Extensión de inicio de sesión único Kerberos con dispositivos Apple
La extensión de inicio de sesión único con Kerberos (SSO con Kerberos) simplifica el proceso de adquirir un ticket otorgador de tickets (TGT) de Kerberos de Active Directory local de la organización u otro dominio proveedor de identidades, permitiendo a los usuarios autenticarse sin problemas en recursos como sitios web, apps y servidores de archivos.
Requisitos para usar la extensión de SSO de Kerberos
Para utilizar la extensión de SSO de Kerberos, tienes que tener:
Los dispositivos están gestionados mediante una solución de gestión de dispositivos móviles (MDM) con compatibilidad con la carga útil del perfil de configuración de inicio de sesión único (SSO) extensible.
Accede a la red en la que se hospeda el dominio de Active Directory local. El acceso a la red puede ser mediante Wi-Fi, Ethernet o VPN.
Un dominio de Active Directory que use Windows Server 2008 o posterior. La extensión de SSO de Kerberos no está pensada para su uso con Microsoft Entra ID, que requiere un dominio de Active Directory local tradicional.
La extensión en iOS, iPadOS y visionOS 1.1
En iOS, iPadOS y vision OS 1.1, la extensión de SSO de Kerberos solo se activa después de recibir una comprobación de “HTTP 401: Negociar”. A fin de ahorrar batería, esta extensión no solicita códigos de sitio de Active Directory ni actualiza los TGT de Kerberos hasta que se solicita una comprobación.
Entre las funciones de la extensión de SSO de Kerberos para iOS, iPadOS y visionOS 1.1 se encuentran las siguientes:
Métodos de autenticación: Añade compatibilidad con varios métodos de autenticación diferentes, incluidas las contraseñas y las identidades de certificado (PKINIT). La identidad de certificado puede estar en una tarjeta inteligente CryptoTokenKit, en una identidad proporcionada por MDM o en el llavero local. La extensión también admite el cambio de la contraseña de Active Directory cuando el cuadro de diálogo de autenticación muestra o usa una URL a un sitio web distinto.
Caducidad de la contraseña: Solicita la información de caducidad de la contraseña desde el dominio inmediatamente después de la autenticación, después de cambios de contraseña y periódicamente a lo largo del día. Esta información se usa para proporcionar notificaciones de caducidad de la contraseña y solicita nuevas credenciales si el usuario ha cambiado su contraseña en otro dispositivo.
Compatibilidad con VPN: Admite muchas configuraciones de red diferentes, incluidas varias tecnologías de VPN como la de VPN por app. Si se usa VPN por app, la extensión de SSO de Kerberos solo usa VPN por app cuando la app o el sitio web que lo solicita está configurado para usarla.
Accesibilidad del dominio: Usa un ping de LDAP al dominio para solicitar y luego almacenar en caché los códigos de sitio de Active Directory para la conexión de red actual al dominio. Comparte el código de sitio con las solicitudes de Kerberos de otros procesos para ahorrar batería. Para obtener más información, consulta la documentación de Microsoft 6.3.3 Ping de LDAP.
Comprobaciones de negociación: Gestiona las comprobaciones de “HTTP 401: Negociar” para los sitios web, las solicitudes de NSURLSession y las tareas de NSURLSession en segundo plano.
La extensión en macOS
En macOS, la extensión de SSO de Kerberos adquiere de manera proactiva un Kerberos TGT cuando se producen cambios de estado de la red, con el fin de garantizar que el usuario está listo para realizar la autenticación si es necesario. La extensión de SSO de Kerberos también ayuda a los usuarios a gestionar sus cuentas de Active Directory. Además, permite a los usuarios cambiar sus contraseñas de Active Directory y les envía una notificación cuando una contraseña está a punto de caducar. Los usuarios también pueden cambiar las contraseñas de su cuenta local para que sean las mismas que las de Active Directory.
La extensión de SSO de Kerberos se debe usar con un dominio de Active Directory local. No es necesario conectar los dispositivos a un dominio de Active Directory para usar la extensión de SSO de Kerberos. Además, los usuarios no tienen por qué iniciar sesión en sus ordenadores Mac con cuentas de Active Directory o con cuentas móviles; en cambio, Apple recomienda el uso de cuentas locales.
Los usuarios deben autenticarse en la extensión de SSO de Kerberos. Pueden empezar este proceso de varias maneras:
Si el Mac está conectado a la red en la que está disponible el dominio de Active Directory, se pide al usuario que se autentique inmediatamente después de instalar el perfil de configuración de inicio de sesión único extensible.
Si ya hay un perfil instalado, siempre que se conecte el Mac a una red en el que esté disponible el dominio de Active Directory, se pide inmediatamente al usuario que se autentique.
Si se utiliza Safari u otra app para acceder a un sitio web que acepte o requiera autenticación Kerberos, se pide al usuario que se autentique.
El usuario puede seleccionar el extra de menú de la extensión de SSO de Kerberos y hacer clic en “Iniciar sesión”.
Entre las funciones de la extensión de SSO de Kerberos para macOS se encuentran las siguientes:
Métodos de autenticación: La extensión es compatible con varios métodos de autenticación diferentes, incluidas las contraseñas y las identidades de certificado (PKINIT). La identidad de certificado puede estar en una tarjeta inteligente CryptoTokenKit, en una identidad proporcionada por MDM o en el llavero local. La extensión también admite el cambio de la contraseña de AD cuando el cuadro de diálogo de autenticación muestra o usa una URL a un sitio web distinto.
