! iOS Dağıtımı Teknik Başvuru ! iOS ! 7.1 !! Mayıs 2014 ! iOS Dağıtımı Teknik Başvuru Kılavuzu !! !! !! İçindkiler Sayfa 3 Giriş Sayfa 4 Bölüm 1: Entegrasyon Sayfa 4 Microsoft Exchange Sayfa 6 Standartlara Dayalı Hizmetler Sayfa 6 Wi-Fi Sayfa 7 Sanal Özel Ağlar Sayfa 13 Per App VPN Sayfa 13 Tek Şifre Sayfa 14 Dijital Sertifikalar Sayfa 15 Bonjour Sayfa 16 Bölüm 2: Güvenlik Sayfa 16 Aygıt Güvenliği Sayfa 18 Şifreleme ve Veri Koruması Sayfa 20 Ağ Güvenliği Sayfa 20 Uygulama Güvenliği Sayfa 21 İnternet Hizmetleri Sayfa 23 Bölüm 3: Yapılandırma ve Yönetim Sayfa 23 Aygıt Kurulumu ve Etkinleştirme Sayfa 24 Yapılandırma Profilleri Sayfa 24 Mobil Aygıt Yönetimi (MDM) Sayfa 27 Aygıt Denetimi Sayfa 28 Bölüm 4: Uygulama Dağıtımı Sayfa 30 Uygulamaları Dağıtma Sayfa 31 Önbellek Sunucusu Sayfa 32 Ek A: Wi-Fi Altyapısı Sayfa 35 Ek B: Sınırlamalar ! Sayfa 37 Ek C: Şirket İçi Uygulamaları Kablosuz Yükleme 2 iOS Dağıtımı Teknik Başvuru Kılavuzu Giriş ! Bu kılavuz ağlarındaki iOS aygıtlarını desteklemek isteyen IT yöneticileri içindir. Kurumsal şirket veya eğitim kurumu gibi büyük ölçekli kuruluşlarda iPhone, iPad ve iPod touch'ların dağıtımı ve desteklenmesi ile ilgili bilgiler vermektedir. iOS aygıtlarının nasıl kapsamlı bir güvenlik, mevcut altyapınızla entegrasyon ve dağıtım için güçlü araçlar sağladığını açıklamaktadır. iOS'ta desteklenen temel teknolojilerin anlaşılması kullanıcılarınız için optimum bir deneyim stratejisi uygulamanıza yardımcı olacaktır. Aşağıdaki bölümler kuruluşunuzda iOS aygıtlarını dağıtırken kullanabileceğiniz bir teknik başvuru belgesi işlevine sahiptir. Entegrasyon. iOS aygıtları çok çeşitli ağ altyapıları için yerleşik destek sunar. Bu bölümde, iOS tarafından desteklenen teknolojiler ve Microsoft Exchange, Wi-Fi, VPN ve diğer standart hizmetleri entegre etmek için en iyi uygulamalar hakkında bilgi edineceksiniz. Güvenlik. iOS kurumsal hizmetlere güvenli bir şekilde erişmek ve önemli verileri korumak için tasarlanmıştır. iOS veri iletimi için güçlü bir şifreleme, kurumsal hizmetlere erişim için kanıtlanmış kimlik doğrulama yöntemleri ve bekleme durumunda tüm veriler için donanım şifrelemesi sağlar. iOS'un güvenlikle ilgili özellikleri hakkında daha fazla bilgi edinmek için bu bölümü okuyun. Yapılandırma ve Yönetim. iOS; iOS aygıtlarının büyük ölçekli bir ortamda kolayca kurulmasını, ihtiyaçlarınıza göre yapılandırılmasını ve kolayca yönetilmesini sağlayan araçları ve teknolojileri destekler. Bu bölümde, mobil aygıt yönetiminin (MDM) genel bir özeti dahil farklı dağıtım araçları tanımlanmaktadır. Uygulama Dağıtımı.Uygulamaları ve içerikleri kuruluşunuzda dağıtmanın pek çok yolu vardır. iOS Kurumsal Geliştirici Programı kuruluşunuzun uygulamaları kurum içi kullanıcılara dağıtmasını sağlar. Bu programları veya kurum içinde kullanım için oluşturulan uygulamaları dağıtmayı daha iyi kavramak için bu bölümü kullanın. Aşağıdaki eklerde ek teknik bilgiler ve koşular belirtilmektedir: Wi-Fi Altyapısı. iOS'un desteklediği Wi-Fi standartları hakkında bilgiler ve büyük ölçekli bir Wi-Fi ağı planlama konusunda değerlendirmeler. Sınırlamalar. iOS aygıtlarını