Configuración de la carga útil de MDM Inicio de sesión único ampliable basado en Kerberos en dispositivos Apple
Usa la carga útil Inicio de sesión único ampliable basado en Kerberos para definir las extensiones de la autenticación de varios factores para los usuarios de un dispositivo iPhone, iPad, iPad compartido, Mac o Apple Vision Pro inscrito en una solución de administración de dispositivos móviles (MDM).
Las organizaciones utilizan esta extensión para proporcionar una experiencia ininterrumpida a medida que los usuarios inician sesión en apps y sitios web. Cuando esta carga útil se configura correctamente utilizando una solución de MDM, el usuario se autentica una sola vez y obtiene acceso de forma automática a las apps y sitios web nativos subsecuentes. Las siguientes son algunas funciones que se pueden usar con la carga Inicio de sesión único ampliable basado en Kerberos:
Autenticación con nombre de usuario y contraseña o, por ejemplo, tarjetas inteligentes
VPN individual por app
Notificaciones de expiración de contraseña
Cambios de contraseña
Dado que esta carga puede usarse en el canal Usuario, los proveedores de MDM pueden agrupar configuraciones individuales para SSO, tales como identidades de certificado al nivel de usuario para el uso de certificados basados en Kerberos o PKINIT.
Método de aprobación compatible: requiere la aprobación del usuario.
Método de instalación compatible: requiere una solución de MDM para la instalación.
Identificador de carga útil compatible: com.apple.extensiblesso
Sistemas operativos y canales compatibles: iOS, iPadOS, usuario de iPad compartido, dispositivo macOS, usuario de macOS, visionOS 1.1.
Métodos de inscripción compatibles: perfil Inscripción de usuarios, perfil Inscripción de dispositivos y perfil Inscripción de dispositivos automatizada.
Duplicados permitidos: verdadero; se pueden enviar varias cargas útiles Kerberos de inicio de sesión único ampliable a un usuario o dispositivo.
Puedes usar las configuraciones de la siguiente tabla con la carga útil Inicio de sesión único ampliable basado en Kerberos.
Configuración | Descripción | Necesario | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Identificador de extensión | El ID de paquete único de la app. Debe ser com.apple.AppSSOKerberos. KerberosExtension. | Sí | |||||||||
Identificador de equipo | El ID de equipo único de la app. Debe ser apple. | Sí | |||||||||
Tipo de inicio de sesión | Este valor debe ser Credential. | Sí | |||||||||
Reino | Todo el reino de Kerberos en el que se encuentra la cuenta del usuario. | Sí | |||||||||
Hosts | Dominios aprobados que se pueden autenticar con la extensión de la app. | No | |||||||||
Datos de extensión | Este es el diccionario que usa la extensión integrada Kerberos de Apple. | No | |||||||||
Nota: cada proveedor de soluciones de MDM implementa esta configuración de manera diferente. Para obtener información sobre cómo aplicar a tus dispositivos y usuarios las diferentes opciones de la configuración Inicio de sesión único ampliable basado en Kerberos, consulta la documentación de tu proveedor de MDM.