sdecoret - stock.adobe.com
Nutzer mit OAuth 2.0 für iOS-12-Geräte autorisieren
Apple iOS 12 unterstützt das Protokoll OAuth 2.0. Entwickler können damit die Autorisierung für Nutzer von iPhones und iPads kostengünstig vereinfachen.
Apple unterstützt in seinem mobilen Betriebssystem iOS 12 das Protokoll OAuth 2.0. Damit können Entwickler für Nutzer von iPhones und iPads die Autorisierung von Anwendungen kostengünstig vereinfachen. OAuth 2.0 ist ein Standard für den sicheren, delegierten Zugriff auf Websites und mobile Apps.
Das Protokoll ermöglicht es Benutzern, sich mit den Login-Daten ihrer Social Media Accounts für eine Anwendung anzumelden. Sie müssen kein völlig neues Konto für diese App erstellen. Wenn der Nutzer die Anwendung öffnet, wählt er einen bevorzugten Social Media Provider aus und verwendet seine bestehenden Anmeldeinformationen. Sobald der Social Network Provider die Identität des Users überprüft und verifiziert hat, erhält er automatisch Zugriff auf die App.
Als Apple iOS 11 ankündigte, waren die Entwickler zunächst begeistert, weil sie dachten, dass sie die unterstützte Version von OAuth 2.0 nutzen könnten, um Multifaktor-Authentifizierung oder bedingten Zugriff zu implementieren. Es war dann aber nicht möglich, Zugriffskontrollen mit einem MDM-Server (Mobile Device Management) durchzusetzen.
Mit iOS 12 gibt es jedoch Funktionen für MDM in Microsoft Exchange, mit denen Entwickler Richtlinien durchsetzen und ein Exchange-ActiveSync-Konto auf dem Gerät konfigurieren können. In iOS 12 aktivierte Apple das OAuth-2.0-Protokoll, wenn die IT-Abteilung das Exchange-Profil während des MDM-Anmeldevorgangs einschaltete. So können sich Benutzer mit Exchange-Konten mit OAuth 2.0 anmelden.
Jetzt können Entwickler auch OAuth-2.0-Funktionen für native E-Mail-Konten für iOS oder Apple Mail auf iOS-12-Geräten bereitstellen. Auf diese Weise sind Anwender in der Lage, native Warnmeldungen in der iOS-Kalender-App zu verwenden und ihre gesamten E-Mails an einen Ort zu senden.
Request for Comments, ein Dokument der Internet Engineering Task Force (IETF), beschreibt mögliche Implementierungen und Sicherheitsrisiken beim Einsatz des OAuth-2.0-Protokolls für native Apps. Die Task Force empfiehlt Entwicklern, den Flow des Autorisierungs-Codes – oder die beste Vorgehensweise zum Steuern des Zugriffs auf eine App – in einem externen Benutzeragenten wie einem Browser auszuführen, und nicht in einem eingebetteten Benutzeragenten, der typischerweise mit Web Views verwendet wird.
Auf diese Weise kann die Anwendung, die den eingebetteten Benutzeragenten hostet, keine Anmeldeinformationen der Benutzer erhalten. Damit wird die Gefahr von Phishing und anderen Sicherheitsverletzungen gebannt. In diesem Schritt des Prozesses muss die App die URL und das verifizierte SSL-Zertifikat (Secure Sockets Layer) anzeigen.
Es gab mehrere Sicherheitsvorfälle auf Android- und iOS-Geräten, nachdem die Administratoren OAuth 2.0 autorisiert hatten, Social-Media-Konten für den Zugriff zu verwenden. Entwickler sollten Social Sign-On korrekt verwenden und Token für die Client-Autorisierung validieren, bevor sie Zugang zu einem Konto gewähren.