WWDC Quick Look 💓 By SwiftGGTeam
Leverage enterprise identity and authentication

Leverage enterprise identity and authentication

元の動画を見る

ハイライト

Apple は、SSO 拡張機能、組み込みの Kerberos 拡張機能、マネージド Apple ID フェデレーション、および SCIM 同期により、iOS 14、iPadOS 14、および macOS Big Sur のエンタープライズ ID 管理を強化し、組織が既存のディレクトリ資格情報を使用してデバイス、アプリ、Apple サービスに接続できるようにしました。

主要内容

企業におけるアイデンティティの問題は、多くの場合、単純なシナリオから始まります。つまり、従業員が Mac または iPad を入手し、まずそのデバイスにログインし、次に社内 Web サイト、ネイティブ アプリ、ファイル サーバー、印刷サービス、Apple サービスにログインするというものです。各入口は、クラウド上にあるシステムと企業イントラネット上にある異なるシステムに接続されている場合があります。 IT チームは、監査、ポリシー、取り消し機能を維持しながら、ログインの手間を軽減する必要があります。

このセッションの核となる答えは、アイデンティティ機能をシステム層に組み込むことです。 Apple はまず、macOS 上でローカル アカウント、ネットワーク アカウント、モバイル アカウントを区別します。 1:1 展開ではできる限りローカル アカウントを使用し、組み込みの Kerberos 拡張機能、SSO 拡張機能、または MDM ベンダー ツールを使用してディレクトリ リソースに接続することをお勧めします。このようにして、Mac 自体へのログインはディレクトリ サーバーのリアルタイム ステータスに依存する必要がなく、企業リソースにアクセスするときに Kerberos チケットを取得したり、シングル サインオンを使用したりすることができます。

2 行目は、アプリと Web サイト間のログインです。 SSO 拡張機能は、iOS 13、iPadOS 13、macOS Catalina にすでに登場しています。 2020 年の更新では、エンタープライズ展開で発生する詳細に焦点を当てています。ユーザー チャネル構成、アプリごとの VPN、関連ドメイン、呼び出し元アプリ情報、削除構成時のクリーンアップ コールバック、組み込み Kerberos 拡張機能のステータス プロンプトと管理オプションです。

3行目はAppleのサービスです。 Apple は、SSO 拡張機能と管理対象 Apple ID フェデレーション認証を明確に区別しています。Apple 以外のアプリや Web サイトは、アイデンティティ プロバイダーの SSO 拡張機能を通じてログイン エクスペリエンスを取得します。 Apple アプリと Apple サービスはマネージド Apple ID を使用し、Apple Business Manager または Apple School Manager と Azure Active Directory によってフェデレーションが確立されます。 SCIM は、アカウントの作成、データの更新、削除を自動化されたプロセスに同期させます。

詳細

デバイスのログインはアカウントの種類から始まります

(01:37) セッションでは、最初にコーポレート ID がデバイスのログイン シナリオに戻されます。共有 iPad は管理対象 Apple ID に依存しますが、Mac にはローカル アカウント、ネットワーク アカウント、モバイル アカウントがあります。 1 対 1 の Mac 展開に対する Apple の推奨事項は簡単です。ユーザーのログインとパスワード管理はネイティブ macOS ディレクトリ サービスで行われ、ディレクトリ サーバーのログインを待つ必要がないため、ローカル アカウントを優先します。

(03:23) これにより、組織はディレクトリ サービスを放棄する必要はありません。これまで Active Directory に関連付けられてきた Mac の場合、Apple は、組み込みの Kerberos 拡張機能、その他の SSO 拡張機能、または MDM ベンダーが提供する機能を使用してディレクトリ リソースに接続することを検討することをお勧めします。 Kerberos 拡張機能は、ファイル サーバーやプリンターへのアクセスに使用される TGT を取得でき、ローカル パスワードとディレクトリ パスワードの同期を維持するのに役立ちます。

(04:20)一部の機能では、Active Directory DFS のトラバースや、MDM 経由で AD 証明書ペイロードを発行してマシン証明書を取得するなど、Mac を Active Directory にバインドする必要があります。ここでの境界は、マシンはこれらのニーズに合わせてディレクトリをバインドできますが、ユーザーは毎日のログインにローカル アカウントを使用するように努めるべきであるということです。

