Configuración del inicio de sesión único de Kerberos

La carga útil «App Extension Single Sign-on (SSO)» (Inicio de sesión único [SSO] de extensión de app) te permite usar el inicio de sesión único (SSO) de Kerberos con los dispositivos Apple de tu centro. La extensión SSO de Kerberos simplifica el proceso de obtención de un ticket de otorgamiento de tickets (TGT) del dominio de Active Directory de tu organización, lo que permite a los usuarios autenticarse sin ningún problema en recursos como sitios web, apps y servidores de archivos. La extensión SSO de Kerberos también ayuda a tus usuarios a gestionar sus cuentas de Active Directory. En macOS, permite a los usuarios cambiar sus contraseñas de Active Directory y les notifica cuando una contraseña está a punto de caducar. Además, los usuarios pueden cambiar sus contraseñas de cuenta locales para que coincidan con sus contraseñas de Active Directory.

Requisitos

Para usar Kerberos para SSO, necesitas:

  • Ordenadores con macOS 10.15 o posterior y MDM aprobado por el usuario

  • Dispositivos móviles con iOS 13 o posterior o iPadOS 13 o posterior

  • Un dominio de Active Directory con Windows Server 2008 o posterior (si quieres más información sobre cómo enlazar ordenadores con un dominio de Active Directory, consulta Enlace a Open Directory)

    Nota:

    La extensión SSO de Kerberos no debe utilizarse con Azure Active Directory. Requiere un dominio de Active Directory local estándar.

  • Accede a la red en la que se aloja el dominio de Active Directory. Este acceso a la red puede hacerse por Wi-Fi, Ethernet o VPN.

  1. En Jamf School, accede a Perfiles en la barra lateral.
  2. Haz clic en + Crear perfil.
  3. Selecciona el sistema operativo para el que estás creando el perfil o selecciona Cargar perfil personalizado.
  4. Selecciona el tipo de inscripción para el que estás creando el perfil.
  5. Introduce un nombre en el campo Nombre del perfil y configura los ajustes adicionales.
  6. Haz clic en Finalizar.
  7. Haz clic en el perfil que quieres configurar.
  8. Usa la carga útil Ámbito para configurar el ámbito del perfil haciendo clic en el icono + y añadiendo grupos de dispositivos al ámbito del perfil. Si quieres más información, consulta Grupos de dispositivos.
  9. Haz clic en el icono Ajustes, y haz una de las siguientes acciones:
    • Para instalar el perfil en dispositivos automáticamente, elige Cambiar a instalación automática para todos los grupos.

    • Para permitir que los usuarios instalen el perfil por su cuenta en las apps Jamf Teacher o Jamf School Student, selecciona Cambiar a instalación bajo demanda para todos los grupos.

  10. Usa la carga útil SSO de extensión de app para configurar los siguientes ajustes:
    1. Elige Kerberos (Credential) en el menú desplegable Tipo de inicio de sesión.
    2. En el campo Reino, introduce el nombre de tu dominio de Active Directory en mayúsculas.
      Nota:

      No uses el nombre de tu bosque de Active Directory, salvo que las cuentas de usuario residan a nivel de bosque.

    3. En Dominios, haz clic en + y añade dominios para los recursos que usen Kerberos. Por ejemplo, si usas la autenticación Kerberos con recursos en us.ejemplo.com, añade «.us.ejemplo.com».
      Nota:

      Asegúrate de añadir el punto inicial.

    4. Para almacenar la contraseña de usuario en el llavero, selecciona la casilla Permitir inicio de sesión automático.
    5. Para abrir un sitio web de cambio de contraseña en el navegador por omisión cuando el usuario selecciona Cambiar contraseña o recibe un aviso de caducidad de contraseña, selecciona la casilla Permitir cambiar contraseña.
    6. Para requerir que los usuarios utilicen Face ID, Touch ID o código, selecciona la casilla Requerir la presencia del usuario.
    7. Para permitir que la extensión determine automáticamente tu sitio de Active Directory, selecciona la casilla Usar detección automática de sitio.
    8. Para permitir que la extensión use una caché específica de API de servicios de seguridad genéricos (API GSS), introduce el nombre de GSS de la caché de Kerberos en el campo Nombre de caché.
    9. En ID de paquete de credenciales, haz clic en + y añade una lista de identificadores de paquete con permiso para acceder al TGT.
    10. Haz clic en + Añadir una asociación de reino de dominio para Una asociación de dominio-reino personalizada para Kerberos. Se usa cuando el nombre del sistema de nombres de dominio (DNS) de los hosts no coincide con el nombre del reino.
    11. Introduce el nombre principal en el campo Nombre principal.
    12. (Solo en macOS) Para especificar el número de días que se pueden usar las contraseñas en este dominio antes de que caduquen, selecciona la casilla Reemplazar caducidad de contraseña por omisión.
    13. (Solo en iOS) Para permitir que las aplicaciones gestionadas accedan y usan el ID de paquete de credenciales, selecciona la casilla Apps gestionadas en paquete.
    14. Introduce el nombre del sitio de Active Directory que debe usar la extensión de Kerberos en el campo Código de sitio.
  11. Haz clic en Guardar.

Una vez que el perfil «App Extension SSO» (SSO de extensión de app) está instalado en los dispositivos móviles del ámbito y el usuario conecta su dispositivo a una red donde el dominio de Active Directory de la organización está disponible, el usuario puede autenticarse usando sus credenciales de Active Directory o Kerberos. Una vez que los ordenadores del ámbito están conectados a una red donde tu dominio de Active Directory está disponible, se pide a los usuarios que se autentiquen inmediatamente después de instalar el perfil «App Extension SSO».