Configuración de inicio de sesión único

Ivanti Neurons for MDM habilita el Extensible Single Sign-On (SSO) con las configuraciones Extensible SSO y Extensible SSO Kerberos. La implementación requiere una extensión de la aplicación, como Microsoft Authenticator, del proveedor de identidad. Con una implementación de SSO extensible, los usuarios solo tienen que autenticarse una vez cuando acceden a los recursos de la empresa. No se pide a los usuarios que se autentiquen para los siguientes inicios de sesión. Para obtener información de configuración del proveedor de identidad deseado, consulte Configurar el proveedor de identidades.

Esta sección contiene los siguientes temas:

Ajustes de la cuenta de inicio de sesión única

Aplicable a: iOS 7.0 hasta la versión publicada más reciente compatible con Ivanti Neurons for MDM.

Utilice los siguientes ajustes para configurar el SSO corporativo con Kerberos para cualquier aplicación administrada y el navegador Apple Safari en dispositivos iOS.

Esta configuración requiere el Tunnel y Sentry. Para obtener más información, consulte en “Configurar Single Sign on con Kerberos” en la Guía de Tunnel para iOS.

Ajuste

Descripción

Nombre

Introduzca un nombre que identifique a esta configuración.

Descripción

Introduzca una descripción que explique la finalidad de esta configuración.

Nombre de usuario

Introduzca el nombre principal de Kerberos.

Nombre de dominio de Kerberos

Introduzca el nombre de dominio de Kerberos

Certificado

Para iOS 8 con licencia Gold: seleccione el certificado que va a usar para renovar la credencial de Kerberos.

Coincidencias de prefijos de la URL

Lista de prefijos de URL que deben coincidir para poder usar esta cuenta para la autenticación Kerberos en HTTP.

Aplicaciones de la lista de permitidos para SSO

Añada aplicaciones del Catálogo de Aplicaciones para ponerlas en la lista de permitidos para el SSO.

Por ejemplo, escriba «Safari» para añadir Apple Safari.

Si no se ha puesto ninguna aplicación en la lista de permitidos para el SSO utilizando una configuración de este tipo, todas las aplicaciones que admitan el SSO en iOS que puedan hacer uso del SSO, incluidas las aplicaciones de iOS integradas.

Ajustes de la cuenta de Extensible de inicio de sesión única

Aplicable a:

  • iOS 13.0 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

  • macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

Utilice los siguientes ajustes para configurar el perfil de extensión SSO con el tipo de extensión genérica para habilitar el SSO para aplicaciones y sitios web nativos con diferentes métodos de autenticación.

El Extensible SSO no funciona cuando la configuración se inserta en el canal del usuario para los dispositivos macOS 10.15.x.

Ajuste

Descripción

Nombre

Introduzca un nombre que identifique a esta configuración.

Descripción

Introduzca una descripción que explique la finalidad de esta configuración.

Elija el tipo de SSO

Seleccione uno de los siguientes tipos de SSO:

  • Credenciales

    • Introduzca uno o más nombres de Host o nombres de dominio que puedan ser autenticados a través de la extensión de la aplicación. Los nombres de host o de dominio se emparejan sin diferencias entre mayúsculas/minúsculas, y todos los nombres de host/dominio de todas las cargas útiles de Extensible SSO instaladas deben ser únicos. Los hosts que empiezan con "." son sufijos comodines y coincidirán con todos los subdominios, de lo contrario el host debe ser una coincidencia exacta.

    • Introduzca el nombre del Dominio. Este valor se debe escribir con la debida mayúscula.

  • Redirección

    • Introduzca uno o más prefijos de URL de los proveedores de identidad donde la extensión de la aplicación realice SSO. Las URL deben comenzar por http:// o https://, el esquema y el nombre del host se emparejan sin diferenciar entre mayúsculas y minúsculas, los parámetros de consulta y los fragmentos de URL no están permitidos, y las URL de todas las cargas útiles de Extensible SSO instaladas deben ser únicas.

Identificador de la extensión

Introduzca el identificador del paquete de la extensión de la aplicación que realice el SSO para las URL especificadas.

Identificador del equipo

El identificador del equipo de la extensión de la aplicación.

