Configuração do logon único
O Ivanti Neurons for MDM permite Logon único (SSO) extensível com as configurações SSO extensível e SSO extensível Kerberos. A implementação requer uma extensão de aplicativo (como Microsoft Authenticator) do provedor de identidade. Com uma implementação SSO extensível, os usuários precisam se autenticar apenas uma vez ao acessar os recursos corporativos. Os usuários não precisam de autenticação nos logins subsequentes. Para obter informações de configuração relativas ao provedor de identidade pretendido, consulte Configuração de provedor de identidade.
Esta seção contém os seguintes tópicos:
Configurações da conta de logon único
Aplicável a: iOS 7.0 até a versão mais recente compatível com o Ivanti Neurons for MDM.
Use as opções a seguir para configurar o SSO corporativo baseado em Kerberos para qualquer aplicativo gerenciado e para o navegador Apple Safari em dispositivos iOS.
Esta configuração requer Tunnel e Sentry. Para obter mais informações, consulte a seção "Configuração de logon único com Kerberos" no Guia do Tunnel para iOS.
Configuração |
Descrição |
---|---|
Nome |
Insira um nome que identifique essa configuração. |
Descrição |
Insira uma descrição que esclareça o propósito dessa configuração. |
Nome de usuário |
Insira o nome da entidade de segurança Kerberos. |
Nome do realm do Kerberos |
Insira no nome do realm Kerberos. |
Certificado |
Para iOS 8 com licença Gold: selecione o certificado a ser usado para renovar a credencial Kerberos. |
Associações dos prefixos da URL |
Lista de prefixos de URLs que devem corresponder para usar essa conta para autenticação Kerberos com HTTP. |
Apps permitidos para SSO |
Adicione apps do App Catalog para permiti-los para SSO. Por exemplo, digite "Safari" para adicionar o Apple Safari. Se nenhum aplicativo for permitido para SSO usando uma configuração desse tipo, todos os apps compatíveis com o SSO do iOS poderão usar o SSO, incluindo os apps iOS integrados. |
Configurações da conta de logon único extensível
Aplicável a:
-
iOS 13.0 até a versão mais recente com suporte do Ivanti Neurons for MDM.
-
macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM.
Use as opções a seguir para configurar o perfil de SSO extensível com o tipo de extensão genérica e habilitar o SSO para sites e aplicativos nativos com vários métodos de autenticação.
O SSO extensível não funciona quando a configuração é transferida no canal do usuário para dispositivos macOS 10.15.x.
Configuração |
Descrição |
---|---|
Nome |
Insira um nome que identifique essa configuração. |
Descrição |
Insira uma descrição que esclareça o propósito dessa configuração. |
Escolher o tipo de SSO |
Selecione um dos seguintes tipos de SSO:
|
Identificador de extensão |
Insira o identificador do pacote da extensão de aplicativo que executa SSO para os URLs especificados. |
Identificador de equipe |
O identificador de equipe da extensão de aplicativo. Essa chave é obrigatória no macOS e ignorada em outros locais. |
Dados personalizados |
Insira um ou mais dados personalizados como pares de chave-valor. |
Método de autenticação (Aplicável apenas a macOS 13+) |
|
Token de registro |
Insira o token. Este campo é habilitado quando você seleciona um dos Métodos de Autenticação. |
Configurações da conta Kerberos de logon único extensível
Aplicável a:
-
iOS 13.0 até a versão mais recente com suporte do Ivanti Neurons for MDM.
-
macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM.
Use as opções a seguir para configurar uma extensão de aplicativo que executa SSO com extensão Kerberos.
O SSO extensível Kerberos não funciona quando a configuração é transferida no canal do usuário para dispositivos macOS 10.15.x.
Configuração |
Descrição |
---|---|
Configurações básicas |
|
Nome |
Insira um nome que identifique essa configuração. |
Descrição |
Insira uma descrição que esclareça o propósito dessa configuração. |
Nome de usuário |
Insira o nome da entidade de segurança Kerberos. |
Realm |
Insira no nome do realm Kerberos. |
Certificado |
Selecione o certificado a ser usado para renovar a credencial Kerberos. |
Prefixos da URL |
Lista de prefixos de URLs que devem corresponder para usar essa conta para autenticação Kerberos com HTTP. |
Configurações avançadas |
|
Permitir login automático |
Se for falso, as senhas não podem ser salvas no chaveiro. Por padrão, essa opção está habilitada. |
Atrasar configuração do usuário |
Se for verdadeiro, não solicita que o usuário configure a extensão do Kerberos até que o administrador a habilite com a ferramenta app-sso ou quando for recebido um desafio do Kerberos. Esta opção é aplicável ao macOS 11 até a versão mais recente com suporte do Ivanti Neurons for MDM. |
Exigir presença do usuário | Se for verdadeiro, exige que o usuário entre com o Touch ID, Face ID ou a senha para acessar a entrada do chaveiro. |
Monitorar cache de credenciais |
Se for falso, a credencial é solicitada no próximo desafio do Kerberos correspondente ou na alteração de estado da rede. Se a credencial estiver vencida ou ausente, será criada uma nova. Esta opção é aplicável ao macOS 11 até a versão mais recente com suporte do Ivanti Neurons for MDM. Por padrão, essa opção está habilitada. |
Nome do cache |
Insira o nome do Serviço genérico de segurança (GSS) do cache Kerberos a ser usado. Esta opção foi preterida. |
