Položky nastavení MDM v datové části Extensible Single Sign-on pro zařízení Apple
V datové části Extensible Single Sign-On můžete definovat rozšíření pro vícefaktorové ověřování pro uživatele zařízení Phone, iPad, sdílený iPad, Mac nebo Apple Vision Pro zaregistrovaných ve službě správy mobilních zařízení (MDM).
Toto rozšíření umožňuje poskytovatelům identity zajistit uživatelům hladce propojené prostředí pro přihlašování k aplikacím a webovým stránkám. Při správném nakonfigurování ve službě MDM uživatel ověří svou totožnost jen jednou a automaticky tím získá přístup k dalším nativním aplikacím a webovým stránkám. S datovou částí Extensible Single Sign-on lze používat také následující funkce, pokud je vývojář implementuje:
iCloud Keychain
Vícefaktorové ověřování
VPN na úrovni aplikací
Uživatelská oznámení
Kromě poskytovaných rozšíření jednotného přihlášení pro nezávislé vývojáře je v systémech iOS 13, iPadOS 13.1 a macOS 10.15 k dispozici také integrované rozšíření Kerberos, které lze používat pro přihlašování uživatelů k nativním aplikacím a k webovým stránkám podporujícím ověřování Kerberos.
Datová část Extensible Single Sign-on podporuje následující položky. Další informace najdete v části Informace o datových částech.
Podporovaná metoda schvalování: Je nutné schválení uživatelem.
Podporovaná metoda instalace: K instalaci je nutná služba MDM.
Podporovaný identifikátor datové části: com.apple.extensiblesso
Podporované operační systémy a kanály: iOS, iPadOS, uživatel sdíleného iPadu, macOS zařízení, uživatel systému macOS, systém visionOS 1.1
Podporované metody registrace: registrace uživatelů, registrace zařízení, automatická registrace zařízení.
Povolení duplikátů: Ano – jeden uživatel nebo zařízení může obdržet pouze jedinou datovou část Extensible Single Sign-on.
V datové části Extensible Single Sign-on lze použít položky nastavení uvedené v následující tabulce.
Nastavení | Popis | Povinná | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Preferred KDCs | Uspořádaný seznam center KDC, která mají být přednostně použita pro provoz se zabezpečením Kerberos. Tento klíč je určen k použití v případech, kdy nejsou servery zjistitelné přes službu DNS. Pokud jsou servery uvedeny, budou použity pro kontrolu připojení a pro první pokusy o přenos se zabezpečením Kerberos. Pokud servery nezareagují, bude použito zjišťování přes DNS. Jednotlivé položky používají stejný formát jako v souboru krb5.conf. | Ne | |||||||||
Extension identifier | Jedinečný identifikátor balíku aplikace. | Ano | |||||||||
Team identifier | Jedinečný identifikátor týmu aplikace. | Ano | |||||||||
Sign-on type |
| Ano | |||||||||
Authentication method macOS 13 nebo novější | Metoda ověřování SSO platformy, kterou rozšíření používá. Vyžaduje, aby tuto metodu podporovalo také rozšíření SSO.
| Ne | |||||||||
Registration token macOS 13 nebo novější | Token používaný tímto zařízením pro registraci v platformě SSO. Použijte ho pro bezobslužnou registraci u poskytovatele identit. Vyžaduje, aby metoda ověření totožnosti nebyla prázdná. | Ne | |||||||||
Realm | Úplný název sféry Kerberos, kde se nachází účet uživatele. Tento klíč je pro datové části Redirect ignorován. | Ne | |||||||||
Hosts | Schválené domény, které je možné s rozšířením aplikace ověřit. | Ne | |||||||||
URLs | Vyžadováno pro datové části Redirect. Ignorováno pro datové části Credential. Adresy URL musí začínat řetězcem https:// nebo http://, při hledání shody pro schéma a název hostitele se nerozlišují malá a velká písmena, nejsou povoleny parametry dotazu ani fragmenty URL a adresy URL všech nainstalovaných datových částí Extensible SSO musí být jedinečné. | Ne | |||||||||
Poznámka: Implementace těchto položek nastavení se u různých vývojářů služby MDM liší. Informace o tom, jak se různé položky nastavení v datové části Extensible Single Sign-on uplatní na vaše zařízení a uživatele, najdete v dokumentaci od vývojáře služby MDM.