Apple डिवाइस के साथ सिंगल साइन-ऑन का परिचय
संगठन अक्सर सिंगल साइन-ऑन (SSO) का उपयोग करते हैं जिसे लोगों के ऐप्स और वेबसाइट में साइन इन करने के अनुभव को बेहतर बनाने के लिए डिज़ाइन किया गया है। SSO के साथ, एक सामान्य प्रमाणन प्रक्रिया का उपयोग एकाधिक ऐप्स या सिस्टम को ऐक्सेस करने के लिए—यूज़र द्वारा उसकी पहचान का दावा फिर से किए बिना किया जाता है। यूज़र के क्रेडेंशियल (उदाहरण के लिए उनके पासवर्ड) सहेजने और प्रत्येक ऐप या सिस्टम के लिए इसे फिर से उपयोग करने के बजाय, यूज़र को वन-टाइम पासवर्ड अवधारणा का प्रकटन करते हुए SSO द्वारा आरंभिक प्रमाणन द्वारा प्रदान किए गए टोकन का उपयोग किया जा रहा है।
उदाहरण के लिए, जब आप अपने कॉर्पोरेट नेटवर्क पर Active Directory में साइन इन करते हैं और फिर अपने पासवर्ड को दोबारा दर्ज किए बिना अपने एंटरप्राइज़ ऐप्स और वेबसाइट को निर्बाध रूप से ऐक्सेस करते हैं, तब SSO शुरू होता है। यूज़र की पहचान करने और समूह सदस्यता प्रदान करने के लिए Active Directory पर विश्वास करने हेतु सभी ऐप्स और सिस्टम को कॉन्फ़िगर किया जाता है; इन सबके मिलने से सुरक्षा डोमेन का गठन होता है।
Kerberos
Kerberos एक लोकप्रिय प्रमाणन प्रोटोकॉल है जिसका उपयोग SSO के लिए बड़े नेटवर्क में होता है। यह Active Directory द्वारा इस्तेमाल किया जाने वाला डिफ़ॉल्ट प्रोटोकॉल भी है। यह सभी प्लैटफ़ॉर्म पर काम करता है, एंक्रिप्शन का उपयोग करता है और पुनरावृत्ति आक्रमण के विरुद्ध रक्षा करता है। यूज़र को प्रमाणित करने के लिए यह पासवर्ड, सर्टिफ़िकेट पहचान, स्मार्ट कार्ड, NFC डिवाइस या अन्य हार्डवेयर प्रमाणन उत्पादों का उपयोग कर सकता है। Kerberos को निष्पादित करने वाले सर्वर को मुख्य डिस्ट्रीब्यूशन केंद्र (KDC) कहते हैं। यूज़र को प्रमाणित करने के लिए, Apple डिवाइस द्वारा नेटवर्क कनेक्शन पर KDC से संपर्क किया जाना चाहिए।
Kerberos संगठन के आंतरिक या निजी नेटवर्क पर अच्छे-से काम करता है क्योंकि सभी क्लाइंट और सर्वर को KDC से सीधी कनेक्टिविटी की आवश्यक है। जो क्लाइंट कॉर्पोरेट नेटवर्क पर नहीं हैं, उन्हें कनेक्ट और प्रमाणित करने के लिए वर्चुअल निजी नेटवर्क (VPN) का उपयोग करना चाहिए। Kerberos क्लाउड या इंटरनेट आधारित ऐप्स के लिए आदर्श नहीं है। ऐसा इसलिए क्योंकि इन ऐप्लिकेशन के पास कॉर्पोरेट नेटवर्क की सीधी कनेक्टिविटी नहीं है। क्लाउड या इंटरनेट आधारित ऐप्स के लिए, आधुनिक प्रमाणन (नीचे वर्णित) अधिक उपयुक्त हैं।
