Die Einmalanmeldung (SSO) bietet Benutzern, die auf Ihre Unternehmens-Apps oder Websites zugreifen, ein einheitliches Anmeldeerlebnis. Apple hat Erweiterbares SSO eingeführt, um einfachere und sicherere Einmalanmeldungen für iPhones, iPads und Mac-Geräte zu ermöglichen, die in eine MDM-Lösung eingebunden sind. Erweiterbares SSO kann mit Identitätsanbietern von Drittanbietern verwendet werden, um die Einmalanmeldung für Benutzer zu vereinfachen und zu verbessern. Außerdem gibt es in Apple eine integrierte Kerberos-Erweiterung, mit der Benutzer bei nativen Apps und Websites angemeldet werden können, die die Kerberos-Authentifizierung unterstützen. Weitere Informationen zu Erweiterbarem SSO finden Sie in Apples Dokumentation, klicken Sie hier.
Die MDM-Funktion in Endpoint Central vereinfacht das Anmeldeerlebnis der Benutzer mit Erweiterbarem SSO, das zur Konfiguration von Identitätsanbietern wie Microsoft SSO Plug-in, Okta FastPass usw. verwendet werden kann. Der Benutzer muss über die Kerberos-Erweiterung oder über Identitätsanbieter authentifiziert werden. Nach der Authentifizierung werden Benutzer bei nachfolgenden Anmeldungen nicht erneut zur Authentifizierung aufgefordert. Diese Konfiguration gilt für Geräte mit macOS 10.15 und höher.
| Profilspezifikation | Beschreibung |
|---|---|
| Erweiterungstyp | Wählen Sie den Erweiterungstyp aus, der zur Authentifizierung von Benutzern während der Anmeldung verwendet werden soll. Dieser sollte von Ihrem Erweiterungsentwickler bezogen werden. Anmeldedaten - Wird für Authentifizierungen vom Typ Challenge-Response verwendet. Umleitung - Wird für moderne Authentifizierung wie OAuth, SAML usw. verwendet. Kerberos - Apples native Erweiterung, die Benutzer mit Active Directory authentifiziert. |
| Erweiterungskennung | Geben Sie die Bundle-Kennung der Erweiterungs-App an, die die Einmalanmeldung durchführt. Beispiel: com.apple.AppSSOKerberos.KerberosExtension. Beziehen Sie die Bundle-Kennung vom App-Entwickler. |
| Teamkennung | Geben Sie die Teamkennung der App ein. |
| URLs | Wenn Sie als Erweiterungstyp Umleitung ausgewählt haben, geben Sie die URLs Ihrer Identitätsanbieter an, bei denen die Erweiterung SSO durchführt. |
| Realm | Geben Sie den Realm an, für den die Authentifizierung erfolgen soll. Wenn der Typ Anmeldedaten-Erweiterung ausgewählt ist, beziehen Sie den Realm vom App-Entwickler. In der Regel ist dies Ihr DNS-Domainname, jedoch vollständig in Großbuchstaben. Wenn Ihre Domain beispielsweise zylker.com ist, lautet Ihr Kerberos-Realm ZYLKER.COM |
| Host | Geben Sie die Domains ein, die mit der App-Erweiterung authentifiziert werden können. Bsp.: zylker.com Um Wildcard-Domains zuzulassen, fügen Sie vor dem Domainnamen ein '.' hinzu. Bsp.: .zylker.com |
| Apps von SSO ausschließen | Wählen Sie die Apps aus, die die Einmalanmeldung mit der Authenticator-App nicht verwenden können. Sie können jede auf dem Gerät vorhandene App und/oder jede App aus dem App-Repository auswählen. Hinweis: Bestimmte Apps, die Safari zur Authentifizierung verwenden, können nicht von SSO ausgeschlossen werden. Um diese Apps zu blockieren, muss Safari auf dem Gerät blockiert werden. |
| Benutzerdefinierte Konfiguration | Um Konfigurationen basierend auf den Anforderungen Ihres Unternehmens anzupassen, sammeln Sie die erforderlichen Werte von Ihrem App-Entwickler und schließen Sie die Werte mit <dict> und </dict> ein. Verfügbare Optionen und Beispiel-Plist-Dateien finden Sie bei Ihrem Identitätsanbieter. |
| Verhalten des Sperrbildschirms (Nur anwendbar für macOS 12 und höher) | Legen Sie fest, wie die Authentifizierung erfolgen soll, wenn das Gerät gesperrt ist. Abbrechen - Diese Option beendet die SSO-Anfrage automatisch, sobald das Gerät gesperrt ist. Anfrage nicht verarbeiten - Diese Option verhindert, dass die Anfrage an den Erweiterungsserver gesendet wird. Hinweis: Standardmäßig ist das Verhalten des Sperrbildschirms auf 'Abbrechen' gesetzt. |
| Plattform-SSO-Authentifizierungsmethode (Nur anwendbar für macOS 13 und höher) | Wählen Sie die Plattform-SSO-Authentifizierungsmethode aus, die von der Erweiterung verwendet wird. 1. Benutzer-Secure-Enclave-Schlüssel 2. Passcode |
| Plattform-Registrierungstoken (Nur anwendbar für macOS 13 und höher) | Geben Sie das von Ihrem Identitätsanbieter erhaltene Registrierungstoken ein. |
Weitere Informationen zu den oben genannten Konfigurationen finden Sie in den folgenden Dokumenten
Sie können dieselben URLs nicht in mehreren Profilen verwenden. Wenn Sie dieselbe URL in mehr als einem Profil konfiguriert haben, wird das zweite Profil nicht auf das Gerät angewendet.
Sie können dieselben Hosts nicht in mehreren Profilen verwenden. Wenn Sie denselben Host in mehr als einem Profil konfiguriert haben, wird das zweite Profil nicht auf das Gerät angewendet.
Dieser Fehler tritt auf, wenn der Plattform-SSO-Authentifizierungstyp in mehr als einem Profil konfiguriert ist.
