在今年 WWDC 的一系列公告中,苹果对单点登录 (SSO) 的支持发生了一些重要变化。 以下是今年秋季发布新更新时的内容。
单点登录 + 自带设备 = iOS 16、iPadOS 16
Apple 首次在 WWDC 2019 上通过 Sign in with Apple 引入了 SSO 支持,其中还引入了扩展以启用这种身份验证。 它允许用户使用他们的 Apple ID 访问服务或网站,并意味着支持身份提供商、使用高度安全的基于令牌的签名以及实施这些系统所需的工具服务提供商。
那是 v.1,从那时起,Apple 一直在不断改进其产品。 尽管如此,现实情况是,由于应用程序和服务必须具备接受 SSO 的能力,因此有时需要使用 Okta 等第三方身份验证服务,或者只需手动登录即可访问某些站点。
[ 如何选择合适的 UEM 平台 ]
Apple 在 WWDC 2022 上更新了 SSO,其中包含两个重要的增强功能:
SSO 支持 iOS 16 和 iPadOS 16 的用户注册。
对 macOS Ventura 的平台 SSO 支持。
SSO 支持用户注册的新增功能
发生变化的是,在注册 iOS 设备时,用户现在可以从其身份提供商 (IdP) 下载移动应用程序,以便在该设备上启用 SSO。 该系统还需要使用 Apple Business 或 School Manager 设置管理式 Apple ID,并使用某种 MDM(移动设备管理)系统,例如 Apple Business Essentials、Jamf 或 Kandji,仅举三例。
从今年秋季开始,Apple 还允许使用适用于 iPhone 的 Apple Configurator 将 Mac、iPad 和 iPhone 添加到 Apple Business 或 School Manager。 该公司还使将个人设备注册到 MDM 变得更加容易。
对 Apple 系统工作原理的最简单解释是,一旦注册完成,IdP 应用程序将在设备上保持活动状态以调解应用程序和服务身份验证。 对于最终用户而言,体验是一旦他们登录到他们的 iPhone/iPad,他们就不需要对其他受支持的应用程序和服务的使用进行身份验证。
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
Mac 的平台 SSO 支持是什么?
对于 Mac,添加平台 SSO 支持意味着用户在登录时对 Mac 进行身份验证后,将登录到所有使用其公司 IdP 的应用程序和网站。 当他们使用他们的计算机时,身份验证将在第一次登录时进行,这本身由 IdP 调解并存储在钥匙串中,这意味着一切都在幕后进行,受制于您采用的任何身份验证策略。
(当然,员工仍然需要自己登录才能访问个人网站、应用程序和服务。)
Apple 将平台 SSO 称为 Active Directory 的替代品,但它确实要求 IdP 实施该协议,并且还要求设备管理供应商更新其配置文件以支持它。
Apple 现在还支持 OAuth 2.0 身份验证。 这是上述两个功能的重要一步,因为它可以支持来自第三方服务的额外身份提供系统。 Apple 商务管理和 Apple 校园教务管理现在支持管理式 Apple ID 与 Google Workspace 和 Microsoft Azure AD 的联合。
密码是死的,所以使用强密码
虽然上述所有 SSO 改进旨在缓解企业部署的摩擦,但 Apple 的重点还在于在更多元化的基础上减少授权需求。 它用无缝授权取代 CAPTCHA 技术的工作也使用首次设备登录作为信任标准,这意味着密码将变得不那么重要。 具有讽刺意味的是,这项工作——以及一般的 SSO——也意味着您和您的员工用来访问设备的主要密码已经变得非常非常重要。 你真的需要这些才能变得坚强……
毕竟,如果您的主密码是 1、2、3、4,那么通过 SSO,破解您的机密系统真的不需要太多努力。 这反而建议您应该在 Apple 今年晚些时候发布其新系统之前向您的员工解释强设备密码(和生物识别授权)的必要性。
