Extensión de inicio de sesión único de Kerberos con dispositivos Apple
La extensión de inicio de sesión único (Kerberos SSO) de Kerberos simplifica el proceso de adquisición del ticket de otorgamiento de tickets (TGT) de Kerberos de Active Directory local u otro dominio proveedor de identidades de tu organización, lo cual permite a los usuarios autenticarse fácilmente para acceder a recursos como sitios web, apps y servidores de archivos.
Requisitos para usar la extensión de SSO de Kerberos
Para usar la extensión SSO de Kerberos, se requiere:
Dispositivos administrados mediante una solución de administración de dispositivos móviles (MDM) compatible con la carga del perfil de configuración Inicio de sesión único ampliable.
Acceso a la red donde se aloja el dominio de Active Directory local. El acceso a esta red puede ser mediante Wi-Fi, Ethernet o VPN.
Un dominio de Active Directory con Windows Server 2008 o posterior. La extensión SSO de Kerberos no está diseñada para su uso con Microsoft Entra ID, que requiere un dominio tradicional de Active Directory local.
La extensión en iOS, iPadOS y visionOS 1.1
En los sistemas operativos iOS, iPadOS y visionOS 1.1, la extensión SSO de Kerberos se activa sólo después de recibir la solicitud Negociar HTTP 401. Para ahorrar vida de la batería, esta extensión no solicita los códigos de sitio de Active Directory ni actualiza un TGT de Kerberos hasta que se le solicita.
Las funciones de la extensión de SSO de Kerberos para iOS, iPadOS y visionOS 1.1 incluyen:
Métodos de autenticación: agrega soporte para múltiples métodos de autenticación, incluyendo contraseñas e identidades de certificado (PKINIT). La identidad de certificado puede estar en una tarjeta inteligente CryptoTokenKit, una identidad suministrada por la solución MDM o el llavero local. La extensión también permite cambiar la contraseña de Active Directory cuando se muestra el diálogo de autenticación o al usar una URL que dirige a un sitio web independiente.
Vencimiento de la contraseña: solicita al dominio la información de vencimiento de la contraseña inmediatamente después de la autenticación, después de los cambios de contraseña y periódicamente durante el día. Esta información se usa para proporcionar notificaciones de vencimiento de la contraseña y solicitar nuevas credenciales si el usuario ha cambiado su contraseña en otro dispositivo.
Compatibilidad con VPN: es compatible con muchas configuraciones de red diferentes, incluidas varias tecnologías VPN como VPN individual por app. Si se usa la VPN por app, la extensión SSO de Kerberos usa la VPN por app sólo cuando la app o el sitio web solicitante está configurado para usarla.
Alcance del dominio: usa un ping LDAP al dominio para solicitar y luego almacenar en caché los códigos de sitio de Active Directory para la conexión de red actual al dominio. Comparte el código del sitio con las solicitudes de Kerberos para otros procesos, y lo hace para preservar la vida de la batería. Para obtener más información, consulta la documentación de Microsoft Ping LDAP 6.3.3.
Solicitudes de negociación: maneja las solicitudes Negociar HTTP 401 de los sitios web, solicitudes NSURLSession, y las tareas NSURLSession en segundo plano.
La extensión en macOS
En macOS, la extensión SSO de Kerberos obtiene un TGT de Kerberos automáticamente conforme detecta cambios en la red para realizar la autenticación del usuario según sea necesario. La extensión SSO de Kerberos también ayuda a los usuarios a administrar sus cuentas de Active Directory. Además, permite a los usuarios cambiar sus contraseñas de Active Directory y los notifica cuando se acerca la fecha de vencimiento de una contraseña. Los usuarios también pueden cambiar las contraseñas de sus cuentas locales para que coincidan con sus contraseñas de Active Directory.
La extensión SSO de Kerberos debería usarse con un dominio local (on-premise) de Active Directory. Los dispositivos no necesitan estar conectados a un dominio de Active Directory para usar la extensión SSO de Kerberos. Además, los usuarios no necesitan iniciar sesión en sus computadoras Mac utilizando cuentas de Active Directory o móviles; en lugar de eso, Apple recomienda usar cuentas locales.
Los usuarios tienen que autenticarse en la extensión SSO de Kerberos y pueden hacerlo de diferentes maneras:
Si la Mac está conectada a una red donde el dominio de Active Directory está disponible, se te pedirá que te autentiques inmediatamente después de la instalación del perfil de configuración SSO ampliable.
Si el perfil ya está instalado, cada vez que la Mac se conecte a una red donde el dominio de Active Directory esté disponible, se le pedirá al usuario que se autentique.
Si usas Safari o cualquier otra app para acceder a un sitio web que acepte o requiera la autenticación de Kerberos, se te pedirá que te autentiques.
Puedes seleccionar la extensión SSO de Kerberos en el menú Extra y hacer clic en Iniciar sesión.
Las funciones de la extensión de SSO de Kerberos para macOS incluyen:
Métodos de autenticación: la extensión es compatible con múltiples métodos de autenticación, incluyendo contraseñas e identidades de certificado (PKINIT). La identidad de certificado puede estar en una tarjeta inteligente CryptoTokenKit, una identidad suministrada por la solución MDM o el llavero local. La extensión también permite cambiar la contraseña de Active Directory (AD) cuando se muestra el diálogo de autenticación o al usar una URL que dirige a un sitio web independiente.
