# Einmalanmeldung

Die Einmalanmeldung (SSO) bietet Benutzern, die auf Ihre Unternehmens-Apps oder Websites zugreifen, ein einheitliches Anmeldeerlebnis. Apple hat **Erweiterbares SSO** eingeführt, um einfachere und sicherere Einmalanmeldungen für iPhones, iPads und Mac-Geräte zu ermöglichen, die in eine MDM-Lösung eingebunden sind. Erweiterbares SSO kann mit **Identitätsanbietern von Drittanbietern** verwendet werden, um die Einmalanmeldung für Benutzer zu vereinfachen und zu verbessern. Außerdem gibt es in Apple eine integrierte Kerberos-Erweiterung, mit der Benutzer bei nativen Apps und Websites angemeldet werden können, die die Kerberos-Authentifizierung unterstützen.

Weitere Informationen zu Erweiterbarem SSO finden Sie in Apples Dokumentation:  
[klicken Sie hier](https://support.apple.com/en-in/guide/deployment/depfd9cdf845/web)

## Erweiterbare Einmalanmeldung mit MDM

Die MDM-Funktion in Endpoint Central vereinfacht das Anmeldeerlebnis der Benutzer mit Erweiterbarem SSO, das zur Konfiguration von Identitätsanbietern wie Microsoft SSO Plug-in, Okta FastPass usw. verwendet werden kann. Der Benutzer muss über die Kerberos-Erweiterung oder über Identitätsanbieter authentifiziert werden. Nach der Authentifizierung werden Benutzer bei nachfolgenden Anmeldungen nicht erneut zur Authentifizierung aufgefordert.

Diese Konfiguration gilt für Geräte mit macOS 10.15 und höher.

## Profilbeschreibung

| Profilspezifikation | Beschreibung |
|---|---|
| Erweiterungstyp | Wählen Sie den Erweiterungstyp aus, der zur Authentifizierung von Benutzern während der Anmeldung verwendet werden soll. Dieser sollte von Ihrem Erweiterungsentwickler bezogen werden.<br><br>**Anmeldedaten** - Wird für Authentifizierungen vom Typ Challenge-Response verwendet.<br>**Umleitung** - Wird für moderne Authentifizierung wie OAuth, SAML usw. verwendet.<br>**Kerberos** - Apples native Erweiterung, die Benutzer mit Active Directory authentifiziert. |
| Erweiterungskennung | Geben Sie die Bundle-Kennung der Erweiterungs-App an, die die Einmalanmeldung durchführt. **Beispiel: com.apple.AppSSOKerberos.KerberosExtension.** Beziehen Sie die Bundle-Kennung vom App-Entwickler. |
| Teamkennung | Geben Sie die Teamkennung der App ein. |
| URLs | Wenn Sie als Erweiterungstyp Umleitung ausgewählt haben, geben Sie die URLs Ihrer Identitätsanbieter an, bei denen die Erweiterung SSO durchführt. |
| Realm | Geben Sie den Realm an, für den die Authentifizierung erfolgen soll. Wenn der Typ Anmeldedaten-Erweiterung ausgewählt ist, beziehen Sie den Realm vom App-Entwickler. In der Regel ist dies Ihr DNS-Domainname, jedoch vollständig in Großbuchstaben. Wenn Ihre Domain beispielsweise zylker.com ist, lautet Ihr Kerberos-Realm ZYLKER.COM. |
| Host | Geben Sie die Domains ein, die mit der App-Erweiterung authentifiziert werden können. **Bsp.: zylker.com**<br><br>Um Wildcard-Domains zuzulassen, fügen Sie vor dem Domainnamen ein '.' hinzu. **Bsp.: .zylker.com** |
| Apps von SSO ausschließen | Wählen Sie die Apps aus, die die Einmalanmeldung mit der Authenticator-App nicht verwenden können. Sie können jede auf dem Gerät vorhandene App und/oder jede App aus dem App-Repository auswählen.<br><br>Hinweis: Bestimmte Apps, die Safari zur Authentifizierung verwenden, können nicht von SSO ausgeschlossen werden. Um diese Apps zu blockieren, muss Safari auf dem Gerät blockiert werden. |
| Benutzerdefinierte Konfiguration | Um Konfigurationen basierend auf den Anforderungen Ihres Unternehmens anzupassen, sammeln Sie die erforderlichen Werte von Ihrem App-Entwickler und schließen Sie die Werte mit `<dict>` und `</dict>` ein. Verfügbare Optionen und Beispiel-Plist-Dateien finden Sie bei Ihrem Identitätsanbieter. |
| Verhalten des Sperrbildschirms (Nur anwendbar für macOS 12 und höher) | Legen Sie fest, wie die Authentifizierung erfolgen soll, wenn das Gerät gesperrt ist.<br><br>**Abbrechen** - Diese Option beendet die SSO-Anfrage automatisch, sobald das Gerät gesperrt ist.<br>**Anfrage nicht verarbeiten** - Diese Option verhindert, dass die Anfrage an den Erweiterungsserver gesendet wird.<br><br>Hinweis: Standardmäßig ist das Verhalten des Sperrbildschirms auf „Abbrechen“ gesetzt. |
| Plattform-SSO-Authentifizierungsmethode (Nur anwendbar für macOS 13 und höher) | Wählen Sie die Plattform-SSO-Authentifizierungsmethode aus, die von der Erweiterung verwendet wird.<br><br>1. Benutzer-Secure-Enclave-Schlüssel<br>2. Passcode |
| Plattform-Registrierungstoken (Nur anwendbar für macOS 13 und höher) | Geben Sie das von Ihrem Identitätsanbieter erhaltene Registrierungstoken ein. |

Weitere Informationen zu den oben genannten Konfigurationen finden Sie in den folgenden Dokumenten:

- [Kerberos-Erweiterung SSO](https://www.apple.com/tr/business/docs/site/Kerberos_Single_Sign_on_Extension_User_Guide.pdf)
- [Microsoft Erweiterbares SSO Plug-in](https://learn.microsoft.com/en-us/azure/active-directory/develop/apple-sso-plugin)
- [Okta FastPass Erweiterung SSO](https://help.okta.com/oie/en-us/Content/Topics/identity-engine/devices/config-credential-sso-ext-macos.htm)

## Häufige Fehler

1. **Gleiche URLs in verschiedenen Profilen**

   Sie können dieselben URLs nicht in mehreren Profilen verwenden. Wenn Sie dieselbe URL in mehr als einem Profil konfiguriert haben, wird das zweite Profil nicht auf das Gerät angewendet.

2. **Gleiche Hosts in verschiedenen Profilen**

   Sie können dieselben Hosts nicht in mehreren Profilen verwenden. Wenn Sie denselben Host in mehr als einem Profil konfiguriert haben, wird das zweite Profil nicht auf das Gerät angewendet.

3. **Fehler: Ungültiges Konfigurationsformat**

   Dieser Fehler tritt auf, wenn der Plattform-SSO-Authentifizierungstyp in mehr als einem Profil konfiguriert ist.