Az egyszeri bejelentkezés (SSO) áttekintése és lehetőségei Az Apple-eszközök Microsoft Intune
Az Apple-eszközök egyszeri bejelentkezéssel (SSO) férhetnek hozzá az eszközökhöz, alkalmazásokhoz és webhelyekhez a Microsoft Entra ID használatával. Az egyszeri bejelentkezés lehetővé teszi, hogy a felhasználók minden alkalommal anélkül jelentkezzenek be és férhessenek hozzá, hogy megadták a hitelesítő adataikat.
Ez a cikk a következőkre vonatkozik:
- iOS/iPadOS
- macOS
Az eszközök és a legtöbb alkalmazás, beleértve az üzletági (LOB) alkalmazásokat is, bizonyos szintű felhasználói hitelesítést igényel. A hitelesítés sok esetben megköveteli, hogy a felhasználók ismételten ugyanazokat a hitelesítő adatokat adjanak meg.
A rendszergazdák a Microsoft Intune használatával hozhatnak létre és helyezhetnek üzembe SSO-szabályzatokat. A fejlesztők olyan alkalmazásokat hozhatnak létre, amelyek támogatják és használják az egyszeri bejelentkezést (SSO). Ha a Intune SSO-házirendeket az egyszeri bejelentkezést támogató alkalmazásokkal kombinálja, az alkalmazások és webhelyek hitelesítő adatainak kérései száma csökken.
Az Apple-eszközök egyszeri bejelentkezésének konfigurálásához az Intune a következő lehetőségek közül választhat:
Platform SSO – A Microsoft Enterprise SSO beépülő modul része Microsoft Entra ID, és tartalmazza az SSO-alkalmazásbővítményt. A macOS-eszközökre vonatkozik.
SSO-alkalmazásbővítmény – A Microsoft Enterprise SSO beépülő modul része Microsoft Entra ID. Az iOS/iPadOS és a macOS rendszerű eszközökre vonatkozik.
Egyszeri bejelentkezési sablon – A Intune sablonja. Az iOS-/iPadOS-eszközökre vonatkozik.
Ez a cikk áttekintést nyújt az Apple-eszközökhöz elérhető SSO-lehetőségekről a Intune-ben, valamint azok támogatott platformjairól.
Platform SSO
Ez a funkció az alábbiakra vonatkozik:
- macOS
A Microsoft Enterprise SSO beépülő modul két SSO-funkciót tartalmaz: a platform SSO-t és az SSO-alkalmazásbővítményt. Ez a szakasz a Platform SSO-val foglalkozik.
MacOS-eszközökön a felhasználók általában helyi fiókkal jelentkeznek be. Ezután bejelentkeznek az alkalmazásokba és webhelyekre a Microsoft Entra ID.
Platform SSO-val:
A szervezetek:
Válassza ki az üzleti igényeinek megfelelő hitelesítési módszert. A következő lehetőségek közül választhat: Biztonságos enklávé jelszó nélküli jelszó nélküli hitelesítés, Microsoft Entra felhasználói fiók & jelszó vagy intelligenskártya-hitelesítés.
Használja az SSO-alkalmazásbővítményt, mivel az SSO-alkalmazásbővítmény a Platform SSO része. Konkrétan a következőt:
- Az SSO alkalmazásbővítmény használatával jelentkezzen be az alkalmazásokba és webhelyekre Microsoft Entra ID.
- Az SSO-konfiguráció továbbfejlesztéséhez használja a Platform SSO-t. Különböző hitelesítési módszereket konfigurálhat, új szervezeti felhasználókat hozhat létre bejelentkezéskor, és engedélyezési módokat rendelhet a felhasználókhoz.
Végfelhasználók:
- Biztonságosabb bejelentkezési élményben lehet része, Microsoft Entra ID integrálható a Microsoft Enterprise SSO beépülő modullal.
- Egyszeri bejelentkezést kaphat az SSO-alkalmazásbővítménnyel kombinálva. Az SSO-alkalmazásbővítmény lehetővé teszi a Touch ID és a hozzáférési kulcsok használatát Microsoft Entra ID.
- Bejelentkezhet a Microsoft Entra felhasználói fiókjával, és minimalizálhatja, hogy hányszor kell megadnia a Microsoft Entra hitelesítő adatait a macOS-eszközein.
A platform egyszeri bejelentkezéséről és az első lépésekről további információt a Platform SSO konfigurálása macOS-eszközökhöz a Intune című témakörben talál.
