Configuração do logon único

O Ivanti Neurons for MDM permite Logon único (SSO) extensível com as configurações SSO extensível e SSO extensível Kerberos. A implementação requer uma extensão de aplicativo (como Microsoft Authenticator) do provedor de identidade. Com uma implementação SSO extensível, os usuários precisam se autenticar apenas uma vez ao acessar os recursos corporativos. Os usuários não precisam de autenticação nos logins subsequentes. Para obter informações de configuração relativas ao provedor de identidade pretendido, consulte Configuração de provedor de identidade.

Esta seção contém os seguintes tópicos:

Configurações da conta de logon único
Configurações da conta de logon único extensível
Configurações da conta Kerberos de logon único extensível

Configurações da conta de logon único

Aplicável a: iOS 7.0 até a versão mais recente compatível com o Ivanti Neurons for MDM.

Use as opções a seguir para configurar o SSO corporativo baseado em Kerberos para qualquer aplicativo gerenciado e para o navegador Apple Safari em dispositivos iOS.

Esta configuração requer Tunnel e Sentry. Para obter mais informações, consulte a seção "Configuração de logon único com Kerberos" no Guia do Tunnel para iOS.

Configuração	Descrição
Nome	Insira um nome que identifique essa configuração.
Descrição	Insira uma descrição que esclareça o propósito dessa configuração.
Nome de usuário	Insira o nome da entidade de segurança Kerberos.
Nome do realm do Kerberos	Insira no nome do realm Kerberos.
Certificado	Para iOS 8 com licença Gold: selecione o certificado a ser usado para renovar a credencial Kerberos.
Associações dos prefixos da URL	Lista de prefixos de URLs que devem corresponder para usar essa conta para autenticação Kerberos com HTTP.
Apps permitidos para SSO	Adicione apps do App Catalog para permiti-los para SSO. Por exemplo, digite "Safari" para adicionar o Apple Safari. Se nenhum aplicativo for permitido para SSO usando uma configuração desse tipo, todos os apps compatíveis com o SSO do iOS poderão usar o SSO, incluindo os apps iOS integrados.

Configurações da conta de logon único extensível

Aplicável a:

iOS 13.0 até a versão mais recente com suporte do Ivanti Neurons for MDM.
macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM.

Use as opções a seguir para configurar o perfil de SSO extensível com o tipo de extensão genérica e habilitar o SSO para sites e aplicativos nativos com vários métodos de autenticação.

O SSO extensível não funciona quando a configuração é transferida no canal do usuário para dispositivos macOS 10.15.x.

Configuração	Descrição
Nome	Insira um nome que identifique essa configuração.
Descrição	Insira uma descrição que esclareça o propósito dessa configuração.
Escolher o tipo de SSO	Selecione um dos seguintes tipos de SSO: Credenciais Insira um ou mais nomes de Host e nomes de domínio que possam ser autenticados pela extensão de aplicativo. A correspondência de nomes de host ou de domínio não diferencia letras maiúsculas de minúsculas, e todos os nomes de host/domínio de todos os conteúdos de SSO extensível instalados devem ser exclusivos. Hosts que começam com "." são sufixos curinga e corresponderão a todos os subdomínios, caso contrário, o host deve ser uma correspondência exata. Insira o nome do Realm. Esse valor deve ter a capitalização correta. Redirecionar Informe um ou mais prefixos de URL de provedores de identidade em que a extensão de aplicativo executa SSO. Os URLs devem começar com http:// ou https://, a correspondência de esquema e nome do host não diferencia letras maiúsculas de minúsculas, não são permitidos parâmetros de consulta e fragmentos de URL, e os URLs de todos os conteúdos de SSO extensível instalados devem ser exclusivos.
Identificador de extensão	Insira o identificador do pacote da extensão de aplicativo que executa SSO para os URLs especificados.
Identificador de equipe	O identificador de equipe da extensão de aplicativo. Essa chave é obrigatória no macOS e ignorada em outros locais.
Dados personalizados	Insira um ou mais dados personalizados como pares de chave-valor.
Método de autenticação (Aplicável apenas a macOS 13+)	Senha Chave de enclave segura do usuário
Token de registro	Insira o token. Este campo é habilitado quando você seleciona um dos Métodos de Autenticação.