Caducidad de la contraseña: La extensión solicita la información de caducidad de la contraseña desde el dominio inmediatamente después de la autenticación, después de cambios de contraseña y periódicamente a lo largo del día. Esta información se usa para proporcionar notificaciones de caducidad de la contraseña y solicita nuevas credenciales si el usuario ha cambiado su contraseña en otro dispositivo.
Compatibilidad con VPN: La extensión admite muchas configuraciones de red diferentes, incluidos los servicios de VPN, como el de VPN por app. Si la VPN es una VPN de extensión de red, activa una conexión automáticamente al autenticarse o al cambiar la contraseña. En cambio, si es una conexión VPN por app, el extra de menú de la extensión de SSO de Kerberos siempre muestra que la red está disponible. Eso es porque usa un ping de LDAP para determinar la disponibilidad de la red corporativa. Cuando se desconecta la VPN por app, el ping de LDAP la reconecta, dando lugar a lo que parece ser una conexión VPN por app continua. En realidad, la extensión de SSO de Kerberos se ha activado para el tráfico de Kerberos por petición.
Añade las siguientes entradas a tu asignación de VPN de la capa de la app para usar la extensión de SSO de Kerberos con la VPN por app:
com.apple.KerberosExtension utilizando un identificador de requisito designado com.apple.KerberosExtension y anchor apple
com.apple.AppSSOAgent utilizando un identificador de requisito designado com.apple.AppSSOAgent y anchor apple
com.apple.KerberosMenuExtra usando un requisito designado: identificador com.apple.KerberosMenuExtra y anchor apple
Accesibilidad del dominio: La extensión usa un ping de LDAP al dominio para solicitar, y luego almacenar en caché, los códigos de sitio de AD para la conexión de red actual al dominio. Esto lo hace para ahorrar batería. También comparte el código de sitio con las solicitudes de Kerberos de otros procesos. Para obtener más información, consulta la documentación de Microsoft 6.3.3 Ping de LDAP.
Actualización de Kerberos TGT: La extensión intenta que Kerberos TGT siempre se mantenga actualizado. Esto lo hace supervisando las conexiones de red y los cambios de caché de Kerberos. Cuando la red corporativa está disponible y se necesita un nuevo ticket, solicita uno nuevo de manera proactiva. En cambio, si el usuario elige iniciar sesión automáticamente, la extensión solicita sin problemas un nuevo ticket hasta que caduque la contraseña del usuario. En cambio, si el usuario decide no iniciar sesión automáticamente, se le pide que introduzca las credenciales cuando caduque su credencial Kerberos, normalmente en el plazo de 10 horas.
Sincronización de contraseñas: La extensión sincroniza la contraseña de la cuenta local con la contraseña de Active Directory. Tras la sincronización inicial, supervisa las fechas de cambio de contraseña de la cuenta local y de Active Directory para determinar si las contraseñas de la cuenta todavía están sincronizadas. Utiliza las fechas en lugar de intentar un inicio de sesión para evitar el bloqueo de la cuenta de AD o local debido a demasiados intentos fallidos.
Ejecutar scripts: La extensión pública notificaciones cuando ocurren varios eventos. Estas notificaciones pueden activar scripts que se ejecutan para admitir la ampliación de la funcionalidad. Se envían notificaciones en lugar de ejecutar scripts directamente porque los procesos de la extensión Kerberos están en una zona protegida y la zona protegida ayudaría a impedir que se ejecuten los scripts. También hay una herramienta de línea de comandos,
app-sso, que permite que los scripts lean el estado de la extensión y soliciten acciones comunes como el inicio de sesión.Extra de menú: La extensión incluye un extra de menú para permitir al usuario iniciar sesión, reconectar, cambiar la contraseña, cerrar sesión y ver el estado de la conexión. La opción de reconexión siempre recupera un nuevo TGT y actualiza la información de caducidad de la contraseña desde el dominio.
Uso de cuentas
La extensión de SSO de Kerberos no requiere que el Mac esté unido a Active Directory o que el usuario haya iniciado sesión en el Mac con una cuenta móvil. Apple sugiere utilizar la extensión de SSO de Kerberos con una cuenta local. La extensión de SSO de Kerberos se creó específicamente para mejorar la integración con Active Directory desde una cuenta local. Sin embargo, si decides continuar utilizando cuentas móviles, puedes seguir usando la extensión de SSO de Kerberos. Cuando se utiliza con cuentas móviles:
No funciona la sincronización de contraseñas. Si utilizas las SSO de Kerberos para cambiar tu contraseña de Active Directory y has iniciado sesión en el Mac con la misma cuenta de usuario que la que estás usando con la extensión de SSO de Kerberos, los cambios de contraseña funcionan como si lo estuvieras haciendo desde el panel de preferencias “Usuarios y grupos”. Pero si haces un cambio de contraseña externo (o sea, si cambias la contraseña en un sitio web o si la restablece el departamento de asistencia técnica) la extensión de SSO de Kerberos no puede volver a sincronizar la contraseña de la cuenta móvil con la contraseña de Active Directory.
Utilizar una dirección URL para cambiar la contraseña con la extensión de Kerberos no es compatible.