التي تستضيف نطاق Active Directory المحلي. ومن الممكن أن يكون هذا الوصول إلى الشبكة عبر Wi-Fi أو إيثرنت أو VPN.
نطاق Active Directory مثبت عليه Windows Server 2008 أو أحدث. ملحق تسجيل الدخول الموحد المستند إلى Kerberos غير مخصص للاستخدام مع Microsoft Entra ID، حيث يتطلب نطاق Active Directory محليًا تقليديًا.
الملحق في iOS و iPadOS و visionOS 1.1
في iOS و iPadOS و visionOS 1.1، لا يتم تنشيط ملحق SSO المستند إلى Kerberos إلا بعد تلقّي تحدي HTTP 401 Negotiate. للحفاظ على عمر البطارية، لا يطلب هذا الملحق رموز موقع Active Directory أو تحديث تذكرة Kerberos TGT حتى يتم تخطِّي التحدي.
تتضمن ميزات ملحق SSO المستند إلى Kerberos لكل من iOS و iPadOS و visionOS 1.1 ما يأتي:
وسائل المصادقة: تضيف دعمًا للعديد من وسائل المصادقة المختلفة، بما في ذلك كلمات السر وهويات الشهادات (PKINIT). يمكن أن تكون هوية الشهادة على بطاقة CryptoTokenKit ذكية أو هوية يوفرها MDM أو سلسلة المفاتيح المحلية. يدعم الملحق أيضًا تغيير كلمة سر Active Directory عندما يظهر مربع حوار المصادقة أو يستخدم عنوان URL لموقع ويب منفصل.
انتهاء صلاحية كلمة السر: تطلب معلومات انتهاء صلاحية كلمة السر من النطاق فور المصادقة، وبعد تغيير كلمة السر، وبشكل دوري خلال اليوم. تُستخدم هذه المعلومات لإرسال إشعارات انتهاء صلاحية كلمة السر وطلب بيانات اعتماد جديدة إذا قام المستخدم بتغيير كلمة السر الخاصة به على جهاز آخر.
دعم VPN: تدعم العديد من تكوينات الشبكة المختلفة، بما في ذلك تقنيات VPN المختلفة مثل VPN لكل تطبيق. إذا تم استخدام تقنية VPN لكل تطبيق، فإن ملحق SSO المستند إلى Kerberos لا يستخدم تقنية VPN لكل تطبيق إلا عندما يتم تكوين التطبيق أو الموقع الإلكتروني الطالب لاستخدامها.
قابلية الوصول إلى النطاق: استخدام LDAP ping للنطاق لطلب رموز موقع Active Directory ثم تخزينها مؤقتًا لاتصال الشبكة الحالي بالنطاق. وتشارك تلك الميزة رمز الموقع مع طلبات Kerberos لعمليات أخرى، وتفعل ذلك للحفاظ على عمر البطارية. لمزيد من المعلومات، انظر وثائق Microsoft 6.3.3 LDAP Ping.
تحديات التفاوض: تعالج تحديات HTTP 401 Negotiate لمواقع الويب وطلبات NSURLSession ومهام NSURLSession في الخلفية.
الملحق في macOS
في macOS، يكتسب ملحق SSO المستند إلى Kerberos بشكل استباقي TGT لـ Kerberos عند تغيير حالة الشبكة لضمان استعداد المستخدم للمصادقة عند الحاجة. يساعد ملحق تسجيل الدخول الموحد المستند إلى Kerberos المستخدمين على إدارة حسابات Active Directory الخاصة بهم. بالإضافة إلى ذلك، يسمح للمستخدمين بتغيير كلمات سر Active Directory الخاصة بهم ويقوم بإخطارهم عندما توشك كلمة السر على الانتهاء. يمكن للمستخدمين أيضًا تغيير كلمات سر حساباتهم المحلية لتتطابق مع كلمات سر Active Directory الخاصة بهم.
