當使用者用Jamf Connect或Self Service+登入時,他們的密碼會輸入到加密的文字欄位中,且永不會寫入macOS鑰匙圈以外的磁碟。
使用Kerberos時,其密碼會被用於gss_aapl_initial_cred() API呼叫,該呼叫會對使用者進行認證,並取得票證授權票證(TGT)。變更密碼時,可使用gss_aapl_change_password() API呼叫來進行相同的處理程序。兩個 API 調用都會利用 Apple 的 Heimdal Kerberos 實作方式。
所有 Kerberos 動作都以 Apple 的 API 來執行。密碼永遠不會以「kinit」或其他 Kerberos 命令行介面 (CLI) 工具來快取。
作為身分識別提供者(IdP)與Okta進行整合時,Jamf Connect和Self Service+會使用Okta驗證API。有關Okta Authentication API的更多資訊,請參閱Application types(okta Developer)(應用程式類型(okta開發者))。
與其他IdP提供者整合時,Jamf Connect和Self Service+會使用OpenID Connect驗證通訊協定來與IdP通訊。
所有網路連線均使用macOS URL載入API URLSession進行。所有通訊皆使用 TLS 來保護安全性,以確保不會損毀。
當使用登入視窗來啟用直通認證時,在登入視窗Web檢視中輸入的使用者密碼會暫時寫入記憶體,並用於登入或在電腦上建立本機帳戶。以使用者密碼完成Jamf Connect後,此值立即被覆寫為nil,並從記憶體中取消分配。
有關OpenID Connect的更多資訊,請參閱What is OpenID Connect(什麼是OpenID Connect)。