Bagikan melalui

Mengaktifkan SSO Kerberos untuk Active Directory lokal dan sumber daya Microsoft Entra ID Kerberos di Platform SSO

Pengguna Mac dapat menggabungkan perangkat baru mereka ke ID Microsoft Entra selama pengalaman out-of-box pertama (OOBE). Akses menyeluruh (PSSO) Platform macOS adalah kemampuan di macOS yang diaktifkan menggunakan Ekstensi Akses Menyeluruh Microsoft Enterprise. PSSO memungkinkan pengguna untuk masuk ke perangkat Mac menggunakan kunci yang terikat perangkat keras, kartu pintar, atau kata sandi ID Microsoft Entra mereka.

Tutorial ini menunjukkan kepada Anda cara mengonfigurasi SSO Platform untuk mendukung SSO berbasis Kerberos ke sumber daya lokal dan cloud, selain SSO ke MICROSOFT Entra ID. SSO Kerberos adalah kemampuan opsional dalam SSO Platform, tetapi disarankan jika pengguna masih perlu mengakses sumber daya Active Directory lokal yang menggunakan Kerberos untuk autentikasi.

Prasyarat

  • Versi minimum macOS 14.6 Sonoma.
  • Portal Perusahaan Microsoft Intune versi 5.2408.0 atau yang lebih baru
  • Perangkat Mac yang terdaftar dalam manajemen perangkat seluler (MDM).
  • Payload MDM ekstensi SSO yang dikonfigurasi dengan pengaturan SSO Platform oleh administrator, sudah disebarkan ke perangkat. Lihat dokumentasi SSO Platform atau panduan penyebaran Intune jika Intune adalah MDM Anda.
  • Sebarkan Microsoft Entra Kerberos, yang diperlukan untuk beberapa kemampuan Kerberos di Active Directory lokal. Untuk informasi selengkapnya, lihat panduan penyebaran kepercayaan Cloud Kerberos untuk Windows Hello for Business atau lihat langsung ke instruksi konfigurasi kepercayaan Cloud Kerberos untuk memulai penyiapan. Jika Anda telah menyebarkan Windows Hello untuk Bisnis dengan kepercayaan Cloud Kerberos atau masuk kunci keamanan tanpa kata sandi untuk Windows, maka langkah ini telah selesai.

Menyiapkan perangkat macOS Anda

Lihat dokumentasi Microsoft Entra ID macOS Platform SSO untuk konfigurasi dan penyebaran SSO di Platform. SSO platform harus disebarkan di Mac yang dikelola Perusahaan terlepas dari apakah Anda memilih untuk menyebarkan SSO Kerberos menggunakan panduan ini.

Konfigurasi profil MDM SSO Kerberos untuk Active Directory lokal

Anda harus mengonfigurasi profil MDM SSO Kerberos terpisah jika Anda berencana menggunakan Microsoft Entra ID Cloud Kerberos dan realm Active Directory lokal. Disarankan untuk menyebarkan profil Active Directory lokal sebelum profil Microsoft Entra ID Cloud Kerberos.

Gunakan pengaturan berikut untuk mengonfigurasi profil Active Directory lokal, memastikan bahwa Anda mengganti semua referensi ke contoso.com dan Contoso dengan nilai yang tepat untuk lingkungan Anda:

Kunci Konfigurasi Nilai yang Direkomendasikan Catatan
Hosts <string>.contoso.com</string> Ganti contoso.com dengan nama domain/forest lokal Anda
Hosts <string>contoso.com</string> Ganti contoso.com dengan nama domain/forest lokal Anda. Pertahankan . karakter sebelumnya sebelum nama domain/forest Anda
Realm <string>CONTOSO.COM</string> Ganti CONTOSO.COM dengan nama realm lokal Anda. Nilai harus semua dikapitalkan.
PayloadOrganization <string>Contoso</string> Ganti Contoso dengan nama organisasi Anda 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ExtensionData</key>
            <dict>
                <key>allowPasswordChange</key>
                <true/>
                <key>allowPlatformSSOAuthFallback</key>
                <true/>
                <key>performKerberosOnly</key>
                <true/>
                <key>pwReqComplexity</key>
                <true/>
                <key>syncLocalPassword</key>
                <false/>
                <key>usePlatformSSOTGT</key>
                <true/>
            </dict>
            <key>ExtensionIdentifier</key>
            <string>com.apple.AppSSOKerberos.KerberosExtension</string>
            <key>Hosts</key>
            <array>
                <string>.contoso.com</string>
                <string>contoso.com</string>
            </array>
            <key>Realm</key>
            <string>CONTOSO.COM</string>
            <key>PayloadDisplayName</key>
            <string>Single Sign-On Extensions Payload for On-Premises</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5</string>
            <key>TeamIdentifier</key>
            <string>apple</string>
            <key>Type</key>
            <string>Credential</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string></string>
    <key>PayloadDisplayName</key>
    <string>Kerberos SSO Extension for macOS for On-Premises</string>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadIdentifier</key>
    <string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
    <key>PayloadOrganization</key>
    <string>Contoso</string>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>2bbbbbb2-3cc3-4dd4-5ee5-6ffffffffff6</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

Simpan konfigurasi menggunakan editor teks dengan ekstensi file mobileconfig (misalnya, file dapat diberi nama on-prem-kerberos.mobileconfig) setelah memperbarui konfigurasi dengan nilai yang tepat untuk lingkungan Anda.

Konfigurasi profil MDM SSO Kerberos untuk Microsoft Entra ID Cloud Kerberos

Anda harus mengonfigurasi profil MDM SSO Kerberos terpisah jika Anda berencana menggunakan Microsoft Entra ID Cloud Kerberos dan realm Active Directory lokal. Disarankan untuk menyebarkan profil Active Directory lokal sebelum profil Microsoft Entra ID Cloud Kerberos.

Gunakan pengaturan berikut untuk mengonfigurasi profil Microsoft Entra ID Cloud Kerberos, memastikan bahwa Anda mengganti semua referensi dengan nilai yang tepat untuk penyewa Anda:

Kunci Konfigurasi Nilai yang Direkomendasikan Catatan
preferredKDCs <string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string> Ganti nilai aaaabbbb-0000-cccc-1111-dddd2222eeee dengan ID Penyewa Anda, yang dapat ditemukan di halaman Ikhtisar di Pusat Admin Microsoft Entra
PayloadOrganization <string>Contoso</string> Ganti Contoso dengan nama organisasi Anda 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ExtensionData</key>
            <dict>
                <key>usePlatformSSOTGT</key>
                <true/>
                <key>performKerberosOnly</key>
                <true/>
                <key>preferredKDCs</key>                         
                <array>
                <string>kkdcp://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/kerberos</string>
                </array>
            </dict>
            <key>ExtensionIdentifier</key>
            <string>com.apple.AppSSOKerberos.KerberosExtension</string>
            <key>Hosts</key>
            <array>
                <string>windows.net</string>
                <string>.windows.net</string>
            </array>
            <key>Realm</key>
            <string>KERBEROS.MICROSOFTONLINE.COM</string>
            <key>PayloadDisplayName</key>
            <string>Single Sign-On Extensions Payload for Microsoft Entra ID Cloud Kerberos</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>00aa00aa-bb11-cc22-dd33-44ee44ee44ee</string>
            <key>TeamIdentifier</key>
            <string>apple</string>
            <key>Type</key>
            <string>Credential</string>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string></string>
    <key>PayloadDisplayName</key>
    <string>Kerberos SSO Extension for macOS for Microsoft Entra ID Cloud Kerberos</string>
    <key>PayloadEnabled</key>
    <true/>
    <key>PayloadIdentifier</key>
    <string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
    <key>PayloadOrganization</key>
    <string>Contoso</string>
    <key>PayloadRemovalDisallowed</key>
    <true/>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>11bb11bb-cc22-dd33-ee44-55ff55ff55ff</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

Simpan konfigurasi menggunakan editor teks dengan ekstensi file mobileconfig (misalnya, file dapat diberi nama cloud-kerberos.mobileconfig) setelah memperbarui konfigurasi dengan nilai yang tepat untuk lingkungan Anda.