يجب استخدام ملحق تسجيل الدخول الموحد المستند إلى Kerberos مع نطاق Active Directory محلي. لا تحتاج الأجهزة إلى الانضمام إلى نطاق Active Directory لاستخدام ملحق SSO المستند إلى Kerberos. إضافة إلى ذلك، لا يحتاج المستخدمون إلى تسجيل الدخول إلى أجهزة كمبيوتر Mac الخاصة بهم باستخدام حسابات Active Directory أو حسابات الجوّال؛ وبدلاً من ذلك ترجح Apple استخدام الحسابات المحلية.
يجب على المستخدمين المصادقة على ملحق Kerberos SSO. ويمكنهم بدء هذه العملية باستخدام أي من الطرق المتعددة:
إذا كان Mac متصلاً بشبكة يتوفر فيها Active Directory، تتم مطالبة المستخدم بالمصادقة فورًا بعد تثبيت ملف تعريف تكوين SSO الموسّع.
إذا كان ملف التعريف مثبتًا بالفعل، فكلما كان Mac متصلاً بشبكة يتوفر بها نطاق Active Directory، تتم مطالبة المستخدم بالمصادقة على الفور.
إذا تم استخدام سفاري أو أي تطبيق آخر للوصول إلى موقع ويب يقبل أو يتطلب مصادقة Kerberos، تتم مطالبة المستخدم بالمصادقة.
يمكن للمستخدم تحديد قائمة ملحقات Kerberos SSO الإضافية، ثم النقر على تسجيل الدخول.
تتضمن ميزات ملحق SSO المستند إلى Kerberos في macOS ما يلي:
وسائل المصادقة: يدعم الملحق العديد من وسائل المصادقة المختلفة، بما في ذلك كلمات السر وهويات الشهادات (PKINIT). يمكن أن تكون هوية الشهادة على بطاقة CryptoTokenKit ذكية أو هوية يوفرها MDM أو سلسلة المفاتيح المحلية. يدعم الملحق أيضًا تغيير كلمة سر AD عندما يظهر مربع حوار المصادقة أو يستخدم عنوان URL لموقع ويب منفصل.
انتهاء صلاحية كلمة السر: يطلب الملحق معلومات انتهاء صلاحية كلمة السر من النطاق فور المصادقة وبعد تغيير كلمة السر وبشكل دوري خلال اليوم. تُستخدم هذه المعلومات لإرسال إشعارات انتهاء صلاحية كلمة السر وطلب بيانات اعتماد جديدة إذا قام المستخدم بتغيير كلمة السر الخاصة به على جهاز آخر.
دعم VPN: يدعم الملحق العديد من تكوينات الشبكة المختلفة، بما في ذلك خدمات VPN، مثل VPN لكل تطبيق. إذا كان الـ VPN يُعد VPN ملحق شبكة، فإنه يُنشئ اتصالاً تلقائيًا عند المصادقة أو تغيير كلمات السر. وعلى النقيض، إذا كان الاتصال VPN لكل تطبيق، فإن قائمة ملحق Kerberos SSO الإضافية تظهر دائمًا أن الاتصال متاح. هذا لأنه يتم استخدام LDAP ping لتحديد توافر شبكة الشركة. عندما يقوم VPN لكل تطبيق بقطع الاتصال، يقوم LDAP ping بإعادته، ينتج عن ذلك ما يبدو اتصالًا دائمًا لـ VPN لكل تطبيق. في الواقع، تم تشغيل ملحق Kerberos SS لحركة مرور Kerberos عند الطلب.
يمكنك إضافة الإدخالات الآتية إلى تخطيط VPN لطبقة التطبيق إلى تطبيق لاستخدام ملحق Kerberos SSO مع VPN لكل تطبيق:
com.apple.KerberosExtension باستخدام معرف المتطلبات المعين com.apple.KerberosExtension و anchor apple
com.apple.AppSSOAgent باستخدام معرف المتطلبات المعين com.apple.AppSSOAgent و anchor apple
com.apple.KerberosMenuExtra باستخدام المتطلبات المعينة: المعرف com.apple.KerberosMenuExtra و anchor apple
قابلية الوصول إلى النطاق: يستخدم الملحق LDAP ping إلى النطاق لطلب رموز موقع AD لاتصال الشبكة الحالي بالنطاق، ثم تخزينه بالذاكرة المؤقتة. ويتم ذلك للحفاظ على عمر البطارية. كذلك تتم مشاركة رمز الموقع مع طلبات Kerberos لعمليات أخرى. لمزيد من المعلومات، انظر وثائق Microsoft 6.3.3 LDAP Ping.
