أمن تسجيل الدخول الموحد
يدعم iOS و iPadOS و macOS و visionOS المصادقة لشبكات المؤسسات من خلال تسجيل الدخول الموحد (SSO). يعمل SSO مع موفر الهوية (IdP) لمصادقة المستخدمين للخدمات المخوّل لهم الوصول إليها. ويمكن استخدام SSO لمجموعة من أنشطة الشبكات، من جلسات سفاري الآمنة حتى تطبيقات الجهات الخارجية.
تتضمن أنظمة التشغيل iOS و iPadOS و macOS و visionOS امتداد Kerberos SSO مدمجًا. يمكن لمطوري التطبيقات كذلك توفير عمليات تنفيذ تسجيل الدخول الموحد الخاصة بهم باستخدام ملحقات SSO.
تسجيل الدخول الموحد عبر Kerberos
تدعم iOS و iPadOS و macOS و visionOS المصادقة لشبكات المؤسسات باستخدام Kerberos. ييعتمد دعم تسجيل الدخول الموحد على مشروع Heimdal مفتوح المصدر ويستخدم رموز SPNEGO وبروتوكول HTTP Negotiate للعمل مع بوابات المصادقة المستندة إلى Kerberos وأنظمة المصادقة المتكاملة لـ Windows التي تدعم تذاكر Kerberos. المصادقة المستندة إلى الشهادة، مثل PKINIT، مدعومة أيضًا.
يدعم ملحق Kerberos SSO أنواع التشفير التالية:
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
توفر أنظمة iOS و iPadOS و visionOS دعمًا مرنًا لتسجيل الدخول الموحد لأي تطبيق يستخدم الفئة NSURLSession أو URLSession لإدارة اتصالات الشبكة والمصادقة. توفر Apple لجميع المطورين هذه الفئات لدمج اتصالات الشبكة بسلاسة داخل تطبيقاتهم.
أي تطبيق لـ Mac يدعم مصادقة Kerberos يعمل مع تسجيل الدخول الموحد. يشمل ذلك العديد من التطبيقات المدمجة في macOS، مثل التقويم والبريد وسفاري، ويتضمن خدمات مثل مشاركة الملفات ومشاركة الشاشة بروتوكول Secure Shell (SSH). تدعم العديد من تطبيقات الطرف الثالث أيضًا بروتوكول Kerberos.
لتكوين SSO، يسمح التكوين لخدمة إدارة الجهاز بدفع الإعدادات اللازمة إلى الجهاز. ويتضمن ذلك تعيين اسم المستخدم الرئيسي (حساب مستخدم Active Directory) وإعدادات مجال Kerberos، بالإضافة إلى تكوين التطبيقات وعناوين URL الخاصة بسفاري على الويب التي يجب السماح لها باستخدام SSO.
تسجيل الدخول الموحد القابل للتجديد
يمكن لمطوري التطبيقات توفير تطبيق تسجيل الدخول الموحد الخاص بهم باستخدام ملحقات SSO لأنظمة iOS و iPadOS و macOS و visionOS. يتم استدعاء ملحقات SSO عندما يحتاج تطبيق أصلي أو تطبيق ويب إلى استخدام موفر هوية لمصادقة المستخدم. يمكن للمطورين توفير نوعين من الملحقات:
ملحقات إعادة التوجيه، التي تعيد التوجيه إلى HTTPS
ملحقات التحدي/الاستجابة، مثل Kerberos
يسمح هذا بدعم أنظمة مصادقة Open ID Connect (OIDC) و OAuth و SAML 2.0 و Kerberos من خلال تسجيل الدخول الموحد القابل للتجديد. قد تدعم ملحقات SSO أيضًا المصادقة عند FileVault ونافذة تسجيل الدخول على نظام macOS من خلال اعتماد Platform SSO، مما يسمح لـ Mac باسترداد رموز SSO أثناء تسجيل الدخول.
لاستخدام أحد ملحقات تسجيل الدخول الموحد، يمكن للتطبيق إما استخدام واجهة AuthenticationServices API أو يمكنه الاعتماد على آلية اعتراض عناوين URL التي يوفرها نظام التشغيل. يوفر WebKit و CFNetwork طبقة اعتراض تتيح الدعم السلس لتسجيل الدخول الموحد لأي تطبيق أصلي أو تطبيق WebKit. لكي يتم استدعاء ملحقات تسجيل الدخول الموحد، يجب تثبيت أي تكوين من خلال خدمة إدارة الجهاز. بالإضافة إلى ذلك، يجب أن تستخدم ملحقات نوع إعادة التوجيه المجالات المرتبطة لإثبات أن موفر الهوية الذي تدعمه يدرك وجودها.
تسجيل الدخول الموحد للمنصة
باستخدام ميزة تسجيل الدخول الموحد للمنصة (Platform SSO)، يمكن للمطورين إنشاء ملحقات تسجيل الدخول الموحد لنظام macOS والتي تمتد لتشمل FileVault ونافذة تسجيل الدخول في macOS. يدعم Platform SSO آليات مصادقة مختلفة باستخدام موفر الهوية:
كلمة السر
يدعم التحقق من كلمة السر بروتوكول WS-Trust. وهذا يسمح للمستخدم بالمصادقة حتى عندما يكون موفر الهوية الذي يدير حسابه موحدًا.
