Hoofdstuk 4 Infrastructuur en integratie 39
In iOS 7 of hoger kunnen apps via Kerberos gebruikmaken van een bestaande infrastructuur voor
eenmalige aanmelding. Het Kerberos-systeem voor identiteitscontrole dat voor iOS 7 en hoger
wordt gebruikt, is wereldwijd de meest gebruikte technologie voor eenmalige aanmelding.
Als u werkt met Active Directory, eDirectory of Open Directory, is er waarschijnlijk al een
Kerberos-systeem beschikbaar dat door iOS 7 of hoger kan worden gebruikt. iOS-apparaten
moeten via een netwerkverbinding contact kunnen maken met de Kerberos-voorziening om
de identiteit van gebruikers te controleren. In iOS 8 kunnen certicaten worden gebruikt om
een Kerberos-ticket op de achtergrond te vernieuwen, zodat gebruikers verbindingen kunnen
opzetten met bepaalde voorzieningen die voor identiteitscontrole vertrouwen op Kerberos.
Ondersteunde apps
iOS biedt een exibele ondersteuning voor eenmalige aanmelding via Kerberos voor elke
app die de klasse 'NSURLConnection' of 'NSURLSession' gebruikt voor het beheer van
netwerkverbindingen en identiteitscontrole. Apple voorziet alle ontwikkelaars van deze
hoogwaardige frameworks om ervoor te zorgen dat netwerkverbindingen naadloos in hun apps
worden geïntegreerd. Apple levert ook Safari, als voorbeeld van een programma met native
gebruik van websites die eenmalige aanmelding ondersteunen.
Eenmalige aanmelding congureren
U congureert eenmalige aanmelding met behulp van conguratieproelen, die handmatig
kunnen worden geïnstalleerd of met een MDM-oplossing kunnen worden beheerd. De payload
voor eenmalige aanmelding maakt een exibele conguratie mogelijk. Eenmalige aanmelding
kan worden toegestaan voor alle apps, maar kan ook worden beperkt op basis van de app-ID,
de service-URL of beide.
Er wordt een eenvoudige patroonvergelijking gebruikt voor URL's die moeten beginnen met
"http://" of "https://". Aangezien de volledige URL's worden vergeleken, moet u ervoor zorgen
dat ze exact hetzelfde zijn. De waarde "https://www.example.com/" voor URLPrexMatches komt
bijvoorbeeld niet overeen met "https://www.example.com:443/". U kunt "http://" of "https://"
opgeven om het gebruik van eenmalige aanmelding te beperken tot reguliere of beveiligde
HTTP-diensten. Als u bijvoorbeeld de waarde "https://" gebruikt voor URLPrexMatches, kan de
account voor eenmalige aanmelding alleen worden gebruikt met beveiligde HTTPS-voorzieningen.
Als een URL-vergelijkingspatroon niet wordt afgesloten met een schuine streep (/), wordt er een
schuine streep (/) toegevoegd.
De AppIdentierMatches-matrix moet tekenreeksen bevatten die overeenkomen met app-
bundel-ID's. Deze tekenreeksen moeten volledig overeenkomen (bijvoorbeeld "com.mijnbedrijf.
mijnapp") of een voorvoegsel voor de bundel-ID bevatten in de vorm van het jokerteken (*).
Het jokerteken moet na een punt (.) komen en mag uitsluitend aan het eind van een tekenreeks
worden gebruikt (bijvoorbeeld "com.mijnbedrijf.*"). Als er een jokerteken wordt gebruikt, krijgt
elke app waarvan de bundel-ID met het voorvoegsel begint, toegang tot de gegevens van de
ingelogde gebruiker.
Virtual Private Networks (VPN)
Overzicht
Vanaf apparaten met iOS en OS X kunnen afgeschermde bedrijfsnetwerken via de gebruikelijke
VPN-protocollen veilig worden benaderd. Standaard bieden iOS en OS X ondersteuning voor
Cisco IPSec, L2TP over IPSec en PPTP. iOS ondersteunt bovendien IKEv2. Als uw organisatie een
van deze protocollen ondersteunt, hoeft u uw netwerk verder niet te congureren en hebt u
geen apps van andere leveranciers nodig om uw Apple apparaten te verbinden met uw VPN.