تجديد Kerberos TGT: يحاول الملحق تجديد Kerberos TGT دائمًا. ويفعل ذلك عبر مراقبة اتصالات الشبكة وتغييرات ذاكرة التخزين المؤقت لـ Kerberos. عندما تكون شبكة الشركة متاحة وتحتاج إلى تذكرة جديدة، فإنها تطلب بشكل استباقي بطاقة جديدة. إذا اختار المستخدم تسجيل الدخول تلقائيًا، يطلب الملحق بطاقة جديدة بسلاسة حتى تنتهي صلاحية كلمة سر المستخدم. وإذا لم يختر المستخدم تسجيل الدخول تلقائيًا، تتم مطالبة المستخدم بإدخال بيانات الاعتماد عند انتهاء صلاحية بيانات اعتماد Kerberos - عادةً في غضون 10 ساعات.
مزامنة كلمة السر: يعمل الملحق على مزامنة كلمة سر الحساب المحلي مع كلمة سر Active Directory. بعد المزامنة الأولية، يراقب تواريخ التغييرات المحلية وتواريخ تغييرات كلمة سر حساب Active Directory لتحديد ما إذا كانت كلمات سر الحساب ما تزال متزامنة. ويستخدم التواريخ بدلاً من محاولة تسجيل الدخول لمنع إغلاق الحساب المحلي أو حساب AD بسبب العديد من المحاولات الفاشلة.
تشغيل البرامج النصية: يقوم الملحق بإرسال إشعارات عند حدوث أحداث مختلفة. يمكن أن تؤدي هذه الإشعارات إلى تشغيل البرامج النصية لدعم توسيع الوظائف. يتم إرسال الإشعارات بدلاً من تنفيذ برامج نصية مباشرةً لأن عمليات ملحق Kerberos محمية، حيث سيساعد وضع الحماية على منع تشغيل البرامج النصية. توجد أيضًا أداة سطر أوامر،
app-sso، تسمح للبرامج النصية بقراءة حالة الملحق وطلب الإجراءات الشائعة مثل تسجيل الدخول.القائمة الإضافية: يتضمن الملحق قائمة إضافية للسماح للمستخدم بتسجيل الدخول وإعادة الاتصال وتغيير كلمة السر وتسجيل الخروج وعرض حالة الاتصال. يعمل خيار إعادة الاتصال دائمًا على استرداد TGT جديدة وتجديد معلومات انتهاء صلاحية كلمة السر من النطاق.
استخدام الحساب
لا يتطلب ملحق Kerberos SSO أن يكون Mac مرتبطًا بـ Active Directory أو أن يسجّل المستخدم الدخول إلى Mac باستخدام حساب جوال. تقترح Apple استخدام ملحق Kerberos SSO مع حساب محلي. وقد تم إنشاء ملحق Kerberos SSO خصيصًا لتحسين تكامل Active Directory من حساب محلي. ومع ذلك، إذا اخترت الاستمرار في استخدام حسابات الجوال، يظل بإمكانك استخدام ملحق Kerberos SSO. عند الاستخدام مع حسابات الجوال:
لن تعمل مزامنة كلمة السر. إذا كنت تستخدم ملحق Kerberos SSO لتغيير كلمة سر Active Directory وسجلت الدخول إلى Mac باستخدام حساب المستخدم ذاته الذي تستخدمه مع ملحق Kerberos SSO، تعمل تغييرات كلمة السر بنفس طريقة عملها من جزء تفضيلات "المستخدمون والمجموعات". ولكن إذا أجريت تغييرًا خارجيًا لكلمة السر - بمعنى أنك غيّرت كلمة السر على موقع ويب أو أن مكتب المساعدة أعاد تعيينها - فلن يتمكن ملحق Kerberos SSO من إعادة مزامنة كلمة سر حسابك الجوال مع كلمة سر Active Directory.
استخدام عنوان URL لتغيير كلمة السر مع ملحق Kerberos غير مدعوم.