단일 로그인 보안
단일 로그인
iOS, iPadOS 및 visionOS는 단일 로그인(SSO)을 통해 기업 네트워크 인증을 지원합니다. SSO는 Kerberos 기반 네트워크에서 동작하여 서비스 접근에 허용된 사용자인지 인증합니다. SSO는 Safari 보안 세션에서부터 타사 앱에 이르기까지 수많은 네트워크 활동에 사용될 수 있습니다. 인증서 기반 인증(예: PKINIT) 또한 지원됩니다.
macOS는 Kerberos를 사용하는 기업 네트워크에 대한 인증을 지원합니다. 앱은 Kerberos를 사용하여 서비스 접근에 허용된 사용자인지 인증합니다. 또한 Kerberos는 Safari 보안 세션 및 네트워크 파일 시스템 인증에서부터 타사 앱에 이르기까지 수많은 네트워크 활동에 사용될 수 있습니다. 개발자 API의 앱 채택이 필요하더라도 인증서 기반 인증이 지원됩니다.
iOS, iPadOS, macOS 및 visionOS SSO는 SPNEGO 토큰과 HTTP 합의 프로토콜을 사용하여 Kerberos 기반 인증 게이트웨이 및 Kerberos 티켓을 지원하는 Windows 통합 인증 시스템과 연동됩니다. SSO 지원은 오픈 소스 Heimdal 프로젝트를 기반으로 합니다.
지원되는 암호화 유형은 다음과 같습니다.
AES-128-CTS-HMAC-SHA1-96
AES-256-CTS-HMAC-SHA1-96
DES3-CBC-SHA1
ARCFOUR-HMAC-MD5
Safari가 SSO를 지원하여 표준 iOS, iPadOS 및 visionOS 네트워크 API를 사용하는 타사 앱이 이를 사용해 구성을 설정할 수 있습니다. SSO를 구성하기 위해 iOS, iPadOS 및 visionOS는 구성 프로필 페이로드를 지원하여 MDM(모바일 기기 관리) 솔루션이 필요한 설정을 내려보낼 수 있도록 허용합니다. 이 설정에는 사용자 계정 이름(Active Directory 사용자 계정을 뜻함) 및 Kerberos 영역 설정과 SSO 사용을 허용할 앱 또는 Safari 웹 URL 구성을 포함합니다.
확장형 단일 로그인
앱 개발자는 SSO 확장 프로그램을 사용하여 자체 단일 로그인 구현을 제공할 수 있습니다. SSO 확장 프로그램은 기본 또는 웹 앱이 사용자 인증을 위해 일부 ID 공급자를 사용해야 할 때 호출됩니다. 개발자는 HTTPS로 리디렉션되는 유형과 시도/응답 매커니즘을 사용하는 유형(예: Kerberos)의 두 가지 확장 프로그램 유형을 제공할 수 있습니다. 이를 통해 OpenID, OAuth, SAML2 및 Kerberos 인증 체계를 확장형 단일 로그인에서 지원할 수 있습니다. SSO 확장 프로그램은 macOS 로그인 시 SSO 토큰을 가져오도록 허용하는 기본 SSO 프로토콜을 적용하여 macOS 인증을 지원할 수도 있습니다.
단일 로그인 확장 프로그램을 사용하기 위해 앱은 AuthenticationServices API를 사용하거나 운영 체제에서 제공하는 URL 차단 메커니즘을 사용할 수 있습니다. WebKit 및 CFNetwork는 모든 기본 앱 또는 WebKit 앱에 대한 단일 로그인을 매끄럽게 지원할 수 있는 차단 레이어를 제공합니다. 단일 로그인 확장 프로그램을 호출하려면 관리자가 제공하는 구성을 모바일 기기 관리(MDM) 프로필을 통해 설치해야 합니다. 또한 리디렉션 유형 확장 프로그램은 관련 도메인 페이로드를 사용하여 지원하는 ID 서버가 자신의 존재를 인식하고 있음을 증명해야 합니다.
운영 체제와 함께 제공되는 유일한 확장 프로그램은 Kerberos SSO 확장 프로그램입니다.