Extension pour l’authentification unique Kerberos avec des appareils Apple
L’extension « Authentification unique Kerberos » simplifie le processus d’acquisition d’un ticket d’octroi de ticket Kerberos à partir du domaine Active Directory sur site de votre établissement ou d’un autre domaine de fournisseur d’identité, ce qui permet aux utilisateurs de s’authentifier en toute simplicité auprès de ressources comme des sites web, des apps et des serveurs de fichiers.
Configuration requise pour utiliser l’extension Authentification unique Kerberos
Pour utiliser l’extension Authentification unique Kerberos, il vous faut :
Des appareils gérés à l’aide d’une solution de gestion des appareils mobiles (MDM) prenant en charge les données utiles de profil de configuration de l’authentification unique extensible.
Un accès au réseau sur lequel le domaine Active Directory sur site est hébergé. Il peut s’agir d’un accès réseau via Wi-Fi, Ethernet ou VPN.
Un domaine Active Directory sous Windows Server 2008 ou ultérieur. L’extension Authentification unique Kerberos n’est pas conçue pour une utilisation avec Microsoft Entra ID, qui requiert un domaine Active Directory sur site traditionnel.
L’extension sous iOS, iPadOS et visionOS 1.1
Sous iOS, iPadOS et visionOS 1.1, lʼextension Authentification unique Kerberos nʼest activée qu’après avoir reçu un défi HTTP 401 de négociation. Pour économiser la batterie, cette extension nʼeffectue pas de requête de codes pour le site Active Directory ou dʼactualisation dʼun ticket TGT Kerberos tant quʼelle nʼa pas été défiée.
Les fonctionnalités de lʼextension Authentification unique Kerberos pour iOS, iPadOS et visionOS 1.1 incluent les éléments suivants :
Méthodes d’authentification : Ajoute la prise en charge de plusieurs méthodes dʼauthentification différentes, y compris les mots de passe et les certificats dʼidentité (PKINIT). Lʼidentité du certificat peut être une carte à puce CryptoTokenKit, une identité fournie par une solution MDM, ou le trousseau local. Lʼextension prend également en charge le changement de mot de passe Active Directory lorsque la zone de dialogue dʼauthentification montre ou utilise une URL vers un site web distinct.
Expiration du mot de passe : Demande les informations dʼexpiration du mot de passe à partir du domaine immédiatement après lʼauthentification et les changements de mot de passe, ainsi que régulièrement au cours de la journée. Ces informations sont utilisées pour fournir des notifications dʼexpiration du mot de passe et demander de nouveaux identifiants si lʼutilisateur a modifié le mot de passe depuis un autre appareil.
Prise en charge VPN : Prend en charge différentes configurations réseau, y compris diverses technologies VPN, telles que VPN via l’app. Si le VPN via l’app est utilisé, lʼextension Authentification unique Kerberos utilise le VPN via l’app uniquement lorsque lʼapp ou le site web qui effectue la demande est configuré pour lʼutiliser.
Accessibilité du domaine : Utilisez un LDAP ping vers le domaine pour demander, puis mettre en cache les codes du site Active Directory pour la connexion du réseau actuel au domaine. Le code du site est partagé avec les demandes Kerberos pour dʼautres processus, et ce, afin dʼéconomiser la batterie. Pour en savoir plus, consultez la documentation Microsoft 6.3.3 LDAP Ping.
Défis de négociation : Gère les défis HTTP 401 de négociation pour les sites web, les requêtes NSURLSession, et les tâches NSURLSession dʼarrière-plan.
Extension sous macOS
Sous macOS, l’extension Authentification unique Kerberos récupère de manière proactive un ticket TGT Kerberos lors des changements d’état du réseau pour faire en sorte que l’utilisateur soit toujours en mesure de s’authentifier. L’extension Authentification unique Kerberos aide également vos utilisateurs à gérer leurs comptes Active Directory. De plus, elle permet aux utilisateurs de modifier leurs mots de passe Active Directory et les avertit lorsqu’un mot de passe est sur le point d’expirer. Les utilisateurs peuvent aussi modifier le mot de passe de leur compte local pour qu’il corresponde à leur mot de passe Active Directory.
L’extension Authentification unique Kerberos doit être utilisée avec un domaine Active Directory sur site. Les appareils n’ont pas besoin d’être liés à un domaine Active Directory pour utiliser l’extension Authentification unique Kerberos. De plus, les utilisateurs n’ont pas besoin de se connecter à leurs ordinateurs Mac avec des comptes Active Directory ou mobiles. Apple recommande plutôt l’utilisation de comptes locaux.
Les utilisateurs doivent s’authentifier auprès de l’extension Authentification unique Kerberos. Pour entamer ce processus, ils peuvent utiliser n’importe laquelle des méthodes suivantes :
Si le Mac est connecté au réseau sur lequel se trouve le domaine Active Directory, l’utilisateur est invité à s’authentifier immédiatement une fois le profil de configuration Authentification unique extensible installé.
Si le profil est déjà installé, dès lors que le Mac est connecté à un réseau sur lequel le domaine Active Directory est disponible, l’utilisateur est immédiatement invité à s’authentifier.
Si l’utilisateur passe par Safari ou toute autre app pour accéder à un site web qui accepte ou requiert une authentification Kerberos, il est invité à s’authentifier.
L’utilisateur peut sélectionner le menu supplémentaire de l’extension Authentification unique Kerberos, puis cliquer sur « Se connecter ».
Les fonctionnalités de lʼextension Authentification unique Kerberos pour macOS incluent les éléments suivants :
Méthodes d’authentification : L’extension prend en charge plusieurs méthodes d’authentification différentes, y compris les mots de passe et les identités de certificat (PKINIT). Lʼidentité du certificat peut être une carte à puce CryptoTokenKit, une identité fournie par une solution MDM, ou le trousseau local. Lʼextension prend également en charge le changement de mot de passe Active Directory lorsque la zone de dialogue dʼauthentification montre ou utilise une URL vers un site web distinct.