Platform SSO-funkciók összegzése
Az alábbi táblázat az Intune platform SSO-funkcióit foglalja össze. Ezekkel az információkkal megállapíthatja, hogy a platform egyszeri bejelentkezése megfelelő-e a szervezet számára.
Kiemelés | Részletek |
---|---|
Platformtámogatás | ❌ iOS/iPadOS ✅ macOS 13.0 és újabb |
Támogatott regisztrációs típusok | ✅ Eszközregisztráció ✅ Automatizált eszközregisztráció (felügyelt) ❌ Felhasználói regisztráció ✅ Közvetlen regisztráció (Apple Configurator) |
Támogatott hitelesítési típusok | ✅ Biztonságos enklávé (UserSecureEnclaveKey) ✅Jelszó (Microsoft Entra ID) ✅ Smartcard |
Támogatott alkalmazástípusok | ✅ Microsoft 365-alkalmazások ✅A Microsoft Entra ID integrált alkalmazások, webhelyek vagy szolgáltatások ✅Alkalmazások, webhelyek vagy szolgáltatások, amelyek támogatják az Apple Enterprise egyszeri bejelentkezést, és integrálva vannak a helyi Active Directory |
Intune Felügyeleti központ házirendtípusa | Beállításkatalógus-szabályzat a következő helyen: Eszközök>Konfigurációs>> Létrehozás macOS for platform >Settings catalog for profile type >Authentication>Extensible Egyszeri bejelentkezés (SSO) |
Javaslat | ✅ Ajánlott. Használja a Platform SSO-t, mivel az SSO-alkalmazásbővítményt is tartalmazza. Az SSO-alkalmazásbővítményt önállóan is használhatja, de nem ajánlott. A platform egyszeri bejelentkezésének használatához csak platform SSO-t kell használnia. Ne hozzon létre külön SSO-alkalmazásbővítmény-szabályzatot. |
SSO-alkalmazásbővítmény
Ez a funkció az alábbiakra vonatkozik:
- iOS/iPadOS
- macOS
A Microsoft Enterprise SSO beépülő modul két SSO-funkciót tartalmaz: a platform SSO-t és az SSO-alkalmazásbővítményt. Ez a szakasz az SSO-alkalmazásbővítménnyel foglalkozik.
Az SSO alkalmazásbővítmény egyszeri bejelentkezést biztosít azoknak az alkalmazásoknak, webhelyeknek és fiókoknak, amelyek Microsoft Entra ID használnak a hitelesítéshez, beleértve a következőket:
- Microsoft 365-alkalmazások
- A felhasználói hitelesítőadat-tároló keresésére fejlesztett alkalmazások egyszeri bejelentkezéskor az eszközön
- Helyszíni Active Directory-fiókok minden olyan alkalmazásban, amely támogatja az Apple vállalati egyszeri bejelentkezés funkcióját
✅iOS/iPadOS-eszközök esetén az SSO-alkalmazásbővítmény önmagában is elérhető. Így konfigurálhatja és használhatja az SSO-alkalmazásbővítményt az alkalmazásokhoz & webhelyekhez.
✅MacOS-eszközök esetén az SSO-alkalmazásbővítmény önmagában is elérhető, és a platform SSO-jában is megtalálható. Így csak akkor konfigurálhatja és használhatja az SSO-alkalmazásbővítményt, ha nem szeretné használni a Platform SSO-t. Ha Platform SSO-t használ, akkor csak a platform SSO-t konfigurálja, mivel az tartalmazza az SSO-alkalmazásbővítményt.
Az SSO-alkalmazásbővítmény egy átirányítás típusú SSO-alkalmazásbővítmény. Elérhető Intune, Jamf Pro és más MDM-megoldásokhoz. A Intune-ben az SSO-alkalmazásbővítmény eszközkonfigurációs szabályzatot használ Microsoft Entra ID SSO-alkalmazásbővítmény-típusként.
Ezek a beállítások az átirányítási és hitelesítő adatok típusú SSO-alkalmazásbővítményeket konfigurálják. Különösen:
Az átirányítási típus olyan modern hitelesítési protokollokhoz lett kialakítva, mint az OpenID Connect, az OAuth és az SAML2. Választhat a Microsoft Entra SSO bővítmény (Microsoft Enterprise SSO beépülő modul és egy általános átirányítási bővítmény) közül.
A hitelesítőadat-típust a kihívás-válasz hitelesítési folyamatokhoz tervezték. Választhat az Apple által biztosított Kerberos-specifikus hitelesítőadat-bővítmény és az általános hitelesítőadat-bővítmény közül.
