Configuración de inicio de sesión único
Ivanti Neurons for MDM habilita el Extensible Single Sign-On (SSO) con las configuraciones Extensible SSO y Extensible SSO Kerberos. La implementación requiere una extensión de la aplicación, como Microsoft Authenticator, del proveedor de identidad. Con una implementación de SSO extensible, los usuarios solo tienen que autenticarse una vez cuando acceden a los recursos de la empresa. No se pide a los usuarios que se autentiquen para los siguientes inicios de sesión. Para obtener información de configuración del proveedor de identidad deseado, consulte Configurar el proveedor de identidades.
Esta sección contiene los siguientes temas:
-
Ajustes de la cuenta de Extensible de inicio de sesión única
-
Ajustes de cuenta Kerberos de Extensible de inicio de sesión única
Ajustes de la cuenta de inicio de sesión única
Aplicable a: iOS 7.0 hasta la versión publicada más reciente compatible con Ivanti Neurons for MDM.
Utilice los siguientes ajustes para configurar el SSO corporativo con Kerberos para cualquier aplicación administrada y el navegador Apple Safari en dispositivos iOS.
Esta configuración requiere el Tunnel y Sentry. Para obtener más información, consulte en “Configurar Single Sign on con Kerberos” en la Guía de Tunnel para iOS.
Ajuste |
Descripción |
---|---|
Nombre |
Introduzca un nombre que identifique a esta configuración. |
Descripción |
Introduzca una descripción que explique la finalidad de esta configuración. |
Nombre de usuario |
Introduzca el nombre principal de Kerberos. |
Nombre de dominio de Kerberos |
Introduzca el nombre de dominio de Kerberos |
Certificado |
Para iOS 8 con licencia Gold: seleccione el certificado que va a usar para renovar la credencial de Kerberos. |
Coincidencias de prefijos de la URL |
Lista de prefijos de URL que deben coincidir para poder usar esta cuenta para la autenticación Kerberos en HTTP. |
Aplicaciones de la lista de permitidos para SSO |
Añada aplicaciones del Catálogo de Aplicaciones para ponerlas en la lista de permitidos para el SSO. Por ejemplo, escriba «Safari» para añadir Apple Safari. Si no se ha puesto ninguna aplicación en la lista de permitidos para el SSO utilizando una configuración de este tipo, todas las aplicaciones que admitan el SSO en iOS que puedan hacer uso del SSO, incluidas las aplicaciones de iOS integradas. |
Ajustes de la cuenta de Extensible de inicio de sesión única
Aplicable a:
-
iOS 13.0 hasta la versión más reciente compatible con Ivanti Neurons for MDM.
-
macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.
Utilice los siguientes ajustes para configurar el perfil de extensión SSO con el tipo de extensión genérica para habilitar el SSO para aplicaciones y sitios web nativos con diferentes métodos de autenticación.
El Extensible SSO no funciona cuando la configuración se inserta en el canal del usuario para los dispositivos macOS 10.15.x.
Ajuste |
Descripción |
---|---|
Nombre |
Introduzca un nombre que identifique a esta configuración. |
Descripción |
Introduzca una descripción que explique la finalidad de esta configuración. |
Elija el tipo de SSO |
Seleccione uno de los siguientes tipos de SSO:
|
Identificador de la extensión |
Introduzca el identificador del paquete de la extensión de la aplicación que realice el SSO para las URL especificadas. |
Identificador del equipo |
El identificador del equipo de la extensión de la aplicación. Esta clave es obligatoria en macOS y se ignora en los demás lugares. |
Datos personalizados |
Introduzca uno o más datos personalizados como pares clave-valor. |
Método de autenticación (Aplicable solo a macOS 13+) |
|
Token de registro |
Introduzca el token. Este campo se activa cuando se selecciona uno de los Métodos de autenticación. |
Ajustes de cuenta Kerberos de Extensible de inicio de sesión única
Aplicable a:
-
iOS 13.0 hasta la versión más reciente compatible con Ivanti Neurons for MDM.
-
macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM.
Utilice los siguientes ajustes para configurar una extensión de aplicación que realice SSO con la extensión Kerberos.
El Extensible SSO Kerberos no funciona cuando la configuración se inserta en el canal del usuario para los dispositivos macOS 10.15.x.