Mapeamento do Realm de domínio |
Insira o nome do realm como chave. O valor é uma matriz de sufixos DNS que mapeiam para o realm. Clique em + Adicionar para adicionar um ou mais pares de chave-valor. |
Realm padrão |
Esta propriedade especifica o realm padrão se houver mais de uma configuração de extensão do Kerberos. |
Usar a descoberta automática de sites |
Se for falso, a extensão do Kerberos não usa o LDAP e o DNS automaticamente para determinar o nome de site do AD. Por padrão, essa opção está habilitada. |
Código de local |
Insira o nome do site do Active Directory que deve ser usado pela extensão do Kerberos. |
Tempo de replicação |
Insira o tempo, em segundos, necessário para replicar as alterações no domínio do Active Directory. A extensão do Kerberos usará isso ao verificar a idade da senha após uma alteração. Esta opção é aplicável ao macOS 11 até a versão mais recente com suporte do Ivanti Neurons for MDM. Esta opção foi preterida. |
ACL de ID de pacote de credenciais |
Clique em + Adicionar para adicionar uma lista de IDs de pacote autorizados a acessar o sistema Ticket Granting Ticket (TGT) para fins de autenticação. |
Inclui aplicativos gerenciados na ACL de ID do pacote |
Se for verdadeiro, a extensão do Kerberos permitirá que apenas aplicativos gerenciados acessem e usem a credencial. É um acréscimo à ACL de ID do pacote de credenciais, se especificada. Esta opção é aplicável ao iOS 14 ou a versões mais recentes com suporte do Ivanti Neurons for MDM. |
Inclui apps Kerberos na ACL de ID em pacote |
Se for verdadeiro, a extensão do Kerberos permitirá que os utilitários Kerberos padrão, incluindo Visualizador de tíquete e klist, acessem e usem a credencial. Disponível no macOS 12 e posterior. |
Rótulo de nome de usuário personalizado |
Digite o rótulo de nome de usuário personalizado usado na extensão Kerberos em vez de "Nome de usuário". Por exemplo, "ID da empresa". Essa opção é aplicável ao macOS 11 até a versão mais recente com suporte do Ivanti Neurons for MDM. |
Texto de ajuda |
Insira o texto a ser exibido para o usuário na parte inferior da janela de login do Kerberos. Pode ser usado para exibir informações de ajuda ou texto de isenção de responsabilidade. Esta opção é aplicável ao iOS 14 e macOS 11 até a versão mais recente com suporte do Ivanti Neurons for MDM. |
Modo de uso de credencial |
Essa configuração afeta a forma como a credencial da extensão do Kerberos é usada por outros processos. Selecione uma das opções a seguir:
(Opcional) Selecione Exigir TLS para LDAP. |
Centros de distribuição de chaves preferenciais
|
Adicionar Centros de distribuição de chaves preferenciais. Clique em +Adicionar para adicionar um KDC preferencial. |
Permitir fallback de autenticação SSO da plataforma - se Verdadeiro, e se Usar TGT SSO da Plataforma for verdadeiro, permite que o usuário faça login manualmente. Disponível em macOS 13 e posteriores |
|
Executar apenas Kerberos - se verdadeiro, a extensão Kerberos trata apenas de solicitações Kerberos. Disponível em macOS 13 e posteriores. |
|
Usar TGT SSO da plataforma - se verdadeiro, esta configuração usa um TGT de SSO da plataforma em vez de solicitar um novo. Disponível em macOS 13 e posteriores. |
|
Configurações da senha | |
Permitir alteração de senha |
Se for falso, desativa as alterações de senha. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. Por padrão, essa opção está habilitada. |
URL de alteração de senha |
Insira a URL a ser aberto no navegador da Web padrão do usuário quando o usuário iniciar uma alteração de senha. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. |
Permitir complexidade de senha |
Se verdadeiro, as senhas devem atender à definição de "complexa" do Active Directory. Essa opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. |
Comprimento mínimo da senha |
Informe a quantidade mínima de caracteres exigida para as senhas no domínio. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. |
Notificação de expiração de senha |
Insira o número de dias antes da expiração da senha em que uma notificação de expiração da senha será enviada ao usuário. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. O tempo padrão é 15 dias. |
Anular expiração de senha |
Informe o número de dias que as senhas podem ser usadas neste domínio. Para a maioria dos domínios, pode ser calculado automaticamente. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. (Esta opção agora está obsoleta) |
Texto de senha obrigatória |
Insira a versão em texto dos requisitos de senha do domínio. Para uso somente se pwReqComplexity ou pwReqLength não forem especificados. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. |
Contagem do histórico de senha |
Informe o número de senhas anteriores que não podem ser reutilizadas neste domínio. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. |
Idade mínima da senha |
Informe a idade mínima (em dias) que as senhas devem ter para que possam ser alteradas neste domínio. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. |
Permitir sincronização de senha local |
Se for falso, desativa a sincronização da senha. Esta ação não funcionará se o usuário estiver conectado com uma conta móvel. Esta opção é aplicável ao macOS 10.15 até a versão mais recente com suporte do Ivanti Neurons for MDM. |
Para obter mais informações, consulte Como criar uma configuração