Für iOS, iPadOS und MacOS

Wie Apple Single Sign-On verbessert

29.06.2022
Von 
Der freie Autor Jonny Evans betreibt den Apple Holic-Blog auf der Website der Computerworld.
Zu den zahlreichen Ankündigungen auf der WWDC 2022 gehörten einige wichtige Änderungen an Apples Unterstützung für Single Sign-On (SSO). Das müssen Sie wissen, wenn die neuen Updates im Herbst erscheinen.
Mit "Sign in with Apple" will der Hersteller die Sicherheit und Usability seiner Geräte verbessern.
Mit "Sign in with Apple" will der Hersteller die Sicherheit und Usability seiner Geräte verbessern.
Foto: Apple

Apple hat die SSO-Unterstützung erstmals auf der WWDC 2019 mit "Sign in with Apple" eingeführt, dort wurden auch Erweiterungen für diese Art der Authentifizierung vorgestellt. Sign in with Apple ermöglichte es einem Benutzer, mit seiner Apple ID auf einen Dienst oder eine Website zuzugreifen, und bedeutete Unterstützung für Identitätsanbieter, die Verwendung von hochsicheren Token-basierten Signaturen und die Werkzeuge, die Dienstanbieter für die Implementierung dieser Systeme benötigten.

Seit Version 1 hat Apple hat sein Angebot kontinuierlich verbessert. Dennoch ist es in der Realität so, dass Anwendungen und Dienste für SSO ausgerüstet sein müssen. Ist dies nicht der Fall, müssen Authentifizierungsdienste von Drittanbietern wie Okta und anderen verwendet werden - oder man meldet sich einfach manuell an, um auf bestimmte Websites zuzugreifen.

Auf der WWDC 2022 hat Apple hat zwei wichtige Verbesserungen für SSO vorgestellt, nämlich:

  • SSO-Unterstützung für die Benutzerregistrierung für iOS 16 und iPadOS 16

  • Plattform-SSO-Unterstützung für macOS Ventura.

SSO-Unterstützung für die Benutzerregistrierung

Neu ist, dass Benutzer beim Enrollment eines iOS-Geräts jetzt eine mobile App von ihrem Identitätsanbieter (IdP) herunterladen können, um die Verwendung von SSO auf diesem Gerät zu ermöglichen. Das System erfordert außerdem eine verwaltete Apple ID, die mit Apple Business oder School Manager eingerichtet wurde, sowie die Verwendung eines MDM-Systems (Mobile Device Management), wie z. B. (das in Deutschland noch nicht verfügbare) Apple Business Essentials, Jamf oder Kandji, um nur drei zu nennen.

Apple hat außerdem die Möglichkeit geschaffen, mit dem Apple Configurator für das iPhone ab Herbst Macs, iPads und iPhones zum Apple Business Manager oder Apple School Manager hinzuzufügen. Gleichzeitig wird es künftig viel einfacher, persönliche Geräte beim MDM anzumelden.

Die einfachste Erklärung, wie Apples System funktioniert, ist, dass die IdP-App nach Abschluss der Registrierung auf dem Gerät aktiv bleibt, um die Authentifizierung von Anwendungen und Diensten zu vermitteln. Für den Endbenutzer bedeutet dies, dass er sich nach der Anmeldung bei seinem iPhone/iPad nicht mehr für die Nutzung anderer unterstützter Anwendungen und Dienste authentifizieren muss.

Plattform-SSO-Unterstützung für Macs

Für Macs bedeutet die zusätzliche Unterstützung von Platform SSO, dass Benutzer bei allen Anwendungen und Websites, die den IdP ihres Unternehmens nutzen, angemeldet werden, sobald sie ihren Mac bei der Anmeldung authentifizieren. Wenn sie ihren Computer verwenden, erfolgt die Authentifizierung auf der Grundlage der ersten Anmeldung, die ihrerseits vom IdP vermittelt und im Schlüsselbund gespeichert wurde. Für den Zugriff auf persönliche Websites, Anwendungen und Services benötigen die Mitarbeiter natürlich weiterhin ihre eigenen Logins.

Apple bezeichnet Platform SSO als einen Ersatz für Active Directory, allerdings ist es erforderlich, dass IdPs das Protokoll implementieren und dass die Anbieter von Device-Management-Lösungen ihre Profile aktualisieren, um es zu unterstützen.

Support für OAuth 2.0

Als weitere Neuerung unterstützt Apple jetzt auch die OAuth 2.0-Authentifizierung. Dies ist ein wichtiger Schritt für die beiden oben genannten Funktionen, da es die Unterstützung zusätzlicher Identity-Management-Anbieter ermöglicht. Der Apple Business Manager und der Apple School Manager unterstützen jetzt zudem die Zusammenführung von verwalteten Apple IDs mit Google Workspace und Microsoft Azure AD.

Das Passwort ist tot, es lebe das (starke) Passwort

Alle oben genannten SSO-Verbesserungen zielen darauf ab, die Reibungsverluste bei der Bereitstellung in Unternehmen zu verringern. Daneben konzentriert sich Apple aber auch darauf, insgesamt die Menge der Autorisierungen zu reduzieren - etwa durch Bemühungen, die CAPTCHA-Technologie durch eine nahtlose Autorisierung zu ersetzen, bei der die erste Geräteanmeldung als Vertrauensstandard verwendet wird.

Damit verlieren zwar Passwörter insgesamt an Bedeutung. Der primäre Passcode, den Sie und Ihre Mitarbeiter für den Zugriff auf Geräte verwenden, wird aber auf diese Weise - und durch SSO im Allgemeinen - viel, viel wichtiger. Denn wenn Ihr Hauptpasswort bei SSO 1,2,3,4 lautet, ist es wirklich kein großer Aufwand, Ihre vertraulichen Systeme zu knacken.

Dies legt nahe, dass Sie Ihren Mitarbeitern die Notwendigkeit starker Gerätepasswörter (und biometrischer Autorisierung) erklären sollten, bevor Apple seine neuen Systeme im Laufe dieses Jahres ausliefert.

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation Computerworld.