Ajuste |
Descripción |
---|---|
Ajustes básicos |
|
Nombre |
Introduzca un nombre que identifique a esta configuración. |
Descripción |
Introduzca una descripción que explique la finalidad de esta configuración. |
Nombre de usuario |
Introduzca el nombre principal de Kerberos. |
Dominio |
Introduzca el nombre de dominio de Kerberos |
Certificado |
Seleccione el certificado que se utilizará para renovar la credencial de Kerberos. |
Prefijos de URL |
Lista de prefijos de URL que deben coincidir para poder usar esta cuenta para la autenticación Kerberos en HTTP. |
Ajustes avanzados |
|
Permitir el acceso automático |
Si es falso, no se permite guardar las contraseñas en la llave. De forma predeterminada, esta opción está activada. |
Retrasar la configuración del usuario |
Si es verdadero, no se pide al usuario que configure la extensión Kerberos hasta que el administrador la habilite con la herramienta app-SSO o hasta que se reciba un desafío Kerberos. Esta opción se puede aplicar a macOS 11 hasta la versión más reciente compatible con Ivanti Neurons for MDM. |
Requiere la presencia del usuario | Si es verdadero, requiere que el usuario proporcione Touch ID, Face ID o su código de acceso para acceder a la entrada del llavero. |
Monitizar el caché de credenciales |
Si es falso, se pide la credencial en el próximo desafío de Kerberos o cambio de estado de red. Si la credencial ha caducado o falta, se creará una nueva. Esta opción se puede aplicar a macOS 11 hasta la versión más reciente compatible con Ivanti Neurons for MDM. De forma predeterminada, esta opción está activada. |
Nombre del caché |
Introduzca el nombre del Servicio de Seguridad Genérico (GSS) de la caché de Kerberos a utilizar. Esta opción ahora está obsoleta. |
Mapeo de dominios |
Introduzca el nombre del dominio como la clave. El valor es un conjunto de sufijos del DNS que se mapean en el dominio. Haga clic en +Añadir para añadir uno o más pares clave-valor. |
Dominio por defecto |
Esta propiedad especifica el dominio por defecto si hay más de una configuración de extensión Kerberos. |
Usar la detección automática del sitio |
Si es falso, la extensión Kerberos no usa automáticamente LDAP y DNS para determinar el nombre del sitio AD. De forma predeterminada, esta opción está activada. |
Código del sitio |
Introduzca el nombre del sitio de Active Directory que debe utilizar la extensión Kerberos. |
Tiempo de replicación |
Introduzca el tiempo, en segundos, necesario para replicar los cambios en el dominio de Active Directory. La extensión Kerberos usará esto cuando compruebe la antigüedad de la contraseña después de un cambio. Esta opción se puede aplicar a macOS 11 hasta la versión más reciente compatible con Ivanti Neurons for MDM. Esta opción ahora está obsoleta. |
ACL del Id. del paquete de credenciales |
Haga clic en + Añadir para añadir una lista de identificaciones de paquetes permitidos para acceder al Ticket Granting Ticket (TGT) para la autenticación. |
Incluir las aplicaciones administradas en ACL del Id. del paquete |
Si es verdadero, la extensión Kerberos permitirá que solo las aplicaciones administradas accedan y utilicen la credencial. Esto es además del ACL del Id. del paquete de credenciales, si se especifica. Esta opción se puede aplicar a iOS 14 o versiones más recientes compatibles de Ivanti Neurons for MDM. |
Incluir las aplicaciones Kerberos en ACL del Id. del paquete |
Si es cierto, la extensión de Kerberos permite que las funciones estándar de Kerberos, incluida Ticket Viewe y klist, accedan al uso de la credencial. Disponible en macOS 12 y posterior. |
Etiqueta de nombre de usuario personalizada |
Introduzca la etiqueta del nombre de usuario personalizado que se usó en la extensión de Kerberos en lugar de "Username." Por ejemplo, "Id de empresa." Esta opción se puede aplicar a macOS 11 mediante la versión más reciente compatible con Ivanti Neurons for MDM. |
Texto de ayuda |
Introduzca el texto que se mostrará al usuario en la parte inferior de la ventana de inicio de sesión de Kerberos. Se puede utilizar para mostrar información de ayuda o un texto sobre la exención de responsabilidad. Esta opción se puede aplicar a iOS 14 y macOS 11 hasta la versión más reciente compatible con Ivanti Neurons for MDM. |
Modo de uso de la credencial |
Esta configuración afecta a cómo otros procesos utilizarán la credencial de la extensión Kerberos. Utilice una de las siguientes opciones:
(Opcional) Seleccione Requiere TLS para LDAP. |
Centro de distribución de claves preferido
|
Añadir centros de distribución de claves preferido. Hacer clic en +Añadir para agregar un KDC preferido. |
Permitir la reserva para la autenticación SSO de la plataforma: si es Cierto y si es Cierto Usar el TGT SSO de la plataforma, el usuario puede iniciar sesión manualmente. Disponible en macOS 13 y posterior |
|
LLevar a cabo solo Kerberos: si Cierto, la extensión de Kerberos maneja solo las solicitudes de Kerberos. Disponible en macOS 13 y posterior. |
|
Use el TGT de SSO de la plataforma: si Cierto, esta configuración usa un TGT del SSO de la plataforma en lugar de uno nuevo. Disponible en macOS 13 y posterior. |
|
Ajustes de la contraseña | |
Permitir el cambio de contraseña |
Si es falso, desactiva los cambios de contraseña. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM. De forma predeterminada, esta opción está activada. |
Cambiar la URL de la contraseña |
Introduzca la URL que se lanzará en el navegador web predeterminado del usuario cuando inicie un cambio de contraseña. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM. |
Permitir la complejidad de la contraseña |
Si es cierto, las contraseñas deben cumplir con la definición de Active Directory de "complex." Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM. |
Longitud mínima de la contraseña |
Introduzca la longitud mínima (en caracteres) de las contraseñas del dominio. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM. |
Notificación de caducidad de la contraseña |
Introduzca el número de días antes de que venza la contraseña, momento en que se enviará al usuario una notificación de caducidad de la misma. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM. El valor predeterminado es de 15 días. |
Anulación de caducidad de la contraseña |
Introduzca el número de días que las contraseñas se pueden usar en este dominio. Para la mayoría de los dominios, esto se puede calcular automáticamente. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM. (Esta opción ahora está obsoleta) |
Texto obligatorio de la contraseña |
Introduzca la versión de texto de los requisitos de contraseña del dominio. Solo para usarse si no se especifica pwReqComplexity o pwReqLength. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM. |
Recuento del historial de la contraseña |
Introduzca el número de contraseñas previas que no se pueden reutilizar en este dominio. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM. |
Antigüedad mínima de la contraseña |
Introduzca la antigüedad mínima (en días) de las contraseñas antes de que se puedan cambiar en este dominio. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM. |
Permitir la sincronización de la contraseña local |
Si es falso, desactiva la sincronización de la contraseña. Esto no funcionará si el usuario está conectado con una cuenta de móvil. Esta opción se puede aplicar a macOS 10.15 hasta la versión más reciente compatible con Ivanti Neurons for MDM. |
Para obtener más información, consulte Cómo crear una configuración