SSO 拡張機能のエンタープライズ展開の更新

(06:57) SSO 拡張機能を使用すると、Safari、WebKit、およびネイティブ アプリが拡張機能を呼び出して、組織の ID プロバイダーと対話できるようになります。 2020 年に、Apple はユーザー チャネル構成を追加しました。共有 iPad と macOS は、ユーザーごとに SSO 拡張設定を提供できます。ユーザー チャネルの設定はシステム レベルの設定よりも優先され、ユーザー名などのパラメーターを各ユーザー独自の設定に入れるのが適切です。

(09:03) アプリごとの VPN の変更により、イントラネット ID プロバイダーの問題が解決されました。関連するドメインはアプリごとの VPN と連携してサイト関連付けファイルを取得でき、SSO リダイレクト拡張機能はログイン要求をイントラネット IdP に送信できます。新しい除外ドメイン リストにより、信頼できるクラウド IdP トラフィックがパブリック ネットワークから直接送信されるようになり、企業イントラネットへのループバックがすべて回避されます。

(12:24) 関連ドメインの MDM 管理資格も使いやすくなりました。com.apple.developer.associated-domains.mdm-managed2020 年にパブリック資格になると、開発者テクニカル サポートの承認は必要なくなります。テナントのホスト名ごとに異なる ID プロバイダーを使用すると、アプリを公開する前にすべての顧客ドメインを列挙するストレスが軽減されます。

発信者アプリ情報

(13:31) SSO 拡張機能は、それを呼び出すアプリに関する情報を取得できるようになりました。公式の「コード」タブで指定されるフィールドは次のとおりです。

var localizedCallerDisplayName: String

var callerTeamIdentifier: String

var isCallerManaged: Bool

キーポイント:

  • localizedCallerDisplayName内線番号にローカライズされた発信者名を付けます。ログイン画面にはバンドル識別子のみが表示される必要はありません。 -callerTeamIdentifier内線番号で発信者が所属する開発チームを識別できるようにすることで、企業の信頼性を判断するのに適しています。 -isCallerManaged呼び出し側アプリが管理されているかどうかをフラグするため、拡張機能は資格情報の使用範囲を制限できます。

この情報セットは、トランスクリプト内の発信側アプリ名、発信側アプリ チーム ID、および Is-Caller-Managed フラグに対応します。 Apple には 2 つの目的があります。1 つはユーザーに表示されるプロンプト テキストを改善すること、もう 1 つはチーム ID と管理ステータスに基づいてセキュリティに関する決定を拡張することです。

構成が削除されたときにステータスをクリーンアップする

(14:00) SSO 拡張機能の本来の標準操作には、ログイン、更新、ログアウトが含まれます。構成削除操作は 2020 年に追加されました。SSO 拡張機能を構成する MDM プロファイルがデバイスから削除されると、システムはこの操作を呼び出して、状態をクリーンアップするための短いウィンドウを拡張機能に与えます。

// existing operations
static let operationLogin: ASAuthorization.OpenIDOperation
static let operationRefresh: ASAuthorization.OpenIDOperation
static let operationLogout: ASAuthorization.OpenIDOperation

//new this year
static let configurationRemoved: ASAuthorizationProviderAuthorizationOperation

キーポイント:

  • operationLoginoperationRefreshそしてoperationLogoutこれは既存の定期的なライフサイクル操作です。 -configurationRemovedこれは 2020 年の新しい操作であり、トリガー ポイントは管理構成が削除されることです。
  • トランスクリプト 明示的にリストされたクリーンアップ タスクには、ログアウト、ファイルまたはキーチェーン アイテムのクリーニング、トークンの取り消し、拡張機能に必要なその他の終了アクションの実行が含まれます。
  • この機能を使用するには、iOS 14 または macOS Big Sur SDK で構築された拡張機能が必要です。

組み込みの Kerberos 拡張機能の管理機能

(15:28) 組み込みの Kerberos 拡張機能には、一連の管理更新も取得されます。 macOS のメニュー バー アイコンにはステータスがより正確に表示されます。資格情報、ネットワーク接続、DNS、および期限切れになっていない Kerberos チケットがすべて正常な場合は、完全なステータスが表示されます。条件が欠落している場合は、ユーザーに特定の質問を促します。管理者は、ログイン ウィンドウに組織内で使い慣れたタイトルが使用されるように、ID ラベルとヘルプ テキストをカスタマイズすることもできます。

(16:47) Kerberos 拡張機能により、iOS、iPadOS、macOS での認証のみのリクエストに対してアプリごとの VPN がトリガーされるようになり、最初に VPN を起動するために追加のネットワーク リクエストが必要なくなりました。 macOS のアプリ間 VPN は Kerberos もカバーします。 App-SSO-Agent と Kerberos-Menu-Extra は、構成時にペイロードに追加する必要があります。