Configurações da conta Kerberos de logon único extensível

Aplicável a:

iOS 13.0 até a versão mais recente com suporte do Ivanti Neurons for MDM.
macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM.

Use as opções a seguir para configurar uma extensão de aplicativo que executa SSO com extensão Kerberos.

O SSO extensível Kerberos não funciona quando a configuração é transferida no canal do usuário para dispositivos macOS 10.15.x.

Configuração	Descrição
Configurações básicas
Nome	Insira um nome que identifique essa configuração.
Descrição	Insira uma descrição que esclareça o propósito dessa configuração.
Nome de usuário	Insira o nome da entidade de segurança Kerberos.
Realm	Insira no nome do realm Kerberos.
Certificado	Selecione o certificado a ser usado para renovar a credencial Kerberos.
Prefixos da URL	Lista de prefixos de URLs que devem corresponder para usar essa conta para autenticação Kerberos com HTTP.
Configurações avançadas
Permitir login automático	Se for falso, as senhas não podem ser salvas no chaveiro. Por padrão, essa opção está habilitada.
Atrasar configuração do usuário	Se for verdadeiro, não solicita que o usuário configure a extensão do Kerberos até que o administrador a habilite com a ferramenta app-sso ou quando for recebido um desafio do Kerberos. Esta opção é aplicável ao macOS 11 até a versão mais recente com suporte do Ivanti Neurons for MDM.
Exigir presença do usuário	Se for verdadeiro, exige que o usuário entre com o Touch ID, Face ID ou a senha para acessar a entrada do chaveiro.
Monitorar cache de credenciais	Se for falso, a credencial é solicitada no próximo desafio do Kerberos correspondente ou na alteração de estado da rede. Se a credencial estiver vencida ou ausente, será criada uma nova. Esta opção é aplicável ao macOS 11 até a versão mais recente com suporte do Ivanti Neurons for MDM. Por padrão, essa opção está habilitada.
Nome do cache	Insira o nome do Serviço genérico de segurança (GSS) do cache Kerberos a ser usado. Esta opção foi preterida.
Mapeamento do Realm de domínio	Insira o nome do realm como chave. O valor é uma matriz de sufixos DNS que mapeiam para o realm. Clique em + Adicionar para adicionar um ou mais pares de chave-valor.
Realm padrão	Esta propriedade especifica o realm padrão se houver mais de uma configuração de extensão do Kerberos.
Usar a descoberta automática de sites	Se for falso, a extensão do Kerberos não usa o LDAP e o DNS automaticamente para determinar o nome de site do AD. Por padrão, essa opção está habilitada.
Código de local	Insira o nome do site do Active Directory que deve ser usado pela extensão do Kerberos.
Tempo de replicação	Insira o tempo, em segundos, necessário para replicar as alterações no domínio do Active Directory. A extensão do Kerberos usará isso ao verificar a idade da senha após uma alteração. Esta opção é aplicável ao macOS 11 até a versão mais recente com suporte do Ivanti Neurons for MDM. Esta opção foi preterida.
ACL de ID de pacote de credenciais	Clique em + Adicionar para adicionar uma lista de IDs de pacote autorizados a acessar o sistema Ticket Granting Ticket (TGT) para fins de autenticação.
Inclui aplicativos gerenciados na ACL de ID do pacote	Se for verdadeiro, a extensão do Kerberos permitirá que apenas aplicativos gerenciados acessem e usem a credencial. É um acréscimo à ACL de ID do pacote de credenciais, se especificada. Esta opção é aplicável ao iOS 14 ou a versões mais recentes com suporte do Ivanti Neurons for MDM.
Inclui apps Kerberos na ACL de ID em pacote	Se for verdadeiro, a extensão do Kerberos permitirá que os utilitários Kerberos padrão, incluindo Visualizador de tíquete e klist, acessem e usem a credencial. Disponível no macOS 12 e posterior.
Rótulo de nome de usuário personalizado	Digite o rótulo de nome de usuário personalizado usado na extensão Kerberos em vez de "Nome de usuário". Por exemplo, "ID da empresa". Essa opção é aplicável ao macOS 11 até a versão mais recente com suporte do Ivanti Neurons for MDM.
