Sambungan Daftar Diri Tunggal Kerberos dengan peranti Apple
Sambungan Daftar Diri Tunggal Kerberos (SSO Kerberos) meringkaskan proses memperoleh tiket memberi tiket (TGT) Kerberos daripada Active Directory pada premis organisasi anda atau domain penyedia identiti yang lain, membenarkan pengguna mengesahkan secara lancar ke sumber seperti tapak web, app dan pelayan fail.
Keperluan untuk menggunakan sambungan SSO Kerberos
Untuk menggunakan sambungan SSO Kerberos, anda mesti mempunyai:
Peranti diurus dengan penyelesaian pengurusan peranti mudah alih (MDM) dengan sokongan untuk muat beban profil konfigurasi Daftar Diri Tunggal (SSO) Dilanjutkan.
Akses kepada rangkaian yang domain Active Directory pada premis dihoskan. Akses rangkaian ini boleh melalui Wi-Fi, Ethernet, atau VPN.
Domain Active Directory menggunakan Windows Server 2008 atau lebih baharu. Sambungan SSO Kerberos bukan bertujuan untuk digunakan dengan Microsoft Entra ID, yang memerlukan domain Active Directory pada premis tradisional.
Sambungan dalam iOS, iPadOS dan visionOS 1.1
Dalam iOS, iPadOS dan visionOS 1.1, sambungan SSO Kerberos diaktifkan hanya selepas menerima cabaran Rundingan 401 HTTP. Untuk menjimatkan hayat bateri, sambungan ini tidak meminta kod tapak Active Directory atau menyegar semula TGT Kerberos sehingga dicabar.
Ciri sambungan SSO Kerberos untuk iOS, iPadOS dan visionOS 1.1 menyertakan yang berikut:
Kaedah pengesahan: Menambah sokongan untuk beberapa kaedah pengesahan berbeza termasuk kata laluan dan identiti sijil (PKINIT). Identiti sijil boleh berada pada kad pintar CryptoTokenKit, identiti dibekalkan MDM, atau rantai kunci setempat. Sambungan juga menyokong pertukaran kata laluan Active Directory apabila dialog pengesahan ditunjukkan atau menggunakan URL untuk tapak web berbeza.
Tamat tempoh kata laluan: Meminta maklumat tamat tempoh kata laluan daripada domain terus selepas pengesahan, selepas pertukaran kata laluan dan secara berkala pada waktu siang. Maklumat ini digunakan untuk memberikan pemberitahuan tamat tempoh kata laluan dan meminta kelayakan baharu jika pengguna telah menukar kata laluan mereka pada peranti lain.
Sokongan VPN: Menyokong kebanyakan konfigurasi rangkaian berbeza termasuk pelbagai teknologi VPN seperti VPN mengikut app. Jika VPN mengikut app digunakan, sambungan SSO Kerberos hanya menggunakan VPN mengikut app apabila meminta app atau tapak web dikonfigurasikan untuk menggunakannya.
Kecapaian domain: Gunakan LDAP ping pada domain untuk meminta dan kemudian kod tapak Active Directory cache bagi sambungan rangkaian semasa pada domain. Ia berkongsi kod tapak dengan permintaan Kerberos untuk proses lain dan melakukan ini untuk menjimatkan hayat bateri. Untuk mendapatkan maklumat lanjut, lihat dokumentasi Microsoft 6.3.3 LDAP Ping.
Cabaran Rundingan: Mengendalikan cabaran Rundingan 401 HTTP untuk tapak web, permintaan NSURLSession dan tugas latar belakang NSURLSession.
Sambungan dalam macOS
Dalam macOS, sambungan SSO Kerberos memperoleh TGT Kerberos secara proaktif ketika perubahan keadaan rangkaian untuk memastikan pengguna bersedia untuk mengesahkan apabila diperlukan. Sambungan SSO Kerberos juga membantu pengguna anda mengurus akaun Active Directory. Tambahan lagi, ia membenarkan pengguna untuk menukar kata laluan Active Directory mereka dan memberitahu mereka apabila kata laluan hampir tamat tempoh. Pengguna juga boleh menukar kata laluan akaun setempat mereka untuk sepadan dengan kata laluan Active Directory mereka.