Esta clave es obligatoria en macOS y se ignora en los demás lugares.

Datos personalizados

Introduzca uno o más datos personalizados como pares clave-valor.

Método de autenticación

(Aplicable solo a macOS 13+)

  • Contraseña

  • Clave del usuario de Secure Enclave

Token de registro

Introduzca el token.

Este campo se activa cuando se selecciona uno de los Métodos de autenticación.

Ajustes de cuenta Kerberos de Extensible de inicio de sesión única

Aplicable a:

  • iOS 13.0 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

  • macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

Utilice los siguientes ajustes para configurar una extensión de aplicación que realice SSO con la extensión Kerberos.

El Extensible SSO Kerberos no funciona cuando la configuración se inserta en el canal del usuario para los dispositivos macOS 10.15.x.

Ajuste

Descripción

Ajustes básicos

Nombre

Introduzca un nombre que identifique a esta configuración.

Descripción

Introduzca una descripción que explique la finalidad de esta configuración.

Nombre de usuario

Introduzca el nombre principal de Kerberos.

Dominio

Introduzca el nombre de dominio de Kerberos

Certificado

Seleccione el certificado que se utilizará para renovar la credencial de Kerberos.

Prefijos de URL

Lista de prefijos de URL que deben coincidir para poder usar esta cuenta para la autenticación Kerberos en HTTP.

Ajustes avanzados

Permitir el acceso automático

Si es falso, no se permite guardar las contraseñas en la llave.

De forma predeterminada, esta opción está activada.
Retrasar la configuración del usuario

Si es verdadero, no se pide al usuario que configure la extensión Kerberos hasta que el administrador la habilite con la herramienta app-SSO o hasta que se reciba un desafío Kerberos. Esta opción se puede aplicar a macOS 11 hasta la versión más reciente compatible con Ivanti Neurons for MDM.
Requiere la presencia del usuario Si es verdadero, requiere que el usuario proporcione Touch ID, Face ID o su código de acceso para acceder a la entrada del llavero.
Monitizar el caché de credenciales

Si es falso, se pide la credencial en el próximo desafío de Kerberos o cambio de estado de red. Si la credencial ha caducado o falta, se creará una nueva. Esta opción se puede aplicar a macOS 11 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

De forma predeterminada, esta opción está activada.

Nombre del caché

Introduzca el nombre del Servicio de Seguridad Genérico (GSS) de la caché de Kerberos a utilizar. Esta opción ahora está obsoleta.

Mapeo de dominios

Introduzca el nombre del dominio como la clave. El valor es un conjunto de sufijos del DNS que se mapean en el dominio.

Haga clic en +Añadir para añadir uno o más pares clave-valor.

Dominio por defecto

Esta propiedad especifica el dominio por defecto si hay más de una configuración de extensión Kerberos.

Usar la detección automática del sitio

Si es falso, la extensión Kerberos no usa automáticamente LDAP y DNS para determinar el nombre del sitio AD.

De forma predeterminada, esta opción está activada.

Código del sitio

Introduzca el nombre del sitio de Active Directory que debe utilizar la extensión Kerberos.

Tiempo de replicación

Introduzca el tiempo, en segundos, necesario para replicar los cambios en el dominio de Active Directory. La extensión Kerberos usará esto cuando compruebe la antigüedad de la contraseña después de un cambio. Esta opción se puede aplicar a macOS 11 hasta la versión más reciente compatible con Ivanti Neurons for MDM. Esta opción ahora está obsoleta.

ACL del Id. del paquete de credenciales

Haga clic en + Añadir para añadir una lista de identificaciones de paquetes permitidos para acceder al Ticket Granting Ticket (TGT) para la autenticación.

Incluir las aplicaciones administradas en ACL del Id. del paquete

Si es verdadero, la extensión Kerberos permitirá que solo las aplicaciones administradas accedan y utilicen la credencial. Esto es además del ACL del Id. del paquete de credenciales, si se especifica. Esta opción se puede aplicar a iOS 14 o versiones más recientes compatibles de Ivanti Neurons for MDM.