güvenlik, parola ve diğer koşullar için yapılandırmak için kullanabileceğiniz sınırlamalarla ilgili ayrıntılar. Şirket İçi Uygulamaları Kablosuz Olarak Kurma. Şirket içi uygulamalarınızı kendi web tabanlı portalınızı kullanarak dağıtma konusunda ayrıntılar ve gereklilikler. İlave kaynaklar Yararlı bilgiler için aşağıdaki web sitelerine başvurun: www.apple.com/ipad/business/it www.apple.com/tr/iphone/business www.apple.com/tr/education 3 iOS Dağıtımı Teknik Başvuru Kılavuzu Bölüm 1: Entegrasyon iOS aygıtları çok çeşitli ağ altyapıları için yerleşik destek sunar. Bu destekler arasında aşağıdakiler için verilen destekler de bulunur: • Microsoft Exchange gibi yaygın kullanılan üçüncü taraf sistemleri • Standartlara dayanan Mail, Directory, Takvim ve diğer sistemlerle entegrasyon • Veri aktarımı için standart Wi-Fi protokolleri, şifreleme • Per app VPN dahil sanal özel ağlar (VPN) • Ağa bağlı uygulamalar ve hizmetlerde kimlik doğrulamayı sorunsuz hale getirmek için tek şifre • Kullanıcıların kimliklerini doğrulamak ve iletişimin güvenliğini sağlamak için dijital sertifikalar Bu uygulama iOS'ta yerleşik olduğu için, IT departmanınızın yapması gereken tek şey iOS aygıtlarını mevcut altyapınızla bütünleştirmek için birkaç ayarı yapılandırmaktır. iOS destekli teknolojiler ve en iyi entegrasyon uygulamaları için okumaya devam edin. Microsoft Exchange iOS, Microsoft Exchange ActiveSync (EAS) yoluyla Microsoft Exchange Server'ınızla doğrudan iletişim kurabilir ve anında iletilen e-posta, takvim, kişiler, notlar ve görevleri etkinleştirebilir. Exchange ActiveSync ayrıca kullanıcılara Global Adres Listesi (GAL) erişimi, yöneticilere de parola ilkesi uygulama ve uzaktan silme özellikleri sağlar. iOS, Exchange ActiveSync için hem temel hem de sertifika tabanlı kimlik doğrulamayı destekler. Şirketiniz Exchange ActiveSync'i etkinleştirmişse, iOS'u desteklemek için gerekli hizmetleriniz de etkinleşir. Bunun için ek yapılandırma gerekmez. Gereksinimler iOS 7 veya daha yeni sürümü kurulu aygıtlar Microsoft Exchange'in aşağıdaki sürümlerini destekler: • Exchange Server 2003 SP 2 (EAS 2.5) • Exchange Server 2007 (EAS 2.5 kullanan) • Exchange Server 2007 SP 1 (EAS 12.1) • Exchange Server 2007 SP 2 (EAS 12.1) • Exchange Server 2007 SP 3 (EAS 12.1) • Exchange Server 2010 (EAS 14.0) • Exchange Server 2010 SP 1 (EAS 14.1) • Exchange Server 2010 SP 2 (EAS 14.1 kullanan) • Exchange Server 2013 (EAS 14.1 kullanan) • Office 365 (EAS 14.1 kullanan) Microsoft Direct Push Exchange Server, hücresel veya Wi-Fi veri bağlantısı varsa Exchange Server e-posta, görevler, kişiler ve takvim etkinliklerini iOS aygıtlarına otomatik olarak iletir. iPod touch ve bazı iPad modellerinin hücresel bağlantısı yoktur, bu nedenle anında bildirimleri yalnızca bir Wi-Fi ağına bağlandıklarında alırlar. 