Apple Extensión de inicio de sesión único de Kerberos User Manual
!
Extensión de inicio de sesión
único de Kerberos
Manual del usuario
Diciembre de 2019
Introducción 3 .....................................................................................................................................
Primeros pasos 4 .................................................................................................................................
Funciones avanzadas 8 ........................................................................................................................
Tra ns ici ón de sd e E nt erp ri se C on nec t 13 ..............................................................................................
Apéndice 16........................................................................................................................................
Manual del usuario de la extensión de inicio de ses ión único de Kerberos | Diciembre de 2019
2
Contenido
Introducción
Con la extensión de inicio de sesión único (SSO) de Kerberos es más fácil usar el inicio
de sesión único basado en Kerberos con los dispositivos Apple de tu organización.
Autenticación Kerberos más sencilla
La extensión de SSO de Kerberos simplifica la adquisición de un ticket de otorgamiento de tickets (TGT)
deKerberos desde el dominio de ActiveDirectory de tu organización, y esto permite que los usuarios
seautentiquen sin problemas en recursos como sitios web, apps y servidores de archivos. En macOS,
laextensión de SSO de Kerberos adquiere de forma proactiva un TGT de Kerberos cuando cambia
elestado de la red para asegurarse de que el usuario pueda autenticarse cuando quiera.
Gestión de cuentas de ActiveDirectory
La extensión de SSO de Kerberos también ayuda a tus usuarios a gestionar sus cuentas de ActiveDirectory.
EnmacOS, permite que los usuarios cambien sus contraseñas de ActiveDirectory y les enviará una notificación
cuando estén a punto de caducar. Además, los usuarios pueden modificar las contraseñas de sus cuentas
locales para utilizar las mismas que tienen en ActiveDirectory.
Compatibilidad con ActiveDirectory
La extensión de SSO de Kerberos se debe utilizar con un dominio local de ActiveDirectory. No se admite el
uso de AzureActiveDirectory. No es necesario que los dispositivos estén vinculados a un dominio de
ActiveDirectory para poder usar la extensión de SSO de Kerberos. Además, los usuarios no tienen que
iniciar sesión en sus ordenadores Mac con ActiveDirectory o cuentas móviles; Apple recomienda usar
cuentas locales.
Requisitos
• iOS13, iPadOS o macOSCatalina.
• Un dominio de ActiveDirectory con WindowsServer2008 o posterior. La extensión de SSO de Kerberos no
está destinada a utilizarse con AzureActiveDirectory. Requiere un dominio local de ActiveDirectory típico.
• Acceso mediante wifi, Ethernet o VPN a la red en la que se aloja el dominio de ActiveDirectory.
• Los dispositivos se deben gestionar con una solución de gestión de dispositivos móviles (Mobile Device
Management, MDM) que admita la carga útil de perfil de configuración Extensible Single Sign-On (SSO).
Ponte en contacto con tu proveedor de MDM para consultarle si admite esta carga útil de perfil
deconfiguración.
Enterprise Connect
La finalidad de la extensión de SSO de Kerberos es sustituir a EnterpriseConnect. Si usas
EnterpriseConnect y quieres pasarte a la extensión de SSO de Kerberos, consulta más información en el
apartado «Transición desde EnterpriseConnect» de este documento.!
Manual del usuario de la extensión de inicio de ses ión único de Kerberos | Diciembre de 2019
3
Primeros pasos
Creación e implantación de un perfil de configuración
Para usar la extensión de SSO de Kerberos, debes configurarla con un perfil de configuración
proporcionado al dispositivo desde una solución de MDM.
Nota: El perfil de configuración debe proporcionarse al dispositivo mediante MDM. En macOS, debe ser
una inscripción en MDM aprobada por el usuario e instalada en el ámbito del sistema. No se puede añadir
manualmente el perfil.
Para configurar la extensión con un perfil de configuración, deberás utilizar la carga útil Extensible Single
Sign-On que se introdujo en iOS13, iPadOS y macOS10.15. El Gestor de Perfiles —incluido en macOSServer
— admite la carga útil Extensible Single Sign-On. Si tu solución de MDM no admite esta carga útil de
momento, puedes crear el perfil que necesites en el Gestor de Perfiles e importarlo después a tu solución
deMDM para distribuirlo. Ponte en contacto con tu proveedor de MDM para obtener más información.
Sigue estos pasos para crear un perfil de configuración con el Gestor de Perfiles:
1. Inicia sesión en el Gestor de Perfiles.
2. Crea un perfil para un grupo de dispositivos o un dispositivo determinado.
3. Selecciona Single Sign-On Extensions en la lista Payload. A continuación, haz clic en el botón Add(+)
para añadir una carga útil nueva.
4. En el campo Extension Identifier, introduce «com.apple.AppSSOKerberos.KerberosExtension».
5. En el campo Team Identifier, introduce «apple».
6. Selecciona Credential en Sign-on Type.
7. En el campo Realm, escribe en mayúsculas el nombre del dominio de ActiveDirectory en el que residen !
tus cuentas de usuario. Usa el nombre de tu bosque de ActiveDirectory solo si tus cuentas residen en el
nivel delbosque.