Active Directory इन्वायरन्मेंट में एकीकृत किया जाने पर macOS सभी प्रमाणन ऐक्टिविटी के लिए Kerberos को प्राथमिकता देता है। जब यूज़र Active Directory खाते का उपयोग करके Mac में लॉगइन करता है, तो Active Directory डोमेन कंट्रोलर से Kerberos टिकट ग्रांटिंग टिकट (TGT) के लिए अनुरोध किया जाता है। जब यूज़र Kerberos प्रमाणन का समर्थन करने वाले डोमेन पर किसी भी सेवा या ऐप का उपयोग करने की कोशिश करता है, तो यूज़र को उस सेवा को फिर से प्रमाणित करने की आवश्यकता नहीं पड़ती और उस सेवा का अनुरोध करने के लिए TGT टिकट उपयोग किया जाता है। यदि स्क्रीन सेवर को ठुकराने के लिए किसी पासवर्ड की आवश्यकता वाली कोई पॉलिसी सेट हो, तो macOS सफल प्रमाणन होने पर TGT नवीनीकृत करने की कोशिश करता है।
Kerberized सर्वर के सही तरीक़े से काम करने के लिए, फ़ॉरवर्ड और रिवर्स डोमेन नेम सिस्टम (DNS) दोनों रिकॉर्ड सटीक होने चाहिए। सिस्टम क्लॉक समय भी अहम होता है, क्योंकि क्लॉक स्क्यू किसी भी सर्वर और क्लाइंट के लिए 5 मिनट से कम होना चाहिए। सबसे अच्छा तरीक़ा होता है नेटवर्क समय प्रोटोकॉल (NTP) सेवा, जैसे कि time.apple.com का उपयोग करके तिथि और समय को ऑटोमैटिकली सेट करना।
SSO के साथ आधुनिक प्रमाणन
आधुनिक प्रमाणन से तात्पर्य है क्लाउड ऐप्लिकेशन द्वारा इस्तेमाल किए जाने वाले वेब-आधारित प्रमाणन प्रोटोकॉल का संग्रह। उदाहरणों में SAML 2.0, OAuth 2.0 (iOS 16, iPadOS 16.1, visionOS 1.1के संस्करण) और ओपन ID कनेक्ट (OIDC) शामिल हैं। ये प्रोटोकॉल इंटरनेट पर अच्छे-से काम करते हैं और HTTPS की मदद से अपने कनेक्शन को एंक्रिप्ट करते हैं। संगठन के नेटवर्क और क्लाउड ऐप्लिकेशन के बीच फ़ेडरेट करने के लिए SAML2 का उपयोग अक्सर किया जाता है। विश्वास डोमेन को पार करते समय फ़ेडरेशन का उपयोग किया जाता है—उदाहरण के लिए, अपने ऑन-प्रेमिस डोमेन से क्लाउड ऐप्लिकेशन के सेट को ऐक्सेस करते समय।
नोट : OAuth 2.0 का लाभ उठाने के लिए MDM समाधान द्वारा ऐसे किसी भी पहचान प्रदाता (IdP) वाले OAuth 2.0 के लिए सर्वर-साइड समर्थन लागू किया जाना चाहिए जिसे यूज़र नामांकन के साथ इस्तेमाल करने के लिए वह समर्थन देना चाहता है।
वेंडर और इनवायरन्मेंट के आधार पर इन प्रोटोकॉल के साथ सिंगल साइन-ऑन अलग-अलग होते हैं। उदाहरण के लिए, जब आप संगठन के नेटवर्क पर Active Directory फ़ेडरेशन सेवा (AD FS) का उपयोग कर रहे होते हैं, AD FS, SSO के लिए Kerberos के साथ काम करता है और जब आप क्लाइंट को इंटरनेट के ज़रिए प्रमाणित कर रहे होते हैं, AD FS ब्राउज़र कुकीज़ का उपयोग कर सकता है। आधुनिक प्रमाणन प्रोटोकॉल यह निर्धारित नहीं करते कि यूज़र अपनी पहचान का दावा कैसे करता है। अज्ञात क्लाइंट से प्रमाणित करते समय इनमें से कई प्रोटोकॉल का उपयोग SMS कोड जैसे मल्टी-फ़ैक्टर प्रमाणन के संयोजन में किया जाता है। प्रमाणन प्रक्रिया में सहायता करने के लिए ज्ञात डिवाइस की पहचान करने हेतु कुछ विक्रेता डिवाइस पर सर्टिफ़िकेट का प्रावधान करते हैं।