Sambungan SSO Kerberos sepatutnya digunakan dengan domain Active Directory pada premis. Peranti tidak perlu menyertai domain Active Directory untuk menggunakan sambungan SSO Kerberos. Tambahan lagi, pengguna tidak perlu log masuk ke komputer Mac mereka dengan akaun Active Directory atau mudah alih; sebaliknya, Apple mengesyorkan menggunakan akaun setempat.
Pengguna mesti mengesahkan ke sambungan SSO Kerberos. Mereka boleh memulakan proses ini dalam mana-mana beberapa cara:
Jika Mac disambungkan ke rangkaian yang domain Active Directory tersedia, pengguna digesa untuk mengesahkan serta merta selepas profil konfigurasi SSO Boleh Dilanjutkan dipasang.
Jika profil telah dipasang, pada bila-bila masa Mac disambungkan ke rangkaian yang domain Active Directory tersedia, pengguna digesa untuk mengesahkan dengan serta merta.
Jika Safari atau sebarang app lain digunakan untuk mengakses tapak web yang menerima atau memerlukan pengesahan Kerberos, pengguna digesa untuk mengesahkan.
Pengguna boleh memilih tambahan menu sambungan SSO Kerberos, kemudian klik Daftar Masuk.
Ciri sambungan SSO Kerberos untuk macOS menyertakan yang berikut:
Kaedah pengesahan: Sambungan menyokong beberapa kaedah pengesahan berbeza termasuk kata laluan dan identiti sijil (PKINIT). Identiti sijil boleh berada pada kad pintar CryptoTokenKit, identiti dibekalkan MDM, atau rantai kunci setempat. Sambungan juga menyokong pertukaran kata laluan AD apabila dialog pengesahan ditunjukkan atau menggunakan URL untuk tapak web berbeza.
Tamat tempoh kata laluan: Sambungan meminta maklumat tamat tempoh kata laluan daripada domain terus selepas pengesahan, selepas pertukaran kata laluan dan secara berkala pada waktu siang. Maklumat ini digunakan untuk memberikan pemberitahuan tamat tempoh kata laluan dan meminta kelayakan baharu jika pengguna telah menukar kata laluan mereka pada peranti lain.
Sokongan VPN: Sambungan menyokong kebanyakan konfigurasi rangkaian berbeza, termasuk perkhidmatan VPN, seperti VPN mengikut app. Jika VPN ialah VPN Sambungan Rangkaian, ia mencetus sambungan secara automatik apabila mengesahkan atau menukar kata laluan. Sebaliknya, jika sambungan ialah VPN mengikut app, tambahan menu sambungan SSO Kerberos sentiasa menunjukkan bahawa rangkaian tersedia. Ini kerana ia menggunakan LDAP ping untuk menentukan ketersediaan rangkaian korporat. Apabila VPN mengikut app diputuskan sambungan, LDAP ping menyambungkannya semula, mengakibatkan perkara yang kelihatan sebagai sambungan VPN mengikut app yang berterusan. Secara kenyataannya, sambungan SSO Kerberos telah dicetuskan untuk trafik Kerberos atas permintaan.
Tambah entri yang berikut ke Pemetaan VPN Peringkat App ke App anda untuk menggunakan sambungan SSO Kerberos dengan VPN mengikut app:
com.apple.KerberosExtension menggunakan pengecam keperluan khas com.apple.KerberosExtension dan anchor apple
com.apple.AppSSOAgent menggunakan pengecam keperluan com.apple.AppSSOAgent dan anchor apple
com.apple.KerberosMenuExtra menggunakan keperluan yang ditentukan: identifier com.apple.KerberosMenuExtra dan anchor apple
Kecapaian domain: Sambungan menggunakan LDAP ping pada domain untuk meminta dan kemudian cache, kod tapak Active Directory bagi sambungan rangkaian semasa pada domain. Ia melakukan ini untuk menjimatkan hayat bateri. Ia juga berkongsi kod tapak dengan permintaan Kerberos untuk proses lain. Untuk mendapatkan maklumat lanjut, lihat dokumentasi Microsoft 6.3.3 LDAP Ping.
