Apple Extensão Single Sign-on User Manual
!
Extensão Single Sign-on
Kerberos
Manual do utilizador
Dezembrode2019
Introdução 3 ........................................................................................................................................
Primeiros passos 4 ..............................................................................................................................
Funções avançadas 8 ..........................................................................................................................
Efetuar a transição a partir do Enterprise Connect 13 ...........................................................................
Anexo 16.............................................................................................................................................
Manual do utilizad or da extensão Single Sign-on Kerberos | Dezembro de 2019
2
Índice
Introdução
Com a extensão Single Sign-on (SSO) Kerberos, é fácil utilizar o início de sessão único
baseado no Kerberos nos dispositivos Apple da empresa.
Autenticação Kerberos simplificada
A extensão SSO Kerberos simplifica o processo de aquisição de um ticket de atribuição de ticket (TGT)
Kerberos a partir do domínio do ActiveDirectory da empresa, permitindo que os utilizadores efetuem
facilmente a autenticação em recursos como páginas da internet, apps e servidores de ficheiros. NomacOS,
a extensão SSO Kerberos adquire proativamente um TGT Kerberos após as alterações ao estado da rede
paragarantir que o utilizador está preparado para efetuar a autenticação, quando necessário.
Gestão de contas do ActiveDirectory
A extensão SSO Kerberos também ajuda os utilizadores a gerirem as suas contas do ActiveDirectory.
NomacOS, permite que os utilizadores alterem as palavras-passe do ActiveDirectory e notifica-os quando
uma palavra-passe estiver prestes a expirar. Os utilizadores também podem alterar as palavras-passe
dascontas locais para que correspondam às palavras-passe do ActiveDirectory.
Compatibilidade com o ActiveDirectory
A extensão SSO Kerberos deve ser utilizada com um domínio do ActiveDirectory no local. Não é possível
utilizar o AzureActiveDirectory. Para utilizar a extensão SSO Kerberos, não é necessário que os dispositivos
sejam associados a um domínio do ActiveDirectory. Além disso, não é necessário que os utilizadores iniciem
sessão nos computadores Mac com as contas móveis ou do ActiveDirectory. Em vez disso, a Apple
recomenda a utilização de contas locais.
Requisitos
• iOS13, iPadOS ou macOSCatalina.
• Um domínio do ActiveDirectory a executar o Windows Server 2008 ou posterior. A extensão
SSOKerberos não se destina à utilização com o AzureActiveDirectory. Requer um domínio
doActiveDirectory no local tradicional.
• Acesso à rede onde o domínio do ActiveDirectory está alojado. Este acesso à rede pode ser efetuado
através de Wi-Fi, Ethernet ou VPN.
• Os dispositivos devem ser geridos com uma solução de gestão de dispositivos móveis (MDM) compatível
com a carga útil de perfil de configuração Single Sign-On (SSO) extensível. Contacte o seu fornecedor
deMDM para solicitar informações sobre a compatibilidade com esta carga útil de perfil de configuração.
EnterpriseConnect
A extensão SSO Kerberos destina-se a substituir o EnterpriseConnect. Se utiliza atualmente
oEnterpriseConnect e pretende efetuar a transição para a extensão SSO Kerberos, consulte a secção
"Efetuar a transição a partir do EnterpriseConnect" deste documento para obter mais informações.!
Manual do utilizad or da extensão Single Sign-on Kerberos | Dezembro de 2019
3
Primeiros passos
Criar e implementar um perfil de configuração
Para utilizar a extensão SSO Kerberos, deve configurá-la utilizando um perfil de configuração, enviado para
o dispositivo a partir de uma solução de MDM.
Nota: o perfil de configuração deve ser enviado para o dispositivo através da MDM. No macOS, deve tratarse de um registo na MDM aprovado pelo utilizador e deve ser instalado no âmbito System. Não é possível
adicionar o perfil manualmente.
Para configurar com um perfil de configuração, é necessário utilizar a carga útil Single Sign-on extensível
apresentada no iOS13, iPadOS e macOS10.15. O ProfileManager, que faz parte do macOSServer, inclui
compatibilidade com a carga útil Single Sign-on extensível. Se a sua solução de MDM ainda não for compatível
com esta carga útil, poderá ser capaz de criar o perfil necessário no ProfileManager e, em seguida, importá-lo
para a solução de MDM para efetuar a distribuição. Para mais informações, contacte o seu fornecedor de MDM.
Para criar um perfil de configuração utilizando o ProfileManager, siga estes passos:
1. Inicie sessão no ProfileManager.
2. Crie um perfil para um grupo de dispositivos ou um dispositivo específico.
3. Selecione as extensões Single Sign-On na lista Payload e, em seguida, clique no botão Add (+)
paraadicionar uma nova carga útil.
4. No campo Extension Identifier, introduza "com.apple.AppSSOKerberos.KerberosExtension".
5. No campo Team Identifier, introduza "apple".
6. Selecione Credential em Sign-onType.
7. No campo Realm, introduza o nome do domínio do ActiveDirectory onde as contas de utilizador residem,
em maiúsculas. Não utilize o nome da sua floresta do ActiveDirectory, exceto se as contas de utilizador
residirem ao nível da floresta.