管理対象 Apple ID、Federated Authentication、および SCIM

(18:54) 管理対象 Apple ID は、組織によって所有および管理される Apple ユーザー アカウントです。これは、デバイスのパーソナライズ、Apple アプリや Apple サービスへのアクセスに使用され、ユーザー登録と共有 iPad の基礎となります。エンタープライズ ID システムの場合、重要な機能はフェデレーション認証です。

(20:03) フェデレーション認証は、Apple Business Manager または Apple School Manager を Microsoft Azure Active Directory に接続します。必要な管理対象 Apple ID は、ユーザーがフェデレーション ID を使用して Apple サービスに初めてサインインするときに自動的に作成されます。プロトコル レベルでは、デバイスは Apple によって Azure AD にリダイレクトされ、Azure AD は署名された SAML 応答を返し、Apple は署名を検証してサービスへのアクセスを許可します。

(23:16) フェデレーションの構成はドメイン名によって行われます。管理者はまず、Apple Business Manager または Apple School Manager で DNS TXT レコードを使用してドメイン名を確認します。次に、Azure AD 管理者 ID を使用して Apple Business Manager 統合を承認し、テスト ログインにドメイン名のユーザーを使用します。 Apple はユーザー名の競合もスキャンします。競合するユーザーは他のドメイン名を使用する必要があります。未処理のユーザー名は、60 日後に Apple によって一時ドメインに更新されます。

(28:04) この 2020 年のセッションに関連して、Apple は SCIM 統合が Apple Business Manager と Apple School Manager に組み込まれることも発表しました。 SCIM は、Azure AD でのアカウントの作成、データの変更、削除を Apple に同期するために使用されます。プロビジョニング中に、Apple Business Manager は SCIM トークンとテナント URL を生成し、管理者はこれらを Azure AD の Apple Business Manager エンタープライズ アプリケーション プロビジョニング設定に入力します。

重要ポイント

  • 一連の管理対象アプリのログイン監査を実行します: エンタープライズ SSO 拡張機能に記録します。localizedCallerDisplayNamecallerTeamIdentifierそしてisCallerManaged。価値がある理由: 2020 年に新しく追加された発信者情報は、マネージド アプリとアンマネージド アプリを区別するのに役立ちます。開始方法: まず、これら 3 つのフィールドを拡張機能内のログとポリシー判断に接続し、指定されたチーム ID または管理対象アプリのみがエンタープライズ資格情報にアクセスできるようにします。

  • オフボーディングと機器の引き継ぎのための SSO クリーンアップ プロセスを設計する: エクスプロイトconfigurationRemovedMDM プロファイルの削除時にキーチェーン、トークン、ローカル ファイルをクリーンアップします。実行する価値がある理由: トランスクリプトには、この操作が削除後に終了する短いウィンドウを構成するために使用されることが明確に記載されています。開始方法: 既存のログアウト/トークン取り消しロジックを再利用可能な関数に整理してから、configurationRemoved同じクリーンアップ パスのセットを呼び出します。

  • ハイブリッド クラウド ID サービスのアプリごとの VPN ルーティングを最適化します: アプリごとの VPN を介してイントラネット IdP にアクセスし、信頼されたクラウド IdP を除外ドメイン リストに追加します。実行する価値がある理由: SSO 拡張機能は、ホスト アプリのアプリごとの VPN 設定を継承します。すべてのトラフィックがイントラネットに戻されると、クラウド IdP の地理的および負荷分散の利点が失われます。開始方法: まず、ログイン リンクにイントラネット ドメイン名とパブリック ネットワーク IdP ドメイン名をリストし、次に MDM ペイロードで関連ドメイン、直接ダウンロード、および除外ドメイン名を構成します。

  • 管理対象 Apple ID のライフサイクルをディレクトリ変更に統合: フェデレーション認証を使用してログインを処理し、SCIM を使用してアカウントの作成、データの更新、削除を同期します。実行する価値がある理由: セッションでは、アカウントのライフサイクルの問題として、辞任と権限の削除、部門または名前の変更、事前のサービス権限の付与がリストされます。開始方法: まず、ドメイン名の TXT 検証と Azure AD の承認を完了し、次に Apple Business Manager で SCIM トークンとテナント URL を生成し、それらを Azure AD のプロビジョニング構成に追加します。

関連セッション

コメント

GitHub Issues · utterances