Segar semula TGT Kerberos: Sambungan sentiasa cuba untuk menyegar semula TGT Kerberos anda. Ia melakukan ini dengan memantau sambungan rangkaian dan perubahan cache Kerberos. Apabila rangkaian korporat anda tersedia dan tiket baharu diperlukan, ia meminta tiket baharu secara proaktif. Jika pengguna memilih untuk mendaftar masuk secara automatik, sambungan meminta tiket baharu secara lancar sehingga kata laluan pengguna tamat tempoh. Jika pengguna tidak memilih untuk mendaftar masuk secara automatik, pengguna digesa untuk kelayakan apabila kelayakan Kerberos mereka tamat tempoh—biasanya dalam tempoh 10 jam.
Penyelarasan kata laluan: Sambungan menyelaraskan kata laluan akaun setempat dengan kata laluan Active Directory. Selepas penyelarasan permulaan, ia memantau tarikh perubahan kata laluan akaun setempat dan Active Directory untuk menentukan jika kata laluan akaun masih selaras. Ia menggunakan tarikh dan bukannya percubaan log masuk untuk menghalang penyekatan akaun setempat atau AD kerana terlalu banyak percubaan gagal.
Jalankan skrip: Sambungan menyiarkan pemberitahuan apabila pelbagai peristiwa berlaku. Pemberitahuan ini boleh mencetuskan skrip untuk dilaksanakan bagi menyokong perluasan fungsi. Pemberitahuan dihantar dan bukannya melaksanakan skrip secara terus kerana proses sambungan Kerberos dijadikan kotak pasir dan kotak pasir akan membantu menghalang skrip daripada berjalan. Terdapat juga alat garis perintah,
app-sso, yang membenarkan skrip untuk membaca keadaan sambungan dan meminta tindakan biasa seperti daftar masuk.Tambahan menu: Sambungan termasuk menu tambahan untuk membenarkan pengguna untuk mendaftar masuk, menyambung semula, menukar kata laluan, mendaftar keluar dan untuk melihat status sambungan. Pilihan sambung semula sentiasa mengambil TGT baharu dan menyegarkan semula maklumat tamat tempoh kata laluan daripada domain.
Penggunaan akaun
Sambungan SSO Kerberos tidak memerlukan Mac anda terikat kepada Active Directory atau yang pengguna dilog masuk ke Mac dengan akaun mudah alih. Apple mencadangkan anda menggunakan sambungan SSO Kerberos dengan akaun setempat. Sambungan SSO Kerberos dicipta khusus untuk meningkatkan integrasi Active Directory daripada akaun setempat. Walau bagaimanapun, jika ada memilih untuk terus menggunakan akaun mudah alih, anda masih boleh menggunakan sambungan SSO Kerberos. Apabila digunakan dengan akaun mudah alih:
Penyelarasan kata laluan tidak berfungsi. Jika anda menggunakan sambungan SSO Kerberos untuk menukar kata laluan Active Directory anda dan anda dilog masuk ke Mac anda dengan akaun pengguna yang sama yang anda gunakan dengan sambungan SSO Kerberos, penukaran kata laluan berfungsi seperti daripada anak tetingkap keutamaan Pengguna & Kumpulan. Tetapi jika anda melaksanakan penukaran kata laluan luaran—bermaksud anda menukar kata laluan anda pada tapak web, atau meja bantuan anda meresetnya—sambungan SSO Kerberos tidak boleh menyelaraskan kembali kata laluan akaun mudah alih anda dengan kata laluan Active Directory anda.
Menggunakan URL penukaran kata laluan dengan sambungan Kerberos tidak disokong.