用於保護iOS MDM註冊過程的OAuth

Question

我有一些我們通過其開發的支持管理iOS設備的MDM解決方案。儘管我們已經能夠通過相同的方式成功註冊和管理iOS設備，但我試圖找出一種方法來保護所有使用OAuth的Web服務調用，這些調用發生在運行在iOS設備上的本機應用程序之間，連接到註冊和其他API作爲MDM解決方案的一部分進行部署。顯然，我們對修改本機應用程序進行了有限控制，以便以HTTP標頭的形式嵌入OAuth訪問令牌或以其他方式將這些訪問令牌發送到MDM API，因爲應用程序邏輯無法修改。在iOS設備上運行的企業應用程序中是否有配置來啓用OAuth（或任何其他形式的身份驗證）或其他方式，我可以有效地使用這些配置來實現我的要求？

Answer 1

iOS註冊流程與SCEP有效載荷中的質詢令牌關聯（稱爲質詢）。一旦從MDM服務器端進行身份驗證，就需要根據您的用戶身份生成唯一的令牌並將其嵌入到此SCEP有效內容中。對於隨後的註冊調用，此令牌將被傳遞，一旦註冊成功，可以提取並驗證用戶。理想情況下，這只是將設備鏈接到特定用戶的一種方式，可能是在您的MDM服務器端生成的臨時令牌，鏈接到用戶身份或相關信息。爲了遵循這一點，您可以應用OAuth密碼授予類型並在身份驗證發生後獲取令牌。然後可以將此OAuth令牌設置爲此挑戰令牌以供將來使用。但與其他OAuth通信不同，iOS不會將頭中的此標記作爲承載發送，而是將其嵌入到xml有效內容中，並進行適當的加密和簽名。

進一步iOS支持協議擴展，使用身份驗證令牌驗證具有開放目錄服務的用戶。這將默認具有使用登入端點來回通信的能力。