Impostazioni del payload MDM “Extensible Single Sign-on” per i dispositivi Apple
Utilizza il payload “Extensible Single Sign-on” per definire le estensioni per l’autenticazione utente a più fattori su iPhone, iPad e Mac registrati a una soluzione di gestione dei dispositivi mobili (MDM).
Questa estensione è destinata ai fornitori di identità per offrire un’esperienza fluida quando gli utenti accedono ad app e siti web. Se configurata correttamente utilizzando MDM, l’utente effettua l’autenticazione una volta, quindi ottiene l’accesso ad app native e siti web automaticamente. Le seguenti altre funzionalità possono essere utilizzate con il payload “Extensible Single Sign-On” quando vengono implementate dagli sviluppatori:
Portachiavi iCloud
Autenticazione a più fattori
VPN per app
Notifiche utente
Oltre alle “Estensioni single Sign-on” per gli sviluppatori di terze parti, iOS 13, iPadOS 13.1 e macOS 10.15 dispongono di estensioni Kerberos integrate che possono essere utilizzate per consentire l’accesso agli utenti ad app native, nonché siti web, che supportano l’autenticazione Kerberos.
Il payload “Extensible Single Sign-on” supporta quanto segue. Per ulteriori informazioni, consulta Informazioni payload.
Metodo di approvazione supportato: Richiede l’approvazione dell’utente.
Metodo di installazione supportato: per l’installazione è richiesta una soluzione MDM.
Identificatore payload supportato: com.apple.extensiblesso
Sistemi operativi supportati e canali: iOS, iPadOS, utente iPad condiviso, dispositivo macOS, utente macOS, visionOS 1.1.
Metodi di registrazione supportati: registrazione utente, registrazione dispositivo, registrazione automatica del dispositivo.
Duplicati consentiti: vero: è possibile fornire un solo payload “Extensible Single Sign-on” a un utente o dispositivo.
Puoi utilizzare le impostazioni nella tabella di seguito con il payload “Extensible Single Sign-on”.
Impostazione | Descrizione | Richiesta | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
KDC preferiti | Elenco ordinato dei KDC (Key Distribution Center) preferiti da usare per il traffico Kerberos. Questa chiave dovrebbe essere utilizzata se non è possibile rilevare i server tramite DNS. Se i server sono specificati, vengono usati per i controlli di connettività e viene inoltre effettuato prima un tentativo per il traffico Kerberos. Se i server non rispondono, viene utilizzato il rilevamento DNS. Ogni voce è formattata nello stesso modo, analogamente a come avverrebbe in un file krb5.conf. | No | |||||||||
Identificatore estensione | L’ID unico del pacchetto dell’app. | Sì | |||||||||
Identificatore team | L’ID unico del team dell’app. | Sì | |||||||||
Tipo di sign-on |
| Sì | |||||||||
Metodo di autenticazione macOS 13 o versione successiva | Il metodo di autenticazione SSO della piattaforma utilizzato dall’estensione. Richiede che anche l’estensione SSO supporti il metodo.
| No | |||||||||
Token di registrazione macOS 13 o versione successiva | Il token che il dispositivo utilizza per la registrazione con SSO della piattaforma. Utilizzalo per la registrazione silenziosa con il fornitore di identità. Richiede che il metodo di autenticazione non sia vuoto. | No | |||||||||
Settore | Il settore Kerberos completo dove si trova l’account dell’utente. La chiave viene ignorata per i payload Reindirizzamento. | No | |||||||||
Host | Domini approvati che possono essere utilizzati per l’autenticazione con l’estensione dell’app. | No | |||||||||
URL | Richiesto per i payload Reindirizzamento. Ignorato per i payload Credenziali. L’URL deve iniziare con https:// o http://, le corrispondenze di schema e nome host vengono individuate senza effettuare distinzione tra maiuscole e minuscole, i parametri delle query e i frammenti di URL non sono consentiti e gli URL di tutti i payload Extensible SSO installati devono essere unici. | No |
Nota: ogni fornitore MDM implementa queste impostazioni in modo diverso. Per sapere come le diverse impostazioni “Extensible Single Sign-on” vengono applicate ai tuoi dispositivi, consulta la documentazione del fornitore MDM.