4 iOS Dağıtımı Teknik Başvuru Kılavuzu Microsoft Exchange Otomatik Keşfetme iOS, Microsoft Exchange Server 2007 ve Microsoft Exchange Server 2010'un Autodiscover hizmetini destekler. Bir aygıtı elle yapılandırdığınızda, Autodiscover doğru Exchange Server bilgilerinizi belirlemek için e-posta adresinizi ve parolanızı kullanır. Autodiscover hizmetini etkinleştirme hakkında daha fazla bilgi için, Autodiscover Service (İngilizce) belgesine başvurun. Exchange Genel Adres Listesi iOS aygıtları kişi bilgilerini şirketinizin Exchange Server kurumsal dizininden alır. Dizine Kişiler'de arama yaparken erişebilirsiniz ve e-posta adreslerini girilirken tamamlamak için otomatik olarak erişilir. iOS 6 ve daha yeni sürümleri GAL fotoğraflarını destekler(Exchange Server 2010 SP 1 veya daha yeni sürümü gerekir). Desteklenmeyen Exchange ActiveSync özellikleri Exchange'in aşağıdaki özellikleri desteklenmez: • E-posta iletilerinde SharePoint sunucularında depolanan belgelere bağlantılar açma • Ofiste değilim otomatik yanıt mesajı ayarlama Exchange aracılığıyla iOS sürümlerini tanımlama Bir iOS aygıtı bir Exchange Sunucusuna bağlandığında, aygıt kendi iOS sürümünü bildirir. Sürüm numarası istek başlığının User Agent alanında gönderilir ve AppleiPhone2C1/705.018'e benzer bir şekilde görünür. Sınırlayıcının (/) ardından görülen numara her iOS sürümü için farklı olan iOS yapı numarasıdır. Bir aygıtta yapı numarasını görmek için, Ayarlar>Genel>Hakkında'ya gidin. Sürüm numarasını ve yapı numarasını (4.1 (8B117A) gibi bir sayı) göreceksiniz. Parantez içindeki sayı, aygıtta çalışan sürümü tanımlayan yapı numarasıdır. Yapı numarası Exchange Sunucusuna gönderildiğinde, NANNNA (N bir sayı ve A bir harftir) Exchange formatı NNN.NNN'e dönüştürülür. Sayısal değerler korunur, ama harfler alfabedeki konumlarının değerlerine dönüştürülür. Örneğin, “F” harfi alfabedeki altıncı harf olduğu için “06” sayısına dönüştürülür. Sayılar Exchange formatına uyması için gerekiyorsa sıfırlarla tamamlanır. Bu örnekte, 7E18 yapı numarası 705.018 olarak değiştirilir. İlk rakam 7 yine “7” olarak kalır. E harfi alfabenin beşinci harfi olduğu için “05” sayısına dönüştürülür. Biçimin gereği olarak, dönüştürülen sürüme A nokta (A.) eklenir. Bir sonraki sayı 18'dir ve sıfırla tamamlanarak “018” sayısına dönüştürülür. Yapı numarası bir harfle biter (örneğin 5H11A), rakam yukarıda açıklanan şekilde dönüştürülür ve son karakterin sayısal değeri 3 sıfırla ayrılan dizeye eklenir. Böylece 5H11A dönüştürüldüğünde 508.01100001 olur. Uzaktan silme Bir iOS aygıtının içeriklerini Exchange tarafından sağlanan özellikleri kullanarak uzaktan silebilirsiniz. Silme işlemi aygıttan tüm verileri ve yapılandırma bilgilerini kaldırır ve aygıt güvenli bir şekilde silinir ve orijinal fabrika ayarlarına geri döndürülür. Silme işlemi (256 bir AES şifreleme ile şifrelenen) veri şifreleme anahtarını kaldırarak anında tüm verileri erişilemez hale getirir. Microsoft Exchange Server 2007 veya daha yeni sürümüyle, Exchange Yönetim Konsolu, Outlook Web Erişimi ve Exchange ActiveSync Mobil Yönetim Web Aracı ile uzaktan silme işlemi yapabilirsiniz. Microsoft Exchange Server 2003 ile, Exchange ActiveSync Mobil Yönetim Web Aracı 'nı kullanarak bir uzaktan silme başlatabilirsiniz. Alternatif olarak, kullanıcılar kendi aygıtlarını Ayarlar>Genel>Sıfırla'ya giderek ve “Tüm İçerikleri ve Ayarları Sil” ayarını seçebilir. Aygıtlar belirli bir sayıda başarısız parola denemesinden sonra otomatik olarak silinecek şekilde de yapılandırılabilir. 