Řízení přístupu k jednotlivým zdrojům v korporátním prostředí nikdy nepatřilo k jednoduchým úkolům. V prostředí, ve kterém dominuje historicky čistě Microsoft řešení, je možné dosáhnout uspokojujících výsledků, ovšem často složitou cestou. Ale v komplexním prostředí, kde se nachází nejen PC, ale také telefony, Macy a MacBooky, se tento úkol stává mnohem náročnějším.
Apple ve spolupráci s třetími stranami poskytujícími korporátní identitu (IdP) a MDM postupně vyvíjí ekosystém. V kombinaci s filozofií Zero Touch Deployment bude tento ekosystém brzy schopen poskytnout uživatelům korporací přívětivý uživatelský zážitek na všech zařízeních připojených do firemní sítě.
Cílem je plně pokrýt Trusted Access, což znamená automatizovat, předcházet hrozbám, zabezpečit endpointy, verifikovat identitu a řešit registraci zařízení a jejich opravy v rámci Zero Trust Access. nejvyšším cílem je zajistit, aby pouze autorizovaní uživatelé, na zabezpečených, schválených a registrovaných zařízeních měli přístup k citlivým datům.
Apple nabízí tři klíčové technologie ve spolupráci s MDM a IdP
Single Sign On Extension (dostupný od iOS/iPadOS 13.0+, MacOS 10.15+)
Tato technologie, ve spojení s aplikací IdP, umožňuje využití nativního rozhraní OS pro přihlášení v Safari i v aplikacích na všech platformách. Pro uživatele je možné využít FaceID a TouchID, což eliminuje nutnost pamatování hesel.
Platform Single Sign On (dostupný od MacOS 13+)
Nádstavba, která využívá ke svému chodu přechozí zmíněnou technologii. Stejně jako SSO Extension vyžaduje aktivní správu zařízení. Po správné konfiguraci umožňuje uživateli spojit lokální účet v MacOS s identitou a heslem v IdP Tenantu. Stejně jako u SSO Extension je pak možné využít pro přihlášení bez hesla TouchID a zaručit tak uživateli jednoduché využití korporátní identity pro přístup do zařízení. Výhodou je, že implementace počítá také s dvoufázovým ověřením (2FA), které je v případě potřeby vyvoláno IdP poskytovatelem při pokusu o přihlášení. Politiky 2FA a způsob přihlášení např. heslem nebo HW klíčem už je pak závislý na konkrétní IdP implementaci.
Enrollment Single Sign On (dostupný od iOS/iPadOS 16+)
Posledním dílem do této skládačky je Enrollement SSO, který stejně jako ostatní vyžaduje aktivní správu zařízeni. Přichází na pomoc hlavně pro BYOD zařízení, kdy během registrace zařízení automaticky nainstaluje do zařízení IdP end-point aplikaci bez nutnosti přihlášení s pomocí osobního Apple ID. Apple implementoval Enrollment SSO jako první krok v celém procesu registrace zařízení, čím zaručil možnost plného využití IdP v mobilních telefonech, stejně jako Platform SSO pro zařízení Mac. Po úspěšné registraci s IdP je díky SSO Extension možné přihlašování do korporátních aplikací s pomocí FaceID, tedy bez potřeby dalšího zadávání hesel uživatelem.
Shrnutí
Technologie od Apple v korporátním prostředí nabízí vysoký standard zabezpečení a uživatelské přívětivosti. V kombinaci s Zero Touch Deployment a MDM strategií můžete dosáhnout automatizované a hlavně bezpečné integrace nových zařízení.
Stále je však důležité mít na paměti, že tento systém je stále v rané fázi vývoje a je optimální pro spolupráci s MDM řešením Jamf. Ačkoliv je lákavé začlenit tyto nové funkce co nejrychleji, doporučuju nejdřív podrobné testování před jejich plným nasazením.
Pokud hledáte moderní řešení pro vaše firemní zařízení a máte zájem o spolupráci při testování, neváhejte nás kontaktovat.
Pro ty, kteří hledají další informace nebo pomoc s implementací, nabízíme komplexní podporu.