Catatan

Pastikan Anda memperhatikan parameter usePlatformSSOTGT dan performKerberosOnly. Jika pengaturan usePlatformSSOTGT dijadikan true, Ekstensi Kerberos akan menggunakan TGT dari Platform SSO dengan realm yang sama. Defaultnya adalah false. Jika performKerberosOnly diatur ke true, ekstensi Kerberos tidak melakukan pemeriksaan kedaluwarsa kata sandi, pemeriksaan perubahan kata sandi eksternal, atau mengambil direktori beranda pengguna. Defaultnya adalah false. Ini berlaku untuk konfigurasi lokal dan cloud, kunci ini harus dikonfigurasi di kedua profil.

Langkah-langkah konfigurasi Intune

Jika Anda menggunakan Intune sebagai MDM, Anda dapat melakukan langkah-langkah berikut untuk menyebarkan profil. Pastikan Anda mengikuti [instruksi sebelumnya](#Kerberos konfigurasi profil SSO MDM untuk Active Directory lokal) tentang mengganti nilai contoso.com dengan nilai yang tepat untuk organisasi Anda.

  1. Masuk ke pusat admin Microsoft Intune.
  2. Pilih > baru.
  3. Masukkan properti berikut:
    • Platform: Pilih macOS.
    • Jenis profil: Pilih Templat.
  4. Pilih Templat kustom dan pilih Buat.
  5. Di Dasar, masukkan properti berikut ini:
    • Nama: Masukkan nama deskriptif untuk kebijakan tersebut. Beri nama kebijakan Anda sehingga Anda dapat dengan mudah mengidentifikasinya nanti. Misalnya, beri nama kebijakan macOS - Platform SSO Kerberos.
    • Deskripsi: Masukkan deskripsi untuk kebijakan tersebut. Pengaturan ini bersifat opsional, tetapi disarankan.
  6. Pilih Selanjutnya.
  7. Masukkan nama dalam kotak Nama profil konfigurasi kustom.
  8. Pilih saluran Penyebaran. Saluran perangkat disarankan.
  9. Klik ikon folder untuk mengunggah file profil Konfigurasi Anda. Pilih file kerberos.mobileconfig yang Anda [simpan sebelumnya](#Kerberos konfigurasi profil MDM SSO untuk Active Directory lokal) setelah menyesuaikan templat.
  10. Pilih Selanjutnya.
  11. Di Tag cakupan (opsional), tetapkan tag untuk memfilter profil ke grup TI tertentu, seperti US-NC IT Team atau JohnGlenn_ITDepartment. Pilih Selanjutnya.
  12. Di Penugasan, pilih pengguna atau grup pengguna yang akan menerima profil Anda. Kebijakan SSO platform adalah kebijakan berbasis pengguna. Jangan tetapkan kebijakan SSO platform ke perangkat.
    • Untuk informasi selengkapnya tentang menetapkan profil, lihat Menetapkan profil pengguna dan perangkat.
  13. Pilih Selanjutnya.
  14. Di Tinjau + buat, tinjau pengaturan Anda. Saat Anda memilih Buat, perubahan Anda disimpan, dan profil ditetapkan. Kebijakan ini juga ditampilkan dalam daftar profil.
  15. Ulangi proses ini jika Anda perlu menyebarkan kedua profil karena Anda akan menggunakan SSO Kerberos lokal dan Microsoft Entra ID Cloud Kerberos.

Saat berikutnya perangkat memeriksa pembaruan konfigurasi, pengaturan yang Anda konfigurasi diterapkan.

Menguji SSO Kerberos

Setelah pengguna menyelesaikan pendaftaran SSO Platform, Anda dapat memeriksa apakah perangkat memiliki tiket Kerberos dengan menjalankan app-sso platform -s perintah di aplikasi Terminal:

app-sso platform -s

Anda harus memiliki dua tiket Kerberos, satu untuk AD lokal Anda dengan nilai ticketKeyPath tgt_ad dan satu untuk penyewa ID Microsoft Entra Anda dengan nilai ticketKeyPath tgt_cloud. Outputnya harus menyerupai berikut ini:

Cuplikan layar output platform app-sso -s di aplikasi Terminal macOS.