Incluir las aplicaciones Kerberos en ACL del Id. del paquete

Si es cierto, la extensión de Kerberos permite que las funciones estándar de Kerberos, incluida Ticket Viewe y klist, accedan al uso de la credencial. Disponible en macOS 12 y posterior.

Etiqueta de nombre de usuario personalizada

Introduzca la etiqueta del nombre de usuario personalizado que se usó en la extensión de Kerberos en lugar de "Username." Por ejemplo, "Id de empresa." Esta opción se puede aplicar a macOS 11 mediante la versión más reciente compatible con Ivanti Neurons for MDM.

Texto de ayuda

Introduzca el texto que se mostrará al usuario en la parte inferior de la ventana de inicio de sesión de Kerberos. Se puede utilizar para mostrar información de ayuda o un texto sobre la exención de responsabilidad. Esta opción se puede aplicar a iOS 14 y macOS 11 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

Modo de uso de la credencial

Esta configuración afecta a cómo otros procesos utilizarán la credencial de la extensión Kerberos. Utilice una de las siguientes opciones:

  • Siempre (predeterminado): la credencial de la extensión siempre se usará si el nombre principal de servicio (SPN) coincide con la matriz de hosts de la extensión Kerberos. La credencial no se usará si la aplicación de llamada no está en credentialBundleIDACL.

  • Cuando no se especifique: la credencial solo se utilizará cuando el identificador de la llamada no haya especificado otra credencial y el SPN coincida con la matriz de hosts de la extensión Kerberos. La credencial no se usará si la aplicación de llamada no está en credentialBundleIDACL.

  • Kerberos por defecto: se utilizan los procesos Kerberos por defecto para la selección de credenciales que normalmente utilizan la credencial Kerberos por defecto. Esto es lo mismo que desactivar esta función.

(Opcional) Seleccione Requiere TLS para LDAP.

Centro de distribución de claves preferido

 

 

 

Añadir centros de distribución de claves preferido.

Hacer clic en +Añadir para agregar un KDC preferido.

Permitir la reserva para la autenticación SSO de la plataforma: si es Cierto y si es Cierto Usar el TGT SSO de la plataforma, el usuario puede iniciar sesión manualmente. Disponible en macOS 13 y posterior

LLevar a cabo solo Kerberos: si Cierto, la extensión de Kerberos maneja solo las solicitudes de Kerberos. Disponible en macOS 13 y posterior.

Use el TGT de SSO de la plataforma: si Cierto, esta configuración usa un TGT del SSO de la plataforma en lugar de uno nuevo. Disponible en macOS 13 y posterior.
Ajustes de la contraseña

Permitir el cambio de contraseña

Si es falso, desactiva los cambios de contraseña. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

De forma predeterminada, esta opción está activada.

Cambiar la URL de la contraseña

Introduzca la URL que se lanzará en el navegador web predeterminado del usuario cuando inicie un cambio de contraseña. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

Permitir la complejidad de la contraseña

Si es cierto, las contraseñas deben cumplir con la definición de Active Directory de "complex." Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

Longitud mínima de la contraseña

Introduzca la longitud mínima (en caracteres) de las contraseñas del dominio. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

Notificación de caducidad de la contraseña

Introduzca el número de días antes de que venza la contraseña, momento en que se enviará al usuario una notificación de caducidad de la misma. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

El valor predeterminado es de 15 días.

Anulación de caducidad de la contraseña

Introduzca el número de días que las contraseñas se pueden usar en este dominio. Para la mayoría de los dominios, esto se puede calcular automáticamente. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM. (Esta opción ahora está obsoleta)

Texto obligatorio de la contraseña

Introduzca la versión de texto de los requisitos de contraseña del dominio. Solo para usarse si no se especifica pwReqComplexity o pwReqLength. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

Recuento del historial de la contraseña

Introduzca el número de contraseñas previas que no se pueden reutilizar en este dominio. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

Antigüedad mínima de la contraseña

Introduzca la antigüedad mínima (en días) de las contraseñas antes de que se puedan cambiar en este dominio. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

Permitir la sincronización de la contraseña local

Si es falso, desactiva la sincronización de la contraseña.

Esto no funcionará si el usuario está conectado con una cuenta de móvil. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.

Para obtener más información, consulte Cómo crear una configuración