|
|
组织正迅速成为移动化的先行者,移动设备现在是企业生产力的主要来源,而随之而来的是不断登录各种应用和(或)Web服务的麻烦,此外,还存在以下缺点:
首先,每个用户都需要记住按照组织的安全标准创建的密码,但是,我们所有人都会在某个时刻忘记了密码,主要是因为为了安全性合规,它被设计得很复杂。此外,员工被要求定期更改密码,这使得记忆起来更困难了。
另一个缺点是员工的密码疲劳,即需要记住多个用户名/密码组合才能访问不同的服务。
这是前两个缺点的结果,IT管理员经常被要求重置密码的工单淹没。
用户每次都必须重新输入密码,即使访问同一服务也是如此。
单点登录(Single Sign-On,SSO),顾名思义,只要求用户输入一次凭证,然后用户就可以继续访问所有必需的Web服务和(或)应用,而无需重复登录。当用户第一次提供他们的凭证时,他们就授予了一张“票据”,而正是“票据”使得用户无需登录即可访问其他web服务/应用。票据是根据用户凭证生成的,只要票据有效,用户无需登录即可继续访问Web服务/应用。此外,由于票据是用于授予访问权限的,因而它可确保密码不会通过网络(互联网)传输。
MDM利用Kerberos,一种用于单点登录(SSO)的网络身份验证协议。Kerberos是最常用的SSO技术,它使用数据加密标准(DES)来加密用户凭证。使用目录服务(如活动目录等)的组织通常已经建立了Kerberos系统。SSO还具有以下优点:
此外,您可以使用基于证书的身份验证(CBA)来确保用户甚至一次都不需要登录,从而有效实现“无登录”或“零登录”方法。MDM支持使用简单注册证书协议(SCEP)的基于证书的身份验证。运行iOS 7.0或更高版本的设备支持企业单点登录(SSO)。
配置文件说明 |
描述 |
|---|---|
账户显示名称 |
SSO的引用名称。 |
Kerberos主体名称 |
用于标识用户和(或)服务的唯一规范。它的格式为primary/instance@realm。此处的Primary通常指用户名;instance是用于限定Primary的可选参数,对于用户,它通常为null;realm是Kerberos域,例如:Arsene/admin@ZYLKER.COM。 |
Kerberos域 |
Kerberos数据库(用户凭证)的存储库。它通常是您的DNS域名,但完全大写。例如,如果您的域为zylker.com,则您的Kerberos域为ZYLKER.COM。 |
身份证书 |
用于基于证书的身份验证(CBA)的证书。指定通过SCEP添加的证书。 |
允许单点登录的应用 |
可以利用SSO的应用。您可以选择设备和(或)应用库中的任何应用。 |
允许的URL |
可以利用SSO的Web服务的URL。将Web服务的HTTP和HTTPS版本提供为单独的URLs。仅运行iOS 9.0或更高版本的设备才支持URL中的通配符。 |
 |
如果https://www.zylker.com为URL,确保SSO可用于https://www.zylker.com/new/signup,但不用于http://www.zylker.com或http://www.zylker.com:3618。同样,https://*.zylker.com确保SSO甚至可用于https://sub-domain.zylker.com。
|