IdP सिंगल साइन-ऑन एक्सटेंशन के उपयोग के ज़रिए iOS, iPadOS, macOS और visionOS 1.1 में SSO का समर्थन कर सकते हैं। ये एक्सटेंशन IdP को उनके यूज़र के लिए आधुनिक प्रमाणन प्रोटोकॉल को कार्यान्वित करने की अनुमति देते हैं।
समर्थित ऐप्स
iOS, iPadOS, and visionOS 1.1 किसी भी ऐप को SSO के लिए फ़्लेक्सिबल समर्थन प्रदान करते हैं जो नेटवर्क कनेक्शन और प्रमाणीकरण को प्रबंधित करने के लिए NSURLSession या URLSession क्लास का उपयोग करता है। Apple सभी डेवलपरों को उनके ऐप्स के भीतर नेटवर्क कनेक्शनों को सुगम रूप से इंटिग्रेट करने के लिए ये क्लास प्रदान करता है।
कोई भी Mac ऐप जो Kerberos प्रमाणन को समर्थन करता है, वह SSO के साथ काम करता है। इसमें शामिल होते हैं कई ऐप्स जो macOS के लिए बने होते हैं, जैसे Safari, मेल और कैलेंडर और साथ ही, फ़ाइल शेयरिंग, स्क्रीन शेयरिंग तथा सिक्योर शेल (SSH) जैसी सेवाएँ भी शामिल होती हैं। Microsoft Outlook जैसे कई तृतीय-पक्ष ऐप्स Kerberos का भी समर्थन करते हैं।
सिंगल साइन-ऑन कॉन्फ़िगर करें
आप कॉन्फ़िगरेशन प्रोफ़ाइल्स की मदद से SSO को कॉन्फ़िगर करें, जो या तो मैनुअली इंस्टॉल किया गया होते हैं या MDM के साथ प्रबंधित होते हैं। SSO पेलोड लोचशील कॉन्फ़िगर की अनुमति देता है। SSO सभी ऐप के लिए खुला हो सकता है या इसे ऐप आइडेंटिफ़ायर, सर्विस URL या दोनों द्वारा प्रतिबंधित किया जा सकता है।
किसी अनुरोध किए URL के प्रेफ़िक्स के पैटर्न की तुलना में सरल स्ट्रिंग पैटर्न मैचिंग का उपयोग किया जाता है। जैसे कि, पैटर्न्स या तो https:// या http:// से आरंभ होना चाहिए और यह भिन्न पोर्ट नम्बरों से मेल नहीं खाना चाहिए। यदि कोई URL मैचिंग पैटर्न स्लैश (/) से समाप्त नहीं होता है, तो स्लैश को संलग्न किया जाता है।
उदाहरण के लिए, https://www.betterbag.com/ https://www.betterbag.com/index.html से मेल खाता है लेकिन http://www.betterbag.com या https://https://www.betterbag.com:443/ से मेल नहीं खाएगा।
गुम सबडोमेन को निर्दिष्ट करने के लिए सिंगल वाइल्डकार्ड का भी उपयोग किया जा सकता है। उदाहरण के लिए, https://*.betterbag.com/ का मिलान https://store.betterbag.com/ से होता है।
Mac यूज़र /System/Library/CoreServices/ में स्थित टिकट व्यूअर ऐप का इस्तेमाल करके अपने Kerberos टिकट को देख और प्रबंधित कर सकते हैं। टिकट मेनू पर क्लिक कर और डायग्नॉस्टिक इंफ़ॉर्मेशन का चयन कर आप अतिरिक्त जानकारी देख सकते हैं। अगर कॉन्फ़िगरेशन प्रोफ़ाइल से अनुमति दी गई है, कमांड लाइन टूल kinit, klist और kdestroy का उपयोग करके Kerberos टिकट के लिए अनुरोध कर सकते, उन्हें देख सकते और नष्ट भी कर सकते हैं।