Az SSO-alkalmazásbővítménynek működnie kell bármely nem Microsoft- vagy partner MDM-sel. A bővítményt Kerberos SSO-bővítményként kell üzembe helyezni, vagy egyéni konfigurációs profilként kell üzembe helyezni az összes szükséges tulajdonsággal.
Az SSO-alkalmazásbővítménnyel kapcsolatos további információkért látogasson el a következőre:
iOS/iPadOS:
Macos:
SSO-alkalmazásbővítmény funkcióinak összegzése
Az alábbi táblázat összefoglalja az SSO-alkalmazásbővítmények funkcióit Intune. Ezekkel az információkkal megállapíthatja, hogy ez az SSO-beállítás megfelelő-e a szervezet számára.
Kiemelés | Részletek |
---|---|
Platformtámogatás | ✅ iOS/iPadOS 13.0 és újabb ✅ macOS 10.15 és újabb |
Támogatott regisztrációs típusok | iOS/iPadOS: ✅ Eszközregisztráció ✅ Automatizált eszközregisztráció (felügyelt) ✅ Felhasználói regisztráció ✅ Közvetlen regisztráció (Apple Configurator) Macos: ✅ Felhasználó által jóváhagyott eszközregisztráció ✅ Automatizált eszközregisztráció (felügyelt) ✅ Közvetlen regisztráció (Apple Configurator) |
Támogatott hitelesítési típusok | ✅Átirányítás típusú SSO-alkalmazásbővítmény, beleértve a Microsoft Entra ID ✅ Hitelesítőadat-alkalmazásbővítmény ✅ Az Apple beépített Kerberos-bővítménye |
Támogatott alkalmazástípusok | ✅ Microsoft 365-alkalmazások ✅A Microsoft Entra ID integrált alkalmazások, webhelyek vagy szolgáltatások ✅Alkalmazások, webhelyek vagy szolgáltatások, amelyek támogatják az Apple nagyvállalati egyszeri bejelentkezését, és integrálva vannak a helyi Active Directory |
Intune Felügyeleti központ házirendtípusa | Eszközfunkciók sablon a következő helyen: Eszközök>Konfigurációs>> Létrehozás iOS/iPadOS vagy macOS platformhoz >Eszközfunkciók profiltípushoz >Egyszeri bejelentkezés alkalmazásbővítmény |
Javaslat | ✅ Ajánlott iOS/iPadOS rendszeren. ❌ MacOS-eszközökön nem ajánlott. MacOS-eszközökön önállóan is használhatja az SSO-alkalmazásbővítményt. Javasoljuk azonban, hogy inkább a Platform SSO-t használja. Ha a macOS platform SSO-t is használja, ne hozzon létre külön SSO-alkalmazásbővítmény-szabályzatot. Az SSO-alkalmazásbővítmény a platform SSO-konfigurációjában található. |
Egyszeri bejelentkezési sablon
Megjegyzés:
Az SSO-beállítások helyett az Apple az SSO-alkalmazásbővítmény használatát javasolja (ebben a cikkben).
Érintett szolgáltatás:
- iOS 7.0 és újabb
- iPadOS 13.0 és újabb
Ez az egyszeri bejelentkezési szabályzat a Kerberoson alapul. A Kerberos egy hálózati hitelesítési protokoll, amely titkos kulcsú titkosítást használ az ügyfél-kiszolgáló alkalmazások hitelesítéséhez. A Intune házirend-beállítások határozzák meg a Kerberos-fiók adatait a kiszolgálók vagy adott alkalmazások elérésekor, és kezelik a Kerberos-problémákat a weblapok és a natív alkalmazások esetében.
A Intune konfigurálható beállítások listáját az Egyszeri bejelentkezés iOS/iPadOS rendszeren című témakörben találja.
Az egyszeri bejelentkezés használatához győződjön meg arról, hogy rendelkezik az alábbiakval:
- Egy alkalmazás, amelyet arra fejlesztettek ki, hogy az eszközön egyszeri bejelentkezéssel keresse meg a felhasználói hitelesítőadat-tárolót.
- Intune iOS/iPadOS rendszerű eszközök egyszeri bejelentkezéséhez van konfigurálva.
Az egyszeri bejelentkezés funkció összefoglalása
Az alábbi táblázat a Intune egyszeri bejelentkezési funkcióit foglalja össze. Ezekkel az információkkal megállapíthatja, hogy ez az SSO-beállítás megfelelő-e a szervezet számára.
