Kapitel 4 Infrastruktur und Integration 39
Bei iOS 7 oder neuer können Apps die vorhandene interne Infrastruktur für die
Gesamtauthentizierung über Kerberos nutzen. Das von iOS 7 oder neuer verwendete Kerberos-
Authentizierungssystem ist ein Standardsystem und die am häugsten implementierte
Technologie für die Gesamtauthentizierung weltweit. Wenn Active Directory, eDirectory oder
Open Directory verwendet werden, ist sehr wahrscheinlich ein Kerberos-System installiert,
das iOS 7 oder neuer nutzen kann. iOS-Geräte müssen den Kerberos-Dienst zur Authentizierung
von Benutzern über eine Netzwerkverbindung ansprechen können. Bei iOS 8 können Zertikate
verwendet werden, um ein Kerberos-Ticket unbeaufsichtigt zu erneuern, sodass die Benutzer
Verbindungen zu bestimmten Diensten aufrecht erhalten können, die Kerberos zur
Authentizierung nutzen.
Unterstützte Apps
iOS bietet exible Unterstützung für die Kerberos-Gesamtauthentizierung. Dies gilt für jede App,
die die Klasse „NSURLConnection“ bzw. „NSURLSession“ für die Verwaltung von Netzwerkverbindungen
und die Authentizierung verwendet. Apple stellt allen Entwicklern diese übergeordneten
Frameworks zur Verfügung, damit sie Netzwerkverbindungen transparent in ihre Apps integ-
rieren können. Apple stellt auch Safari als ein Beispiel für und als Einstieg in die native Nutzung
SSO-fähiger Websites zur Verfügung.
Kongurieren der Gesamtauthentizierung
Sie können die Gesamtauthentizierung mithilfe von Kongurationsprolen kongurieren,
die entweder manuell installiert oder mit MDM verwaltet werden. Die Payload für die
Gesamtauthentizierung ermöglicht eine exible Konguration. Die Gesamtauthentizierung
kann für alle Apps genutzt werden oder alternativ nach App-Kennung und/oder Dienst-URL
eingeschränkt werden.
Für URLs wird ein einfaches Abgleichmuster verwendet, das mit „http://“ oder „https://“ beginnen muss.
Der Abgleich erfolgt anhand der gesamten URL, weshalb darauf geachtet werden muss, dass die
Angaben identisch sind. Beispiel: Der URLPrexMatches-Wert „https://www.example.com/“ stimmt
nicht mit „https://www.example.com:443“ überein. Sie können „http://“ oder „https://“ angeben,
um die Nutzung von SSO auf sichere oder auf normale HTTP Dienste zu beschränken. Beispiel:
Wird der URLPrexMatches-Wert „https://“ angegeben, darf der SSO-Account nur für sichere
HTTPS-Dienste verwendet werden. Endet das URL-Abgleichmuster nicht mit einem Schrägstrich (/),
wird ein Schrägstrich angehängt.
Das AppIdentierMatches-Array muss Strings enthalten, die mit App-Bunde-IDs übereinstimmen.
Diese Strings können exakte Übereinstimmungen sein (z. B. com.meinerma.meineapp). Es kann
aber auch ein Platzhalterzeichen (*) für den Abgleich mit der Bundle-ID angegeben werden. Das
Platzhalterzeichen muss nach dem Punkt (.) und darf nur am Ende der Zeichenfolge stehen
(z. B. com.meinerma.*). Wird ein Platzhalterzeichen angegeben, erhält jede App, deren
Bundle-ID mit dem Präx beginnt, Zugri auf den Account.
Virtuelle private Netzwerke (VPN)
Überblick
Der sichere Zugri auf private Unternehmensnetzwerke wird unter iOS und OS X mithilfe
standardkonformer VPN-Protokolle sichergestellt. iOS und OS X unterstützen ab Werk Cisco IPSec,
L2TP über IPSec und PPTP. iOS unterstützt außerdem IKEv2. Wenn Ihre Organisation eines dieser
Protokolle unterstützt, sind keine zusätzlichen Netzwerkkongurationen oder Apps anderer
Anbieter erforderlich, um Apple-Geräte mit einem VPN zu verbinden.
