Kerberos SSO - это коробочное решение для macOS, которое позволит вам получать тикеты Kerberos из Active Directory. А это, в свою очередь, позволит конечному пользователю получать доступ к корпоративным ресурсам без ввода пароля, как-то: приложениям, файловым серверам и даже сайтам.
Но это еще не всё:
- вы можете синхронизировать пароль локальной учетной записи с паролем доменного пользователя (имя учетной записи при этом не синхронизируется)
- пользователь может получать уведомления о сроке действия пароля Active Directory и менять его прямо в окне расширения.
- вы можете синхронизировать пароль локальной учетной записи с паролем доменного пользователя (имя учетной записи при этом не синхронизируется)
- пользователь может получать уведомления о сроке действия пароля Active Directory и менять его прямо в окне расширения.
На каких устройствах поддерживается Kerberos SSO?
- macOS Catalina и выше
- iOS 13+
- iPadOS.
- macOS Catalina и выше
- iOS 13+
- iPadOS.
Какие методы аутентификации поддерживаются?
- логин + пароль
- сертификат: Keychain, MDM-Identity, токен с поддержкой CryptoTokenKit.
- логин + пароль
- сертификат: Keychain, MDM-Identity, токен с поддержкой CryptoTokenKit.
Какие требования к инфраструтуре?
- домен Active Directory под управлением Windows Server 2008 или выше. Microsoft Entra ID не поддерживается.
- домен Active Directory под управлением Windows Server 2008 или выше. Microsoft Entra ID не поддерживается.
Какие требования к настраиваемому устройству?
- устройство должно управляться MDM, например Ринго MDM. Включение Kerberos SSO может быть выполнено только через MDM
- доступ к доменной сети по Wi-Fi, Ethernet или VPN (в том числе Per App VPN и Network Extension VPN).
- устройство должно управляться MDM, например Ринго MDM. Включение Kerberos SSO может быть выполнено только через MDM
- доступ к доменной сети по Wi-Fi, Ethernet или VPN (в том числе Per App VPN и Network Extension VPN).
Как это выглядит для пользователя:
- когда пользователь попробует получить доступ к корпоративному ресурсу с поддержкой Kerberos – он увидит окошко для ввода реквизитов.
- когда пользователь попробует получить доступ к корпоративному ресурсу с поддержкой Kerberos – он увидит окошко для ввода реквизитов.
- мы можем вызвать окно для аутентификации самостоятельно.
В чем плюсы?
- вам не нужно вводить устройство в домен
- вам не требуется возиться с мобильными учетными записями и FileVault
- для настройки вам не требуется доступ к доменной сети. Расширение следит за доступностью оной и само попросит пользователя произвести аутентификацию, как только доменная сеть будет доступна.
- вам не нужно вводить устройство в домен
- вам не требуется возиться с мобильными учетными записями и FileVault
- для настройки вам не требуется доступ к доменной сети. Расширение следит за доступностью оной и само попросит пользователя произвести аутентификацию, как только доменная сеть будет доступна.
Лучшие практики
- рекомендуется задавать имя учетной записи пользователя таким же, как и short name пользователя в Active Directory. Этот процесс можно полностью автоматизировать с помощью Rest API и механизма политик Ринго MDM.
- рекомендуется задавать имя учетной записи пользователя таким же, как и short name пользователя в Active Directory. Этот процесс можно полностью автоматизировать с помощью Rest API и механизма политик Ринго MDM.
Если вы хотите познакомиться с Kerberos SSO поближе – у Apple есть готовый гайд.