Apple 裝置的 Kerberos SSO 擴展功能

Apple 內建的 Kerberos SSO（Single sign-on）簡化了組織存取其他服務的過程，幫助使用者順暢的進行身份驗證，以使用各種服務。

iOS and iPadOS

Apple 為了節省電池的壽命，在 iOS 及 iPadOS 中的 Kerberos SSO，只有在收到 HTTP 401（即 未認證）的回應時才會啟動驗證。

Kerberos SSO 在 iOS 及 iPadOS 上的擴展功能包含了以下幾點：

• 身份驗證方法：根據多種不同的身份驗證方法提供支援，擴展功能亦支援更改目錄服務的密碼。
• 密碼期限：當通過認證、或變更密碼之後立即向網域請求密碼期限的資訊，此資訊是當使用者於其他裝置上變更密碼時，用於通知並請求新的憑證。
• 支援 VPN：支援各種不同的網路配置。而 Per App VPN 則是只有當 Kerberos SSO 擴展功能在請求應用網站時或網路設定時才會使用 Per App VPN。
• 網域可達性：使用 LDAP Ping 來對其他網域請求存取，透過快取網站程式碼的方式來節省電池的壽命。更多資訊可參考 Microsoft 的官方文件 6.3.3 LDAP Ping。
• 交握請求：僅處理 HTTP 401、NSURLSession 的回應。

macOS

不同於 iOS 及 iPad，在 macOS 中的 Kerberos SSO 擴展功能則是當網路狀態改變時就會主動取得 Kerberos TGT（票證授與票證），確保使用者將進行身份驗證，且當密碼失效之前，允許使用者更改目錄服務的密碼。

Kerberos SSO 擴展功能應與目錄服務的網域一起使用，而無需額外將裝置加入至目錄服務來使用 Kerberos SSO。

使用者必須驗證 Kerberos SSO 擴展功能，可以從幾個方法開始：

• 若 Mac 可以順利連接至目錄服務的網域時，則會提示使用者在安裝 Kerberos SSO 之後進行身份驗證。
• 若 Safari 或其他應用程式需要存取網站或請求 Kerberos SSO 驗證，則提示使用者進行身份驗證。
• 使用者可以額外選擇 Kerberos SSO 擴展功能，並點選「登入」。

Kerberos SSO 在 macOS 上的擴展功能包含了以下幾點：

• 身份驗證方法：根據多種不同的身份驗證方法提供支援，擴展功能亦支援更改目錄服務的密碼。
• 密碼期限：當通過認證、或變更密碼之後立即向網域請求密碼期限的資訊，此資訊是當使用者於其他裝置上變更密碼時，用於通知並請求新的憑證。
• 支援 VPN：支援各種不同的網路配置，包括 VPNs 及 Per App VPN，如果 VPN 是 Network Extension VPN，則在第一次驗證或更改密碼時，會自動連接；如果是 Per App VPN，則 Kerberos 選單會出現「可用的網路」。
• 網域可達性：使用 LDAP Ping 來對其他網域請求存取，透過快取網站程式碼的方式來節省電池的壽命。更多資訊請參考 Microsoft 的官方文件 6.3.3 LDAP Ping。
• 重新整理 Kerberos 的 TGT：透過監控網路的連線能力及 Kerberos 的快取讓 TGT 隨時保持在最新的狀態。
• 同步密碼：同步本地端與目錄服務的密碼。第一次同步時，它會確認兩端的密碼時間是否一致。
• 執行腳本：當有突發狀況發生時，Kerberos Extension 會傳送通知，這些通知會觸發 Scripts 以支援擴展功能，但 Kerberos Extension 本身無法執行 Scripts，這是因為沙箱機制的緣故，其他還有像是 Command Line 等工具可以支援。
• 額外選單：Kerberos Extension 有一額外的功能選單，允許使用者登入、重新連線、更改密碼、登出等，亦可以查看連線狀態。

Account use

Kerberos SSO 擴展功能並不會要求使用者必須綁定目錄服務或使用行動帳號登入 Mac，Apple 官方還是建議使用本地的帳號密碼進行 Kerberos SSO 的擴展功能，畢竟它是為了加強管理本地端帳號的目錄服務而推出的，當然還是可以繼續使用行動帳號來使用 Kerberos SSO 的擴展功能，當使用行動帳號時：

• 可能會無法同步密碼。正常情況下是，若使用 Kerberos SSO 的擴展功能來更改目錄服務的密碼，則 Kerberos SSO 擴展功能的帳號密碼必須與登入 Mac 的使用者帳號密碼一致。若是在外部網站更改密碼，或在後台重置，那麼 Kerberos SSO 的擴展功能將無法將你的行動帳號的密碼同步至目錄服務裡。
• 不支援使用帶有 Kerberos SSO 擴展功能的密碼變更 URL。

原文連結：https://support.apple.com/zh-tw/guide/deployment/depe6a1cda64/web