Validasi konfigurasi Anda berfungsi dengan menguji dengan sumber daya berkemampuan Kerberos yang sesuai:

  • Uji fungsionalitas Active Directory lokal dengan mengakses server file terintegrasi AD lokal menggunakan Finder atau aplikasi web menggunakan Safari. Pengguna harus dapat mengakses berbagi file tanpa ditantang untuk kredensial interaktif.
  • Uji fungsionalitas Microsoft Entra ID Kerberos dengan mengakses berbagi Azure Files yang diaktifkan untuk kerberos cloud ID Microsoft Entra. Pengguna harus dapat mengakses berbagi file tanpa ditantang untuk kredensial interaktif. Lihat panduan ini jika Anda perlu mengonfigurasi berbagi file cloud di Azure Files.

Catatan

Perhatikan bahwa implementasi SSO Platform Microsoft bertanggung jawab untuk menerbitkan TGT Kerberos dan mengirimkannya ke macOS sehingga macOS dapat mengimpornya. Jika Anda melihat TGT saat menjalankan app-sso platform -s, maka TGT telah berhasil diimpor. Jika Anda mengalami masalah Kerberos yang sedang berlangsung, seperti masalah saat mengakses sumber daya lokal melalui Kerberos, sebaiknya hubungi Apple untuk mendapatkan dukungan dengan konfigurasi lebih lanjut profil MDM Kerberos Anda. Implementasi Kerberos di macOS menggunakan kemampuan Kerberos asli yang disediakan Apple.

Masalah Umum

Tambahan menu ekstensi SSO Kerberos

Saat menerapkan SSO Kerberos dengan Platform SSO, kemampuan ekstensi SSO Kerberos bawaan macOS tetap digunakan. Seperti penyebaran ekstensi SSO Kerberos asli tanpa SSO Platform, ekstra menu ekstensi SSO Kerberos akan muncul di bilah menu macOS:

Cuplikan layar menu ekstensi macOS Kerberos SSO tambahan.

Saat menyebarkan dukungan Kerberos dengan SSO Platform, pengguna tidak perlu berinteraksi dengan menu ekstensi SSO Kerberos ekstra agar fungsionalitas Kerberos berfungsi. Fungsionalitas SSO Kerberos masih akan beroperasi jika pengguna tidak masuk ke menu bar ekstra dan menu bar ekstra menampilkan "Belum masuk". Anda dapat menginstruksikan pengguna untuk mengabaikan bilah menu ekstra saat menyebarkan dengan SSO Platform, sesuai artikel ini. Sebagai gantinya, pastikan Anda memvalidasi bahwa fungsionalitas kerberos berfungsi seperti yang diharapkan tanpa interaksi dengan bilah menu tambahan, seperti yang diuraikan di bagian Menguji SSO Kerberos di artikel ini.

Dukungan Browser untuk SSO Kerberos

Beberapa browser memerlukan konfigurasi tambahan untuk mengaktifkan dukungan SSO Kerberos, termasuk jika Anda menggunakan SSO Platform untuk mengaktifkan Kerberos di perangkat macOS Anda. Saat menyebarkan dukungan Kerberos di macOS, sebarkan pengaturan yang sesuai untuk setiap browser yang Anda gunakan untuk memastikan mereka dapat berinteraksi dengan fitur macOS Kerberos SSO:

  • Safari: mendukung SSO Kerberos secara default
  • Microsoft Edge:
    • Konfigurasikan pengaturan AuthNegotiateDelegateAllowlist untuk menyertakan informasi forest Active Directory lokal Anda: AuthNegotiateDelegateAllowlist
    • Konfigurasikan pengaturan AuthServerAllowlist untuk menyertakan informasi forest Active Directory lokal Anda: AuthServerAllowlist
  • Google Chrome
    • Konfigurasikan pengaturan AuthNegotiateDelegateAllowlist untuk menyertakan informasi forest Active Directory lokal Anda: AuthNegotiateDelegateAllowlist
    • Konfigurasikan pengaturan AuthServerAllowlist untuk menyertakan informasi forest Active Directory lokal Anda: AuthServerAllowlist
  • Mozilla Firefox
    • Konfigurasikan pengaturan network.negotiate-auth.trusted-uris dan network.automatic-ntlm-auth.trusted-uris untuk mengaktifkan dukungan SSO Kerberos

Lihat juga