5 iOS Dağıtımı Teknik Başvuru Kılavuzu Standartlara Dayalı Hizmetler IMAP posta protokolü desteği, LDAP dizin hizmetleri, CalDAV takvimleri ve CardDAV kişi protokolleriyle iOS standartlara dayalı olan neredeyse tüm ortamlara entegre edilebilir. Ağ ortamınız kullanıcı kimlik doğrulaması ve SSL gerektirecek şekilde yapılandırılırsa, iOS standartlara dayanan e-posta, takvim, görevler ve kişilere erişim için güvenli bir yaklaşım sağlar. SSL ile, iOS 128-bit şifrelemeyi ve büyük sertifika yetkilileri tarafından verilen X.509 kök sertifikalarını destekler. Tipik bir dağıtımda, iOS aygıtları kablo kullanmadan ileti göndermek ve almak için IMAP ve SMTP posta sunucularına doğrudan erişir ve ayrıca, IMAP tabanlı sunucularla notları da kablosuz eşzamanlayabilirler. iOS aygıtları şirketinizin LDAPv3 kurumsal dizinlerine bağlanarak kullanıcıların Mail, Kişiler ve Mesajlar uygulamalarına erişmelerini sağlar. CalDAV sunucunuzla eşzamanlama kullanıcıların kablo kullanmadan takvim davetleri oluşturmalarını ve kabul etmelerini, takvim güncellemelerini almalarını ve Anımsatıcılar uygulamasıyla görev eşzamanlamanlamalarını sağlar. CardDAV desteği, kullanıcıların vCArd formatını kullanarak CardDAV sunucunuzla eşzamanlanan bir kişiler grubunu sürekli olarak kullanmalarını sağlar. Ağ sunucuları bir DMZ alt ağı içinde, bir kurumsal güvenlik duvarı arkasında veya her ikisinde birden bulunabilir. Wi-Fi iOS aygıtları kutularından çıkarılır çıkarılmaz, ister kampüste ister yolda olsunlar, kullanıcıların kullanılabilir kablosuz ağlara hızlı ve kolayca katılmalarını sağlayarak şirket veya konuk Wi-Fi ağlarına güvenle bağlanabilir. Wi-Fi ağlarına bağlanma Kullanıcılar iOS aygıtlarını mevcut Wi-Fi ağlarına otomatik olarak bağlanacak şekilde ayarlayabilir. Oturum açmak için kullanıcı bilgileri veya başka bilgiler gerektiren WiFi ağlarına ayrı bir tarayıcı oturumu açmaksızın Wi-Fi ayarlarından veya Mail gibi uygulamaların içinden hızla erişilebilir. Düşük güçlü, sürekli Wi-Fi bağlantı özelliği uygulamaların anında bildirimleri iletmesi için Wi-Fi ağlarını kullanmasını sağlar. WPA2 Enterprise iOS; WPA2 Enterprise gibi sektör standardı kablosuz ağ protokollerini destekleyerek kurumsal kablosuz ağlara iOS aygıtlarından güvenli bir şekilde erişilmesini sağlar. WPA2 Kurumsal, kullanıcılara verilerinin korunduğu konusunda en yüksek düzeyde güvenlik duygusu sağlayan kanıtlanmış, blok tabanlı bir şifreleme yöntemi olan 128-bit AES şifrelemesini kullanır. 802.1X desteğiyle, iOS çok çeşitli RADIUS kimlik doğrulama ortamlarına entegre edilebilir. iOS tarafından desteklenen 802.1X kablosuz kimlik doğrulama yöntemleri arasında EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 ve LEAP de bulunur. ! 6 iOS Dağıtımı Teknik Başvuru Kılavuzu Roaming Büyük kurumsal Wi-Fi ağlarında roaming için, iOS 802.11k ve 802.11r protokollerini destekler. 802.11k iOS aygıtlarının erişim noktalarından aldıkları raporları kullanarak Wi-Fi erişim noktaları arasında geçiş yapmalarını sağlar. 