Vencimiento de la contraseña: la extensión solicita al dominio la información de vencimiento de la contraseña inmediatamente después de la autenticación, después de los cambios de contraseña y periódicamente durante el día. Esta información se usa para proporcionar notificaciones de vencimiento de la contraseña y solicitar nuevas credenciales si el usuario ha cambiado su contraseña en otro dispositivo.
Compatibilidad con VPN: la extensión es compatible con muchas configuraciones de red diferentes, incluyendo servicios VPN, como VPN individual por app. Si la VPN es una VPN de extensión de red, se activa automáticamente una conexión cuando se autentifica o cambia la contraseña. Por otra parte, si la conexión es VPN individual por app, el menú Extra de la extensión de SSO de Kerberos siempre muestra que la red está disponible, esto se debe a que usa el protocolo LDAP Ping para determinar la disponibilidad de la red empresarial. Cuando la VPN individual por app se desconecta, el protocolo LDAP Ping vuelve a conectarse, lo cual resulta en una experiencia de conexión continua de la VPN individual por app. En realidad, la extensión de SSO de Kerberos se activó para permitir el tráfico de Kerberos por solicitud.
Agrega las siguientes entradas a tu asignación de VPN individual por app para usar la extensión de SSO de Kerberos con la VPN individual por app:
com.apple.KerberosExtension utilizando el identificador de requisito designado: com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent utilizando el identificador de requisito designado: com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra utilizando el requisito designado: identifier com.apple.KerberosMenuExtra and anchor apple
Alcance del dominio: la extensión usa un ping LDAP al dominio para solicitar, y posteriormente almacenar en la caché, los códigos de sitio de Active Directory para la conexión de red actual al dominio. Este proceso fue diseñado para ahorrar batería. Además, comparte el código del sitio con las solicitudes de Kerberos de otros procesos. Para obtener más información, consulta la documentación de Microsoft Ping LDAP 6.3.3.
Actualizar el TGT de Kerberos: la extensión intenta mantener siempre actualizado tu TGT de Kerberos. Para ello, supervisa las conexiones de red y los cambios en la caché de Kerberos. Cuando tu red corporativa está disponible y se necesita un nuevo ticket, solicita proactivamente uno nuevo. Si el usuario elige iniciar sesión automáticamente, la extensión solicita sin problemas un nuevo ticket hasta que la contraseña del usuario venza. Si el usuario no elige el inicio de sesión automático, se le pedirán sus credenciales cuando la credencial de Kerberos venza, lo cual suele ocurrir cada 10 horas.
Sincronización de contraseñas: la extensión sincroniza la contraseña de la cuenta local con la de Active Directory. Después de la sincronización inicial, supervisa las fechas de cambio de contraseña de la cuenta local y de Active Directory para determinar si las contraseñas de las cuentas siguen sincronizadas. Usa las fechas en lugar de intentar un inicio de sesión para evitar el bloqueo de la cuenta local o de AD por demasiados intentos fallidos.
Ejecutar scripts: la extensión envía notificaciones cuando se producen varios eventos. Estas notificaciones pueden desencadenar la ejecución de scripts para permitir la ampliación de la funcionalidad. Las notificaciones se envían en lugar de ejecutar directamente los scripts porque los procesos de la extensión de Kerberos están en entornos de prueba, y el aislamiento ayuda a evitar que se ejecuten los scripts. También hay una herramienta de línea de comandos,
app-sso, que permite a los scripts leer el estado de la extensión y solicitar acciones comunes, como iniciar sesión.Menú Extra: la extensión incluye un menú extra que permite al usuario iniciar sesión, reconectarse, cambiar la contraseña, cerrar sesión y ver el estado de la conexión. La opción de reconexión siempre recupera un nuevo TGT y actualiza la información de vencimiento de la contraseña del dominio.
Uso de las cuentas
La extensión SSO de Kerberos no requiere que la Mac esté vinculada a Active Directory o que el usuario inicie sesión en la Mac con una cuenta móvil. Apple recomienda usar la extensión SSO de Kerberos con una cuenta local. La extensión SSO de Kerberos se creó específicamente para mejorar la integración de Active Directory desde una cuenta local. Sin embargo, si decides seguir usando cuentas móviles, puedes continuar utilizando la extensión SSO de Kerberos. Si decides usar cuentas móviles, considera lo siguiente:
La sincronización de contraseñas no funciona. Si usas la extensión SSO de Kerberos para cambiar tu contraseña de Active Directory e iniciaste sesión en tu Mac con la misma cuenta de usuario que utiliza con la extensión SSO de Kerberos, los cambios de contraseña funcionan igual que en el panel de preferencias Usuarios y grupos. Sin embargo, si realizas un cambio de contraseña externo (por ejemplo, si cambias tu contraseña en un sitio web o el servicio de asistencia técnica la restablece), la extensión SSO de Kerberos no puede volver a sincronizar la contraseña de tu cuenta móvil con tu contraseña de Active Directory.
La extensión de Kerberos no es compatible con las URL de cambio de contraseña.