Manual do utilizad or da extensão Single Sign-on Kerberos | Dezembro de 2019
4
8. Em Domains, clique no botão Add (+) e adicione domínios para todos os recursos que utilizem o Kerberos.
Por exemplo, se utilizar a autenticação Kerberos com recursos em us.pretendco.com, adicione
".u s. pret end co .co m". (N ão s e esq ue ça do p on to fi na l n o in ício.)
9. Em Custom Configuration, adicione os seguintes valores:"
10. Clique em OK para guardar o novo perfil de configuração. Será instalado automaticamente no dispositivo
ou grupo de dispositivos selecionado.
Configuração do utilizador — iOS e iPadOS
1. Ligue o dispositivo a uma rede onde o domínio do ActiveDirectory da empresa estiver disponível.
2. Faça uma das ações seguintes:
•
Utilize o Safari para aceder a uma página da internet compatível com a autenticação Kerberos.
•
Abra uma app compatível com a autenticação Kerberos.
3. Introduza o seu nome de utilizador e a sua palavra-passe do Kerberos ou ActiveDirectory.
4. Ser-lhe-á solicitado que indique se pretende iniciar sessão automaticamente de forma permanente.
Amaioria dos utilizadores deve tocar em Yes.
5. To q u e e m S i g n I n . A p ó s u m a b r e v e p a u s a , a p á g i n a d a i n t e r n e t o u a a p p s e r ã o c a r r e g a d a s . S e o p t o u p o r
iniciar sessão na extensão SSO Kerberos automaticamente, já não terá de introduzir as credenciais até alterar
a palavra-passe. Se optou por não iniciar sessão automaticamente, ser-lhe-á solicitado que introduza as
credenciais apenas quando a sua credencial do Kerberos expirar (normalmente, no prazo de 10horas).
Manual do utilizad or da extensão Single Sign-on Kerberos | Dezembro de 2019
5
Key
Typ e
Val ue
pwNotificationDays
Número
15
requireUserPresence
Boolean
Não assinalado
allowAutomaticLogin
Boolean
Assinalado
syncLocalPassword
Boolean
Assinalado
useSiteAutoDiscovery
Boolean
Assinalado
isDefaultRealm
Boolean
Não assinalado
Configuração do utilizador — macOS
1. Deve efetuar a autenticação na extensão SSO Kerberos. Há várias formas de iniciar este processo:
•
Se o Mac estiver ligado a uma rede onde o seu domínio do ActiveDirectory estiver disponível, "
ser-lhe-á solicitado que efetue a autenticação de imediato após a instalação do perfil de configuração
SSO extensível.
•
Se utilizar o Safari para aceder a uma página da internet que aceite a autenticação Kerberos, ou se
utilizar uma app que requeira a autenticação Kerberos, ser-lhe-á solicitado que efetue a autenticação.
•
Ser-lhe-á imediatamente solicitado que efetue a autenticação sempre que ligar o Mac a uma rede
onde o ActiveDirectory estiver disponível.
•
Pode selecionar o menu extra da extensão SSO Kerberos e, em seguida, clicar em SignIn.
2. Ser-lhe-á solicitado que introduza as credenciais do Kerberos. Introduza o seu nome de utilizador
easua palavra-passe do Kerberos ou ActiveDirectory."
3. Ser-lhe-á solicitado que indique se pretende iniciar sessão automaticamente. A maioria dos utilizadores
deve clicar em Yes.
4. Clique em SignIn. Após uma breve pausa, a página da internet ou a app serão carregadas. Se optou por
iniciar sessão na extensão SSO Kerberos automaticamente, já não terá de introduzir as credenciais até alterar
a palavra-passe. Se optou por não iniciar sessão automaticamente, ser-lhe-á solicitado que introduza
ascredenciais apenas quando a sua credencial do Kerberos expirar (normalmente, no prazo de 10horas).
5. Se a sua palavra-passe estiver prestes a expirar, irá receber uma notificação a indicar quantos dias
faltam para expirar. Pode clicar na notificação e alterar a palavra-passe.
6. Se ativou a funcionalidade de sincronização de palavras-passe, ser-lhe-á solicitado que introduza a palavrapasse local e a palavra-passe do ActiveDirectory que utiliza atualmente. Introduza as duas e clique em OK
para sincronizar as palavras-passe. Isto ser-lhe-á solicitado durante o início de sessão inicial, mesmo
seaspalavras-passe já estiverem sincronizadas.
Alterações da palavra-passe — macOS
Também pode alterar a palavra-passe do ActiveDirectory com a extensão SSO Kerberos:
1. Certifique-se de que iniciou sessão na extensão SSO Kerberos.
2. Selecione o menu extra SSO Kerberos e escolha ChangePassword. Também poderá receber uma notificação
a indicar que a palavra-passe está prestes a expirar.
3. Introduza a palavra-passe atual e, em seguida, a nova palavra-passe. Certifique-se de que utiliza uma nova
palavra-passe que cumpra os requisitos de palavra-passe da empresa. Clique em OK.
4. Após uma breve pausa, será apresentada uma caixa de diálogo a indicar que a alteração da palavra-passe
foibem-sucedida. Se a funcionalidade de sincronização de palavras-passe estiver ativada, a palavra-passe
da sua conta local será atualizada para corresponder à nova palavra-passe do ActiveDirectory.!
Manual do utilizad or da extensão Single Sign-on Kerberos | Dezembro de 2019
6
Loading...