802.11r ise bir aygıt erişim noktaları arasında geçiş yaparken 802.1X kimlik doğrulamasını sorunsuz hale getirir. Hızlı kurulum ve dağıtım için, kablosuz ağ, güvenlik, proxy ve kimlik doğrulama ayarları yapılandırma profilleri veya MDM kullanılarak yapılandırılabilir. Sanal Özel Ağlar iOS'ta özel şirket ağlarına yerleşik sektör standardı sanal özel ağ (VPN) protokolleri kullanılarak güvenli bir şekilde erişilebilir. iOS kutudan çıkar çıkmaz Cisco IPSec, L2TP over IPSec ve PPTP'yi destekler. Kuruluşunuz bu protokollerden birini destekliyorsa, iOS aygıtlarını VPN'inize bağlamak için başka bir ağ yapılandırması veya üçüncü taraf uygulamaları gerekmez. Ayrıca, iOS popüler VPN sağlayıcılardan SSL VPN'i de destekler. Kullanıcılar, Apple Store'dan sadece bu şirketlerden biri tarafından geliştirilmiş VPN istemci uygulamalarını indirerek başlayabilirler. iOS'ta desteklenen diğer VPN protokolleri gibi, VPN aygıtta elle veya yapılandırma profilleri veya MDM aracılığıyla yapılandırılabilir. iOS; IPv6, proxy sunucuları ve split-tunneling gibi sektör standardı teknolojileri destekleyerek kurumsal ağlara bağlanan kullanıcılara zengin bir VPN deneyimi sağlar. iOS; parola, iki etkenli belirteç ve dijital sertifikalar da dahil çeşitli kimlik doğrulaması yöntemleriyle çalışır. Sertifika tabanlı ortamlarda bağlanmayı sorunsuz hale getirmek için, iOS belirli etki alanlarına bağlanmak için gerektiğinde bir VPN oturumu başlatan VPN On Demand özelliğine sahiptir. iOS 7 ile, tek tek uygulamalar aygıttaki diğer uygulamalardan bağımsız bir VPN bağlantısı kullanacak şekilde yapılandırılmıştır. Bu kurumsal verilerin her zaman bir VPN bağlantısı aracılığıyla aktarılmasını ve çalışanların App Store'dan alınan kişisel uygulamaları gibi diğer verilerin aktarılmamasını sağlar. Ayrıntılar için, bu bölümün devamındaki “Per app VPN” başlığına bakın. Desteklenen protokoller ve kimlik doğrulama yöntemleri SSL VPN. Parola, iki etkenli belirteç ve sertifikalarla kimlik doğrulamayı destekler. Cisco IPSec. Parola, iki etkenli belirteç ve paylaşılan sır ve sertifikalarla makine kimlik doğrulamasını destekler. L2TP over IPSec. MS-CHAP v2 Parolası, iki etkenli belirteç ve paylaşılan sırla makine kimlik doğrulamasını destekler. PPTP. MS-CHAP v2 Parolası ve iki faktörlü belirteçle kimlik doğrulamayı destekler. SSL VPN istemcileri Çok sayıda SSL VPN sağlayıcısı kendi çözümleriyle birlikte kullanılmak üzere iOS aygıtlarının yapılandırılmasına katkıda bulunan uygulamalar geliştirdi. Bir aygıtı belirli bir çözüm için yapılandırmak için ilgili uygulamayı yükleyin ve isteğe bağlı olarak, gerekli ayarları içeren bir yapılandırma profili sağlayın. SSL VPN çözümleri şunları içerir: • Juniper Junos Pulse SSL VPN. iOS; Juniper Networks SA Series SSL VPN Gateway 6.4 ve daha yeni sürümlerini ve Juniper Networks IVE paketi 7.0 ve daha yeni sürümlerini destekler. Yapılandırma için, App Store'da bulunan Junos Pulse uygulamasını yükleyin. Daha fazla bilgi için Juniper Networks uygulama notu belgesine başvurun. 