Kiemelés | Részletek |
---|---|
Platformtámogatás | ✅ iOS 7.0 és újabb ✅ iPadOS 13.0 és újabb ❌ Macos |
Támogatott regisztrációs típusok | ✅ Eszközregisztráció ✅ Automatizált eszközregisztráció (felügyelt) ❌ Felhasználói regisztráció ❌ Közvetlen regisztráció (Apple Configurator) |
Támogatott hitelesítési típusok | Csak Kerberos SSO-hitelesítést használhat. – Adja meg a Kerberos-fiók adatait arra az esetre, ha a felhasználók kiszolgálókhoz vagy alkalmazásokhoz férnek hozzá. - Nem a Kerberos Apple-implementációja. - Kezeli a Kerberos kihívásait a weboldalak és alkalmazások számára |
Támogatott alkalmazástípusok | A Kerberos-hitelesítést támogató webhely- és natív alkalmazások. Az alkalmazásnak kódoltnak kell lennie ahhoz, hogy megkeresse a felhasználói hitelesítőadat-tárolót az eszközön való egyszeri bejelentkezéskor. |
Intune Felügyeleti központ házirendtípusa | Eszközfunkciók sablon a következő helyen: Eszközök>Konfigurációs>> Létrehozás iOS/iPadOS platformos >eszközfunkciók egyszeri bejelentkezés profiltípushoz > |
Javaslat | ❌ Nem ajánlott. Ehelyett a Microsoft az SSO-alkalmazásbővítmény használatát javasolja (ebben a cikkben). |
SSO-alkalmazásbővítmény és SSO-sablon
Az Egyszeri bejelentkezés alkalmazásbővítmény funkciója eltér az egyszeri bejelentkezés funkciótól. Az összehasonlításhoz használja az alábbi táblázatot.
Egyszeri bejelentkezési alkalmazásbővítmény | Egyszeri bejelentkezés | |
---|---|---|
Támogatott platformok | ✅ iOS/iPadOS 13.0 és újabb ✅ macOS 10.15 és újabb |
✅ iOS 7.0 és újabb ✅ iPadOS 13.0 és újabb ❌ Macos |
Leírás | Definiálhat bővítményeket az identitásszolgáltatók vagy szervezetek számára a zökkenőmentes vállalati bejelentkezési élmény biztosításához. Az Apple operációs rendszert használja a hitelesítéshez. | Kerberos-fiókadatok definiálása arra az esetre, ha a felhasználók kiszolgálókhoz vagy alkalmazásokhoz férnek hozzá. |
Hitelesítés | Az alkalmazásfejlesztés szempontjából bármilyen átirányítási SSO-t vagy hitelesítő SSO-hitelesítést használhat. | Alkalmazásfejlesztési szempontból csak Kerberos SSO-hitelesítést használhat. |
Az Apple implementációja | Az Apple által fejlesztett és az iOS/iPadOS 13.0+ és macOS 10.15+ platformokba épített. A beépített Kerberos-bővítmény használatával bejelentkeztetheti a felhasználókat a Kerberos-hitelesítést támogató natív alkalmazásokba és webhelyekre. | Nem a Kerberos Apple-implementációja. |
Javaslat | Ajánlott. Továbbfejlesztett végfelhasználói élményt nyújt. Kezeli a weblapok Kerberos-kihívásait, támogatja a jelszómódosításokat, és jobban viselkedik a vállalati hálózatokban. Amikor úgy dönt, hogy a Kerberost használja az SSO-alkalmazásbővítményben vagy az egyszeri bejelentkezési sablonban , javasoljuk, hogy a továbbfejlesztett teljesítmény és képességek miatt használja az SSO-alkalmazásbővítményt. |
Nem ajánlott. Kezeli a kerberosi kihívásokat a weblapok esetében. |
Kapcsolódó cikkek
A Microsoft Enterprise SSO beépülő modulról és a Microsoft Entra ID a Microsoft Enterprise SSO Beépülő modul Apple-eszközökhöz című témakörben olvashat.
Az Apple-től az egyszeri bejelentkezési bővítmény hasznos adataival kapcsolatos információkért lépjen az egyszeri bejelentkezési bővítmények hasznosadat-beállításaihoz (nyissa meg az Apple webhelyét).
A Microsoft Enterprise SSO-bővítmény hibaelhárításával kapcsolatos információkért tekintse meg a Microsoft Enterprise SSO-bővítmény beépülő modul hibaelhárítása Apple-eszközökön című témakört.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: