Tra una serie di annunci al WWDC di quest'anno c'erano cambiamenti significativi al supporto di Apple per il single sign-on (SSO). Ecco cosa accadrà quando i nuovi aggiornamenti verranno pubblicati questo autunno.
Accesso singolo + BYOD = iOS 16, iPadOS 16
Apple ha introdotto per la prima volta il supporto SSO al WWDC 2019 con Accedi con Apple, che ha visto anche l'introduzione di estensioni per abilitare questo tipo di autenticazione. Consentiva a un utente di accedere a un servizio o a un sito Web utilizzando il proprio ID Apple e significava supporto per i provider di identità, l'uso di firme basate su token altamente sicure e i fornitori di servizi degli strumenti necessari per implementare questi sistemi.
Era la v.1 e da allora Apple ha migliorato le sue offerte. Tuttavia, la realtà è che poiché app e servizi devono essere attrezzati per accettare SSO, a volte è necessario utilizzare servizi di autenticazione di terze parti come Okta e altri, o semplicemente accedere manualmente per ottenere l'accesso ad alcuni siti.
Apple al WWDC 2022 ha aggiornato il Single Sign-On con due miglioramenti chiave:
- Supporto SSO per la registrazione degli utenti in iOS 16 e iPadOS 16.
- Supporto SSO della piattaforma per macOS Ventura.
Novità del supporto Single Sign-On per la registrazione degli utenti
Ciò che è cambiato è che quando si registra un dispositivo iOS, gli utenti possono ora scaricare un'app mobile dal proprio provider di identità (IdP) per abilitare l'uso del single sign-on su questa unità. Questo sistema richiede anche un ID Apple amministrativo configurato con Apple Business o School Manager e l'uso di qualsiasi sistema di amministrazione di dispositivi mobili (MDM), come Apple Business Essentials, Jamf o Kandji, per evitare molti utenti solitari.
Apple ha anche reso possibile utilizzare il configuratore Apple per iPhone per aggiungere Mac, iPad e iPhone ad Apple Business o School Manager a partire da questo autunno. L'azienda ha anche semplificato la registrazione dei dispositivi personali in MDM.
La spiegazione più semplice di come funziona il sistema di Apple è che una volta completata la registrazione, l'applicazione IdP rimane attiva sul dispositivo per mediare le autenticazioni di applicazioni e servizi. Per un utente finale, l'esperienza è che una volta effettuato l'accesso al tuo iPhone/iPad, non dovresti aver bisogno di autenticarti utilizzando altre app e servizi supportati.
Che cos'è il supporto Platform SSO per Mac?
Per il Mac, l'ajout de la prise en charge de la plate-forme SSO significa che gli utenti saranno connessi a tutte le applicazioni e siti Web che utilizzano l'IdP dell'azienda une fois qu'ils auront authenticfié leur Mac lors de la connessione. Poiché utilizzano il tuo computer, l'autenticazione avverrà sulla base del primo accesso, che a sua volta è stato mediato dall'IdP e archiviato nel portachiavi, il che significa che tutto avviene dietro le quinte, soggetto alla politica di autenticazione adottata.
(I dipendenti avranno comunque bisogno delle proprie credenziali per accedere a siti, app e servizi personali, ovviamente.)
Apple chiama Platform SSO un sostituto di Active Directory, ma richiede agli IdP di implementare il protocollo e ai fornitori di gestione dei dispositivi di aggiornare i propri profili per supportarlo.
Apple ora supporta anche l'autenticazione OAuth 2.0. Questo è un passaggio importante per le due funzionalità precedenti in quanto abilita il supporto per ulteriori sistemi di provisioning delle identità da servizi di terze parti. Apple Business Manager e Apple School Manager ora supportano la federazione degli ID Apple gestiti con Google Workspace e Microsoft Azure AD.
La password è morta, quindi usa password complesse
Mentre tutti i suddetti miglioramenti SSO mirano ad alleviare l'attrito per le distribuzioni aziendali, Apple si concentra anche sulla riduzione della necessità di autorizzazione in modo più pluralistico. Il loro lavoro per sostituire la tecnologia CAPTCHA con un'autorizzazione trasparente che utilizza anche quella prima connessione al dispositivo come standard di fiducia significa che le password non avranno più importanza. Ironia della sorte, questo lavoro, e SSO in generale, significa anche che il passcode principale che tu e i tuoi dipendenti utilizzate per accedere ai dispositivi è diventato molto, molto più importante. Hai davvero bisogno che sia forte...
Dopotutto, con SSO, se la tua password principale è 1, 2, 3, 4, non ci vorrà molto per entrare nei tuoi sistemi sensibili. Piuttosto, suggerisce che dovresti spiegare la necessità di password per dispositivi forti (e autorizzazione biometrica) ai tuoi dipendenti prima che Apple spedisca i suoi nuovi sistemi entro la fine dell'anno.
Seguimi su Twitter o unisciti a me al bar & grill di AppleHolic e ai gruppi di discussione Apple su MeWe.
Copyright © 2022 IDG Communications, Inc.