7 iOS Dağıtımı Teknik Başvuru Kılavuzu • F5 SSL VPN. iOS; F5 BIG-IP Edge Gateway, Access Policy Manager ve FirePass SSL VPN çözümlerini destekler. Yapılandırma için, App Store'da bulunan F5 BIG-IP Edge Client uygulamasını yükleyin. Daha fazla bilgi için, F5 teknik özeti Kurumsal Web Uygulamalarına Güvenli iPhone Erişimi (İngilizce) belgesini okuyun. • Aruba Networks SSL VPN. iOS; Aruba Networks Mobility Controller uygulamasını destekler. Yapılandırma için, App Store'da bulunan Aruba Networks VIA uygulamasını yükleyin. Daha fazla bilgi için, Aruba Networks web sitesine (İngilizce) başvurun. • SonicWALL SSL VPN. iOS; SonicWALL Aventail E-Class Secure Remote Access aygıtlarının 10.5.4 ve daha yeni sürümlerini, SonicWALL SRA aygıtlarının 5.5 ve daha yeni sürümlerini ve SonicOS 5.8.1.0 ve daha yeni sürümleri kurulu TZ, NSA, E-Class NSA gibi SonicWALL Next-Generation Firewall aygıtlarını destekler. Yapılandırma için, App Store'da bulunan SonicWALL Mobile Connect uygulamasını yükleyin. Daha fazla bilgi için, SonicWALL web sitesine (İngilizce) başvurun. • Check Point Mobile SSL VPN. iOS tam Layer-3 VPN tünel özelliğine sahip Check Point Security Gateway'i destekler. Yapılandırma için, App Store'da bulunan Check Point Mobile uygulamasını yükleyin. • OpenVPN SSL VPN. iOS; OpenVPN Access Server, Private Tunnel ve OpenVPN Community'yi destekler. Yapılandırma için, App Store'da bulunan OpenVPN Connect uygulamasını yükleyin. • Palo Alto Networks GlobalProtect SSL VPN. iOS; Palo Alto Networks'ün GlobalProtect ağ geçidini destekler. Yapılandırma için, App Store'da bulunan GlobalProtect for iOS uygulamasını yükleyin. • Cisco AnyConnect SSL VPN. iOS; yazılım görüntüsü 8.0(3).1 veya da yeni sürümleri kurulu Cisco Adaptive Security Appliance (ASA) aygıtını destekler. Yapılandırma için, App Store'da bulunan Cisco AnyConnect uygulamasını yükleyin. VPN Kurulum Kuralları Cisco IPSec kurulum kuralları Cisco VPN sunucunuzu iOS aygıtlarıyla kullanmak üzere yapılandırmak için bu kuralları kullanın. iOS; 7.2x veya daha yeni yazılım sürümü ile yapılandırılmış Cisco ASA 5500 Güvenlik Aygıtlarını ve PIX Güvenlik Duvarlarını Destekler. En son yazılım sürümü (8.0.x veya daha yeni sürümü) önerilir. iOS; IOS 12.4(15)T veya daha yeni sürümü kurulu Cisco IOS VPN router'larını da destekler. VPN 3000 Serisi Yoğunlaştırıcılar iOS VPN özelliklerini desteklemez. Proxy kurulumu Tüm yapılandırmalar için, bir VPN proxy de belirtebilirsiniz. Tüm bağlantılar için tek bir proxy yapılandırmak için, Manual ayarını kullanın ve gerekiyorsa, adresi, portu ve kimlik doğrulamayı belirtin. Aygıta PAC veya WPAD kullanan bir otomatik proxy yapılandırma dosyası sağlamak için, Auto ayarını kullanın. PACS için, PACS dosyasının URL adresini belirtin. WPAD için, iOS doğru ayarlar için DHCP ve DNS'i sorgular. ! 