Expiration du mot de passe : L’extension demande les informations dʼexpiration du mot de passe à partir du domaine immédiatement après lʼauthentification et les changements de mot de passe, ainsi que régulièrement au cours de la journée. Ces informations sont utilisées pour fournir des notifications dʼexpiration du mot de passe et demander de nouveaux identifiants si lʼutilisateur a modifié le mot de passe depuis un autre appareil.
Prise en charge VPN : L’extension prend en charge de nombreuses configurations réseau différentes, y compris des services VPN comme un VPN via l’app. Les VPN d’extension réseau déclenchent automatiquement une connexion lors de l’authentification ou d’un changement de mot de passe. À l’inverse, pour un VPN via l’app, le menu supplémentaire de l’extension Authentification unique Kerberos indique systématiquement que le réseau est disponible. En effet, ce type de connexion utilise un LDAP Ping pour déterminer la disponibilité du réseau d’entreprise. Lorsque le VPN via l’app se déconnecte, le LDAP Ping le reconnecte. Le VPN via l’app semble donc fournir une connexion continue. En réalité, l’extension Authentification unique Kerberos est déclenchée pour le trafic Kerberos à la demande.
Ajoutez les entrées suivantes au mappage de votre VPN à la couche App vers app afin d’utiliser l’extension Authentification unique Kerberos avec un VPN via l’app :
com.apple.KerberosExtension en utilisant le prérequis désigné identifier com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent en utilisant le prérequis désigné identifier com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra en utilisant le prérequis désigné : identifier com.apple.KerberosMenuExtra and anchor apple
Accessibilité du domaine : L’extension utilise un LDAP ping vers le domaine pour demander, puis mettre en cache, les codes du site AD pour la connexion du réseau actuel au domaine. Cela a pour but de préserver lʼautonomie de la batterie. Le code du site est également partagé avec les requêtes Kerberos pour dʼautres processus. Pour en savoir plus, consultez la documentation Microsoft 6.3.3 LDAP Ping.
Actualisation du ticket TGT Kerberos : Lʼextension essaie de toujours maintenir votre ticket TGT Kerberos à jour. Pour cela, elle surveille les connexions réseau et les changements de mise en cache Kerberos. Lorsque votre réseau dʼentreprise est disponible et quʼun nouveau ticket est nécessaire, lʼextension émet une requête de manière proactive. Si l’utilisateur choisit de se connecter automatiquement, lʼextension émet une requête pour obtenir un nouveau ticket de manière transparente jusquʼà ce que le mot de passe expire. Si lʼutilisateur choisit de ne pas se connecter automatiquement, il est invité à saisir ses informations d’identification Kerberos lorsque celles-ci expirent (généralement au bout de 10 heures).
Synchronisation du mot de passe : Lʼextension synchronise le mot de passe du compte local avec le mot de passe Active Directory. Après la synchronisation initiale, elle surveille les dates de changement du mot de passe du compte local et Active Directory pour déterminer si les mots de passe du compte sont toujours synchronisés. Elle utilise les dates au lieu dʼessayer de se connecter afin dʼéviter de bloquer le compte local ou Active Directory en raison dʼun trop grand nombre de tentatives.
Exécution des scripts : L’extension génère des notifications lorsque différents évènements se produisent. Ces notifications peuvent déclencher des scripts à exécuter pour prendre en charge lʼextension de la fonctionnalité. Au lieu d’exécuter directement des scripts, des notifications sont envoyées. En effet, l’extension Kerberos utilise des processus sandbox, ce qui empêche l’exécution de scripts. Il existe également une ligne de commande,
app-sso, qui permet aux scripts de lire lʼétat de lʼextension et dʼémettre des requêtes pour des actions courantes telles que la connexion.Sous-menu : Cette extension inclut un sous-menu pour permettre à lʼutilisateur de se connecter, se reconnecter, changer de mot de passe, se déconnecter et afficher lʼétat de la connexion. Lʼoption pour se connecter à nouveau récupère toujours un nouveau ticket TGT et actualise les informations dʼexpiration du mot de passe à partir du domaine.
Utilisation du compte
L’extension Authentification unique Kerberos ne requiert pas que votre Mac soit lié à Active Directory ni que l’utilisateur ait ouvert une session sur le Mac à l’aide d’un compte mobile. Apple vous suggère d’utiliser l’extension Authentification unique Kerberos avec un compte local. L’extension Authentification unique Kerberos a été créée spécialement pour améliorer la prise en charge d’Active Directory à partir d’un compte local. Cependant, si vous choisissez de continuer à utiliser des comptes mobiles, vous pouvez toujours utiliser l’extension Authentification unique Kerberos. En cas d’utilisation avec des comptes mobiles :
La synchronisation du mot de passe ne fonctionnera pas. Si vous utilisez l’extension Authentification unique Kerberos pour modifier votre mot de passe Active Directory et que vous avez ouvert une session sur votre Mac à l’aide du même compte utilisateur que vous utilisez avec l’extension Authentification unique Kerberos, les modifications de mot de passe fonctionnent de la même manière que depuis la sous-fenêtre des préférences « Utilisateurs et groupes ». Cependant, si vous effectuez une modification de mot de passe externe, c’est-à-dire si vous modifiez votre mot de passe sur un site web, ou si votre service d’assistance le réinitialise, l’extension Authentification unique Kerberos ne peut pas synchroniser votre mot de passe de compte mobile avec votre mot de passe Active Directory.
L’utilisation d’une URL de modification de mot de passe avec l’extension Kerberos n’est pas prise en charge.