Manual del usuario de la extensión de inicio de ses ión único de Kerberos | Diciembre de 2019
4
8. En Domains, haz clic en el botón Add(+) y añade los dominios de todos los recursos que utilicen
Kerberos. Por ejemplo, si usas la autenticación de Kerberos con recursos de us.pretendco.com, añade
«.us.pretendco.com». (No olvides incluir el punto inicial.)
9. Añade estos valores en Custom Configuration:"
10. Haz clic en OK para guardar el nuevo perfil de configuración. Se instalará automáticamente en el
dispositivo o grupo de dispositivos seleccionado.
Configuración de usuario: iOS y iPadOS
1. Conecta tu dispositivo a una red en la que esté disponible el dominio de ActiveDirectory de la
organización.
2. Haz una de estas opciones:
•
Utiliza Safari para acceder a un sitio web que admita la autenticación Kerberos.
•
Abre una app que sea compatible con la autenticación Kerberos.
3. Introduce tu nombre de usuario y contraseña de Kerberos o ActiveDirectory.
4. Se te preguntará si quieres iniciar sesión automáticamente a partir de ese momento. La mayoría de los
usuarios deben tocar Yes.
5. Toca Sign In. Tras una breve pausa, se cargará el sitio web o la app. Si elegiste iniciar sesión
automáticamente en la extensión de SSO de Kerberos, no se te pedirán las credenciales hasta que
cambies de contraseña. Si no elegiste el inicio de sesión automático, solo se te pedirán las credenciales
cuando te caduque la de Kerberos (normalmente, al cabo de 10horas).
Manual del usuario de la extensión de inicio de ses ión único de Kerberos | Diciembre de 2019
5
Key
Typ e
Val ue
pwNotificationDays
Number
15
requireUserPresence
Boolean
No comprobado
allowAutomaticLogin
Boolean
Comprobado
syncLocalPassword
Boolean
Comprobado
useSiteAutoDiscovery
Boolean
Comprobado
isDefaultRealm
Boolean
No comprobado
Configuración de usuario: macOS
1. Debes autenticarte en la extensión de SSO de Kerberos. Hay distintas formas de iniciar este proceso:
•
Si tu Mac está conectado a la red en la que esté disponible tu dominio de ActiveDirectory, se te pedirá
que te autentiques justo después de que se instale el perfil de configuración del SSO extensible.
•
Si utilizas Safari para acceder a un sitio web que admita la autenticación Kerberos, o si usas una app
que requiera dicha autenticación, se te pedirá que te autentiques.
•
Tendrás que autenticarte inmediatamente cada vez que conectes tu Mac a una red en la que
tuActiveDirectory esté disponible.
•
Puedes seleccionar el menú extra de la extensión de SSO de Kerberos y hacer clic después en Sign In.
2. Se te pedirán las credenciales de Kerberos. Introduce tu nombre de usuario y contraseña de Kerberos "
o ActiveDirectory.
3. Se te preguntará si quieres iniciar sesión automáticamente. La mayoría de los usuarios deben hacer clic
en Yes.
4. Haz clic en Sign In. Tras una breve pausa, se cargará el sitio web o la app. Si elegiste iniciar sesión
automáticamente en la extensión de SSO de Kerberos, no se te pedirán las credenciales hasta que
cambies de contraseña. Si no elegiste el inicio de sesión automático, solo se te pedirán las credenciales
cuando te caduque la de Kerberos (normalmente, al cabo de 10horas).
5. Si tu contraseña está a punto de caducar, recibirás una notificación indicándote los días que quedan
para que caduque. Puedes hacer clic en la notificación y cambiar la contraseña.
6. Si has activado la función de sincronización de contraseñas, se te pedirán las contraseñas local y de
ActiveDirectory que tengas. Introduce las dos y haz clic en OK para sincronizarlas. Aparecerá esa
pantalla cada vez que inicies sesión aunque ya estén sincronizadas las contraseñas.
Cambios de contraseña: macOS
También puedes utilizar la extensión de SSO de Kerberos para cambiar tu contraseña de ActiveDirectory:
1. Comprueba que has iniciado sesión en la extensión de SSO de Kerberos.
2. Selecciona el menú extra de SSO de Kerberos y elige Change Password. Es posible que recibas una
notificación avisándote de que tu contraseña está a punto de caducar.
3. Introduce primero tu contraseña actual y luego la nueva. Asegúrate de que la nueva contraseña cumpla
los requisitos de tu organización al respecto. Haz clic en OK.
4. Tras una breve pausa, aparecerá un cuadro de diálogo indicando que la contraseña se ha modificado
correctamente. Si está activada la función de sincronización de contraseñas, la contraseña de tu cuenta
local se actualizará con tu nueva contraseña de ActiveDirectory.!
Manual del usuario de la extensión de inicio de ses ión único de Kerberos | Diciembre de 2019
6
Loading...