8 iOS Dağıtımı Teknik Başvuru Kılavuzu Kimlik doğrulama yöntemleri iOS aşağıdaki kimlik doğrulama yöntemlerini destekler: • Xauth aracılığıyla kullanıcı kimlik doğrulama ile ön paylaşımlı anahtar IPSec kimlik doğrulaması. • Xauth aracılığıyla isteğe bağlı kimlik doğrulama ile IPSec kimlik doğrulamasıyla IPSec kimlik doğrulaması için istemci ve sunucu sertifikaları. • Sunucunun bir sertifika sağladığı ve istemcinin IPSec kimlik doğrulaması için ön paylaşımlı anahtar sağladığı hibrit kimlik doğrulama. Xauth aracılığıyla kimlik doğrulaması zorunludur. • Kullanıcı kimlik doğrulaması xauth aracılığıyla sağlanır ve aşağıdaki kimlik doğrulama yöntemlerini içerir: – Kullanıcı adı ve parola – RSA SecurID – CryptoCard Kimlik doğrulama grupları Cisco Unity protokolü kullanıcıları ortak bir kimlik doğrulama parametreleri ve diğer parametreler setine göre gruplamak için kimlik doğrulama gruplarını kullanır. iOS kullanıcıları için bir kimlik doğrulama grubu oluşturmanız gerekir. Ön paylaşımlı anahtarla ve hibrit kimlik doğrulama için, aygıtta grup adı grup parolası olarak grubun paylaşılan sırrı (ön paylaşımlı anahtar) ile yapılandırılmalıdır. Sertifikayla kimlik doğrulama kullanıldığında, paylaşılan sır kullanılmaz. Bir kullanıcının grubu sertifikadaki alanlara göre belirlenir. Bir sertifikadaki alanları kullanıcı gruplarıyla eşleştirmek için Cisco sunucu ayarları kullanılabilir. RSA-Sig, ISAKMP öncelik listesinde en yüksek önceliğe sahip olmalıdır. Sertifikalar Sertifikaları kurarken ve yüklerken, aşağıdakilerden emin olun: Sunucu kimliği sertifikasında konu alternatif (SubjectAltName) alanında sunucunun DNS adı ve/veya IP adresi bulunmalıdır. Aygıt sertifikanın sunucusuna ait olduğunu doğrulamak için bu bilgileri kullanır. Daha fazla esneklik için, SubjectAltName'ini segment başına eşleştirme için vpn.*.mycompany.com örneğinde olduğu gibi joker karakterler kullanarak belirtebilirsiniz. SubjectAltName belirtilmemişse, ortak ad alanına DNS adını yazabilirsiniz. Aygıta sunucunun sertifikasını imzalayan CA'nın sertifikası yüklenmelidir. Bu bir kök sertifikası değilse, sertifikalara güvenilmesini sağlamak için güven zincirinin kalanını kurun. İstemci sertifikaları kullanıyorsanız, VPN sunucusuna istemci sertifikasını imzalayan güvenilen CA sertifikasının kurulduğundan emin olun. Sertifika tabanlı kimlik doğrulama kullandığınızda, sunucunun kullanıcının grubunu istemci sertifikasındaki alanlara göre tanımlayacak şekilde ayarlandığından emin olun. Sertifikalar ve sertifika yetkilileri geçerli olmalıdır (örneğin, sona ermiş olmamalıdır). Sunucu tarafından sertifika gönderme desteklenmez ve bu özelliği kapatmanız gerekir. ! 9 iOS Dağıtımı Teknik Başvuru Kılavuzu IPSec ayarları Aşağıdaki IPSec ayarlarını kullanın: • Mod. Tünel Modu • IKE Exchange Modları. Ön paylaşımlı anahtar ve hibrit kimlik doğrulama için Aggressive Modu veya sertifikayla kimlik doğrulama için Main Modu. • Şifreleme Algoritmaları. 3DES, AES-128, AES-256. • Kimlik Doğrulama Algoritmaları. HMAC-MD5, HMAC-SHA1. • Diffie-Hellman Grupları. Ön paylaşımlı anahtarla ve hibrit kimlik doğrulama için Grup 2 zorunludur. Sertifikayla kimlik doğrulama için, 3DES ve AES-128 ile Grup 2'yi kullanın. AES-256 ile Grup 2 veya 5'i kullanın. • PFS (Perfect Forward Secrecy). IKE aşama 2 için, PFS kullanılıyorsa Diffie-Hellman grubu IKE aşama 1 için kullanılan grupla aynı olmalıdır. • Mod Yapılandırması. Etkinleştirilmelidir. • Dead Peer Detection. Önerilir. • Standard NAT Traversal. Desteklenir ve etkinleştirilebilir (IPSec over TCP desteklenmez). • Yük Dengeleme. Desteklenir