كما يمكن للمستخدمين، اختياريًا، مزامنة بيانات اعتماد حساباتهم المحلية مع موفر الهوية. يتم الاحتفاظ بكلمة سر الحساب المحلي تلقائيًا متزامنة مع كلمة سر حساب موفر الهوية.
مفتاح Secure Enclave
ويتم إنشاء مفتاح وتخزينه في Secure Enclave أثناء عملية تسجيل المستخدم، ويُستخدم للمصادقة مع موفر الهوية دون الحاجة إلى كلمة سر.
البطاقة الذكية
تُستخدم البطاقة الذكية للمصادقة مع موفر الهوية.
مفتاح الوصول
يتم استخدام كلمة المرور المخزنة في Apple Wallet للمصادقة مع موفر الهوية.
التسجيل
لاستخدام Platform SSO، يقوم Mac وكل مستخدم بالتسجيل لدى موفر الهوية. اعتمادًا على دعم موفر الهوية والتكوين المُطبَّق، يمكن لـ Mac إجراء تسجيل الجهاز بصمت في الخلفية باستخدام:
رمز التسجيل مقدم في تكوين إدارة الأجهزة.
شهادة توفر ضمانًا قويًا بشأن معرفات الجهاز (UDID والرقم التسلسلي).
بعد نجاح تسجيل الجهاز، يقوم المستخدم بالتسجيل (ما لم يكن حساب المستخدم يستخدم وضع الضيف المُصادَق عليه). إذا كان موفر الهوية يتطلب ذلك، فقد يتضمن تسجيل المستخدم مطالبة المستخدم بتأكيد تسجيله. بالنسبة لحسابات المستخدمين المحلية التي ينشئها Platform SSO عند الطلب، يتم تسجيل المستخدم تلقائيا في الخلفية.
أثناء عملية التسجيل، ينشئ Mac مفتاحين: مفتاح توقيع الجهاز، ومفتاح تشفير الجهاز. حسب ملحق SSO، يمكن للمفاتيح استخدام ما يلي:
NIST P-256 ECDH-ES
HKPE مع NIST P-256 أو NIST P-384 أو X25519
تحافظ هذه الأنظمة على اتصال موثوق مع موفر الهوية بشكل مستقل عن المستخدم، كما يدعم Platform SSO مفاتيح الأجهزة المشتركة. يُمكّنُ هذا ميزات مثل Platform SSO أثناء تسجيل الجهاز المؤتمت، وإنشاء حسابات المستخدمين عند الطلب بناء على معلومات من موفر الهوية، وتفويض الشبكة، ووضع الضيف المُصادَق عليه، ويستخدم نفس مفتاح التوقيع والتشفير لجميع المستخدمين على جهاز معين.
ملاحظة: يجب أن يدعم ملحق SSO الطريقة المطلوبة لإجراء التسجيل. كما يتم دعم طرق التبديل. على سبيل المثال، عند إنشاء حساب مستخدم جديد باسم مستخدم وكلمة سر أثناء تسجيل الدخول، يمكن لهذا الحساب بعد ذلك الانتقال لاستخدام مفتاح مدعوم من Secure Enclave أو بطاقة ذكية بعد نجاح تسجيل الدخول.
استرجاع الرمز وتحديثه
لمصادقة المستخدم على تطبيقاته ومواقع الويب الخاصة به حسب الحاجة، يستخدم ملحق SSO رموز SSO. لضمان جاهزية ملحق SSO دائمًا لإجراء عملية المصادقة، يحاول نظام Platform SSO تحديث رموز جديدة أو استردادها من موفر الهوية إذا كانت الرموز:
مفقودة
منتهية الصلاحية
قديمة لأكثر من أربع ساعات
لطلب الرموز أو تجديدها من موفر الهوية، يتم إرسال طلب تسجيل دخول أو تجديد باستخدام JSON Web Token (JWT)، ويتم توقيعه -اعتمادًا على الطريقة المحددة بواسطة ملحق SSO- باستخدام مفتاح توقيع الجهاز عبر ES256 أو ES384 أو Ed25519. تعد الرموز المنشأة جزءًا من حمولة الاستجابة المشفرة بنظام AES-GCM 256 باستخدام المفتاح العام لمفتاح تشفير الجهاز.
إذا طلب ملحق SSO تشفير كلمة السر، فلن يتم إرسال كلمة السر في طلب تسجيل الدخول، ويتم استبدالها بتأكيد مضمن مشفر بنظام AES-GCM 256 يحتوي على كلمة السر. يتم بعد ذلك إنشاء مفتاح التشفير المرتبط (كما هو محدد بواسطة ملحق SSO باستخدام إحدى الآليات المتاحة أيضًا لمفتاح تشفير الجهاز).
عندما تتطلب آلية المصادقة توقيعًا رقميًا، تستخدم Platform SSO تأكيد JWT مضمنًا للمصادقة عبر مفتاح Secure Enclave والبطاقة الذكية. يكون التأكيد إما:
موقعًا بواسطة أداة المصادقة عند استخدام بطاقة ذكية.
مشفرًا باستخدام ES256 أو ES384 أو Ed25519 عند استخدام مفتاح Secure Enclave كما هو محدد بواسطة ملحق SSO.
بغض النظر عن طريقة المصادقة، فإن رموز SSO:
يتم تخزينها في سلسلة المفاتيح باستخدام سمة حماية بيانات سلسلة المفاتيح
kSecAttrAccessibleAfterFirstUnlockThisDeviceOnlyتتم مشاركتها فقط مع ملحق SSO
غير مرتحلة