Kerberos SSO - это коробочное решение для macOS, которое позволит вам получать тикеты Kerberos из Active Directory. А это, в свою очередь, позволит конечному пользователю получать доступ к корпоративным ресурсам без ввода пароля, как-то: приложениям, файловым серверам и даже сайтам.
Но это еще не всё: - вы можете синхронизировать пароль локальной учетной записи с паролем доменного пользователя (имя учетной записи при этом не синхронизируется) - пользователь может получать уведомления о сроке действия пароля Active Directory и менять его прямо в окне расширения.
На каких устройствах поддерживается Kerberos SSO? - macOS Catalina и выше - iOS 13+ - iPadOS.
Какие методы аутентификации поддерживаются? - логин + пароль - сертификат: Keychain, MDM-Identity, токен с поддержкой CryptoTokenKit.
Какие требования к инфраструтуре? - домен Active Directory под управлением Windows Server 2008 или выше. Microsoft Entra ID не поддерживается.
Какие требования к настраиваемому устройству? - устройство должно управляться MDM, например Ринго MDM. Включение Kerberos SSO может быть выполнено только через MDM - доступ к доменной сети по Wi-Fi, Ethernet или VPN (в том числе Per App VPN и Network Extension VPN).
Как это выглядит для пользователя: - когда пользователь попробует получить доступ к корпоративному ресурсу с поддержкой Kerberos – он увидит окошко для ввода реквизитов.
- мы можем вызвать окно для аутентификации самостоятельно.
В чем плюсы? - вам не нужно вводить устройство в домен - вам не требуется возиться с мобильными учетными записями и FileVault - для настройки вам не требуется доступ к доменной сети. Расширение следит за доступностью оной и само попросит пользователя произвести аутентификацию, как только доменная сеть будет доступна.
Лучшие практики - рекомендуется задавать имя учетной записи пользователя таким же, как и short name пользователя в Active Directory. Этот процесс можно полностью автоматизировать с помощью Rest API и механизма политик Ринго MDM.
Если вы хотите познакомиться с Kerberos SSO поближе – у Apple есть готовый гайд.