Segurança do iPad Compartilhado no iPadOS
O iPad Compartilhado é um modo multiusuário para uso em implantações do iPad. Ele permite que usuários compartilhem um iPad ao mesmo tempo que mantém uma separação de documentos e dados para cada usuário. Cada usuário obtém sua própria localização de armazenamento reservada e privada, que é implementada como um volume APFS (Apple File System) protegido pelas credenciais do usuário. O iPad Compartilhado exige o uso de um ID Apple Gerenciado emitido e de propriedade da organização.
Com o iPad Compartilhado, um usuário pode iniciar sessão em um dispositivo de propriedade da organização configurado para ser utilizado por vários usuários. Os dados dos usuários são particionados em diretórios separados, cada um em seu próprio domínio de proteção de dados e protegido por permissões UNIX e sandbox. No iPadOS 13.4 ou posterior, usuários também podem iniciar a sessão em uma sessão temporária. Quando o usuário finaliza a sessão em uma sessão temporária, seu volume APFS é apagado e o espaço reservado para o volume retorna ao sistema.
Início de Sessão no iPad Compartilhado
Os IDs Apple Gerenciados tanto nativos quanto federados são aceitos ao iniciar uma sessão no iPad Compartilhado. Ao usar uma conta federada pela primeira vez, o usuário é redirecionado para o portal de início de sessão do provedor de identidade. Depois de autenticar, um token de acesso de curta duração é emitido para os IDs Apple Gerenciados armazenados e o processo de início de sessão continua de forma semelhante ao processo de início de sessão nativo de IDs Apple Gerenciados. Após o início de sessão, o Assistente de Configuração do iPad Compartilhado solicita ao usuário que defina um código (credencial) usado para proteger os dados locais no dispositivo e para autenticação na tela de início de sessão no futuro. Como em um dispositivo de usuário único, no qual o usuário iniciaria a sessão uma única vez no seu ID Apple Gerenciado com a conta federada e desbloquearia o dispositivo com o código, no iPad Compartilhado, o usuário inicia a sessão uma única vez com a conta federada e, a partir de então, usa o código estabelecido.
Quando um usuário inicia a sessão sem a autenticação federada, o ID Apple Gerenciado é autenticado com o Serviço de Identidade da Apple (IDS) pelo protocolo SRP. Se a autenticação for bem-sucedida, um token de acesso de curta duração específico do dispositivo é concedido. Se o usuário já tiver usado o dispositivo antes, ele já terá uma conta de usuário local, que é desbloqueada com a mesma credencial.
Se o usuário não tiver usado o dispositivo antes ou estiver usando o recurso de sessão temporária, o iPad Compartilhado fornece um novo ID de usuário UNIX, um volume APFS para armazenar os dados pessoais do usuário e chaves locais. Pelo fato de o armazenamento ser alocado (reservado) para o usuário quando da criação do volume APFS, pode não haver espaço suficiente para criar um volume novo. Nesse caso, o sistema identifica um usuário existente cujos dados tenham sido completamente sincronizados com a nuvem e o despeja do dispositivo para que o novo usuário possa iniciar a sessão. Na improvável eventualidade de que nenhum usuário existente tenha terminado de enviar seus dados à nuvem, o início de sessão do usuário novo falha. Para iniciar a sessão, o novo usuário precisará aguardar o término da sincronização dos dados de um usuário ou fazer com que um administrador apague à força uma conta de usuário existente, o que implica risco de perda de dados.
Se o dispositivo não estiver conectado à internet (se o usuário não tiver um ponto de acesso Wi‑Fi, por exemplo), a autenticação pode usar a conta local como base durante um número limitado de dias. Nesse caso, apenas os usuários com contas locais previamente existentes ou uma sessão temporária podem iniciar a sessão. Depois que esse tempo limite expira, os usuários são obrigados a autenticar online, mesmo que uma conta local exista.
Depois que a conta local de um usuário for desbloqueada ou criada, caso tenha sido autenticada remotamente, o token de curta duração emitido pelos servidores da Apple é convertido em um token do iCloud que permite iniciar a sessão no iCloud. Em seguida, os ajustes do usuário são restaurados, e seus documentos e dados são sincronizados do iCloud.
Enquanto a sessão do usuário estiver ativa e o dispositivo permanecer on-line, os documentos e dados são armazenados no iCloud conforme forem criados ou modificados. Além disso, um mecanismo de sincronização em segundo plano ajuda a garantir que as alterações sejam enviadas ao iCloud ou a outros serviços da web através de sessões NSURLSession em segundo plano, após o usuário finalizar a sessão. Depois que a sincronização em segundo plano desse usuário for concluída, o volume APFS do usuário é desmontado e não pode ser montado novamente sem que o usuário inicie a sessão novamente.
Sessões temporárias não sincronizam dados com o iCloud e, embora uma sessão temporária possa iniciar a sessão em um serviço de sincronização de terceiros, como Box ou Google Drive, não há nenhuma possibilidade de continuar sincronizando os dados quando a sessão temporária termina.
Término de sessão no iPad Compartilhado
Quando um usuário finaliza a sessão no iPad Compartilhado, sua keybag é bloqueada imediatamente e todos os apps são encerrados. Para acelerar o caso de um usuário novo que inicia a sessão, o iPadOS posterga temporariamente algumas ações ordinárias de finalização de sessão e apresenta uma janela de início de sessão ao usuário novo. Se um usuário inicia a sessão durante esse tempo (aproximadamente 30 segundos), o iPad Compartilhado realiza a limpeza postergada como parte do início de sessão na conta do usuário novo. Porém, se o iPad Compartilhado permanecer ocioso, ele acionará a limpeza postergada. Durante a fase de limpeza, a Janela de Início de Sessão é reiniciada como se outra finalização de sessão tivesse ocorrido.
Quando uma sessão temporária termina, o iPad Compartilhado realiza a sequência completa de finalização de sessão e apaga imediatamente o volume APFS da sessão temporária.