單一登入保安
單一登入
iOS 和 iPadOS 支援透過單一登入(SSO)驗證進入企業網絡。SSO 配搭 Kerberos 型網絡使用,針對用户獲授權存取的服務對用户進行認證。SSO 可用於多種網絡活動,從安全的 Safari 作業階段到第三方的 App。同時還支援證書式認證(例如 PKINIT)。
macOS 支援使用 Kerberos 驗證進入企業網絡。App 可以使用 Kerberos 來針對用户獲授權存取的服務對用户進行認證。Kerberos 亦可用於多種網絡活動,從安全的 Safari 作業階段和網絡檔案系統認證,到第三方的 App。支援證書式認證,但是需要 App 採用開發者 API。
iOS、iPadOS 和 macOS SSO 使用 SPNEGO 代號和 HTTP Negotiate 通訊協定,與 Kerberos 型認證閘道和支援 Kerberos 票證的 Windows 整合式驗證系統配合使用。SSO 的支援以開放原始碼 Heimdal 專案為基礎。
iOS、iPadOS 和 macOS 支援以下加密類型:
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
DES3-CBC-SHA1
ARCFOUR-HMAC-MD5
Safari 支援 SSO,且使用標準 iOS 和 iPadOS 網絡連線 API 的第三方 App 也可進行設定來使用。為設定 SSO,iOS 和 iPadOS 支援允許流動裝置管理(MDM)解決方案下推必要設定的設定描述檔承載資料。其中包括:設定用户主要名稱(即 Active Directory 用户帳户)和 Kerberos 領域設定,以及設定應允許哪些 App 和 Safari Web URL 使用 SSO。
可延伸單一登入
App 開發者可使用 SSO 延伸功能來提供他們自己的單一登入實作。當原生或 Web App 需要使用某些「身份提供者」以進行用户認證時,系統會叫用 SSO 延伸功能。開發者可提供兩種類型的延伸功能:重新導向至 HTTPS 的延伸功能,以及使用質詢/回應機制(例如 Kerberos)的延伸功能。這允許可延伸單一登入支援 OpenID、OAuth、SAML2 和 Kerberos 認證計劃。SSO 延伸功能也藉由採用原生 SSO 通訊協定(可在 macOS 登入期間截取 SSO 代號)來支援 macOS 認證。
如要使用單一登入的延伸功能,App 可使用 AuthenticationServices API,或可依靠作業系統所提供的 URL 截取機制。WebKit 和 CFNetwork 提供截取層級,其可為任何原生或 WebKit App 的單一登入提供順暢的支援。如要叫用單一登入延伸功能,必須透過流動裝置管理(MDM)描述檔安裝由管理員提供的設定。此外,重新導向類型的延伸功能必須使用「相關的域名」承載資料,以證明其支援的識別身份伺服器知悉其存在。
作業系統隨附的唯一延伸功能為 Kerberos SSO 延伸功能。