Texto de ajuda	Insira o texto a ser exibido para o usuário na parte inferior da janela de login do Kerberos. Pode ser usado para exibir informações de ajuda ou texto de isenção de responsabilidade. Esta opção é aplicável ao iOS 14 e macOS 11 até a versão mais recente com suporte do Ivanti Neurons for MDM.
Modo de uso de credencial	Essa configuração afeta a forma como a credencial da extensão do Kerberos é usada por outros processos. Selecione uma das opções a seguir: Sempre (padrão) – a credencial da extensão sempre será usada se o nome principal do serviço (SPN) corresponder à matriz de Hosts de extensão do Kerberos. A credencial não será usada se o aplicativo chamador não estiver em credentialBundleIDACL. Quando não especificada – A credencial só será usada se não houver outra credencial especificada pelo chamador, e se o SPN corresponder à matriz de Hosts de extensão do Kerberos. A credencial não será usada se o aplicativo chamador não estiver em credentialBundleIDACL. Padrão Kerberos – São seguidos os processos padrão do Kerberos para a seleção de credenciais, que geralmente utilizam a credencial padrão do Kerberos. Isso equivale a desativar esse recurso. (Opcional) Selecione Exigir TLS para LDAP.
Centros de distribuição de chaves preferenciais	Adicionar Centros de distribuição de chaves preferenciais. Clique em +Adicionar para adicionar um KDC preferencial.
	Permitir fallback de autenticação SSO da plataforma - se Verdadeiro, e se Usar TGT SSO da Plataforma for verdadeiro, permite que o usuário faça login manualmente. Disponível em macOS 13 e posteriores
	Executar apenas Kerberos - se verdadeiro, a extensão Kerberos trata apenas de solicitações Kerberos. Disponível em macOS 13 e posteriores.
	Usar TGT SSO da plataforma - se verdadeiro, esta configuração usa um TGT de SSO da plataforma em vez de solicitar um novo. Disponível em macOS 13 e posteriores.
Configurações da senha
Permitir alteração de senha	Se for falso, desativa as alterações de senha. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. Por padrão, essa opção está habilitada.
URL de alteração de senha	Insira a URL a ser aberto no navegador da Web padrão do usuário quando o usuário iniciar uma alteração de senha. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM.
Permitir complexidade de senha	Se verdadeiro, as senhas devem atender à definição de "complexa" do Active Directory. Essa opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM.
Comprimento mínimo da senha	Informe a quantidade mínima de caracteres exigida para as senhas no domínio. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM.
Notificação de expiração de senha	Insira o número de dias antes da expiração da senha em que uma notificação de expiração da senha será enviada ao usuário. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. O tempo padrão é 15 dias.
Anular expiração de senha	Informe o número de dias que as senhas podem ser usadas neste domínio. Para a maioria dos domínios, pode ser calculado automaticamente. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. (Esta opção agora está obsoleta)
Texto de senha obrigatória	Insira a versão em texto dos requisitos de senha do domínio. Para uso somente se pwReqComplexity ou pwReqLength não forem especificados. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM.
Contagem do histórico de senha	Informe o número de senhas anteriores que não podem ser reutilizadas neste domínio. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM.
Idade mínima da senha	Informe a idade mínima (em dias) que as senhas devem ter para que possam ser alteradas neste domínio. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM.
Permitir sincronização de senha local	Se for falso, desativa a sincronização da senha. Esta ação não funcionará se o usuário estiver conectado com uma conta móvel. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM.

Para obter mais informações, consulte Como criar uma configuração