ve etkinleştirilebilir. • Aşama 2'in yeniden anahtarlanması. Halen desteklenmemektedir. Sunucuda yeniden anahtarlama süresinin bir saat olarak ayarlanması önerilir. • ASA Adres Maskesi. Tüm aygıt adres havuzu maskelerinin ayarlanmadığından veya 255.255.255.255 olarak ayarlandığından emin olun. Örneğin: asa(configwebvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255. Önerilen adres maskesini kullanıyorsanız, VPN yapılandırması tarafından varsayılan bazı yollar yok sayılabilir. Bunun önüne geçmek için, yönlendirme çizelgesinde gerekli tüm yolların bulunduğundan ve alt ağ adreslerinin dağıtımdan önce erişilebilir olduğundan emin olun. Diğer desteklenen özellikler • Uygulama Sürümü. Sunucu yazılım sürümü sunucuya gönderilerek sunucunun bağlantıları aygıtın yazılım sürümüne göre kabul etmesini veya reddetmesini sağlar. • Banner. Banner (sunucuda yapılandırılmışsa) aygıtta gösterilir ve kullanıcı banner'ı kabul etmeli veya bağlantıyı kesmelidir. • Split Tunnel. Split tunneling desteklenmez. • Split DNS. Split DNS desteklenmez. • Varsayılan Etki Alanı. Varsayılan etki alanı desteklenmez. ! 10 iOS Dağıtımı Teknik Başvuru Kılavuzu İstek Üzerine VPN İstek Üzerine VPN iOS'un kullanıcı müdahalesi olmadan otomatik olarak güvenli bir bağlantı kurmasını sağlar. VPN bağlantısı bir yapılandırma profilinde tanımlanan kurallar temelinde gerektiğinde ilkesine göre başlatılır. iOS 7'de, İstek Üzerine VPN bir yapılandırma profilinin VPN yükünde OnDemandRules anahtarı kullanılarak yapılandırılır. Kurallar iki aşamada uygulanır: • Ağ Algılama Aşaması. Aygıtın birinci ağ bağlantısı değiştiğinde uygulanan VPN koşullarını tanımlar. • Bağlantı Değerlendirme Aşaması. Etki alanı adlarına bağlantı istekleri için gerektiğinde ilkesine göre VPN gerekliliklerini tanımlar. Örneğin, kuralları aşağıdakileri sağlamak için kullanılabilir: • Bir iOS aygıtının dahili bir ağa bağlandığını ve VPN'in gerekli olmadığını algılama. • Bilinmeyen bir aygıt kullanıldığında algılar ve tüm ağ aktivitesi için VPN'i zorunlu tutar. • Belirli bir etki alanı için DNS isteği başarısız olduğunda VPN gerektirir. Ağ Algılama Aşaması Aygıtın ana ağ arabirimi değiştiğinde (örneğin iOS aygıtı başka bir Wi-Fi ağına veya Wi-Fi'dan hücresel bağlantıya geçtiğinde) İstek Üzerine VPN kuralları değerlendirilir. Ana ağı sanal biri arabirimde (örneğin bir VPN arabirimi), İstek Üzerine VPN kuralları yoksayılır. İlgili eylemin yapılabilmesi için her setteki (sözlük) eşleşme kurallarının tamamı eşleşmelidir; kurallardan herhangi bir eşleşmezse, değerlendirme OnDemandRules dizisi tükenene kadar dizinin bir sonraki sözlüğe geçer. Söz sözlük bir “varsayılan” yapılandırma tanımlamalıdır. Yani hiçbir eşleşme kuralı olmamalı yalnızca bir Eylem olmalıdır. Bu önceki kurallarla eşleşmeyen tüm bağlantılar yakalanır. Bağlantı Değerlendirme Aşaması VPN, ağa arabirimi temelinde tek taraflı olarak bağlantısı kesilerek veya bağlanarak bazı etki alanlarında bağlı isteklerine göre tetiklenebilir. İsteğe Bağlı Eşleşme Kuralları Aşağıdaki eşleşme kurallarından birini veya daha fazlasını belirtin: • InterfaceTypeMatch. İsteğe Bağlı. Wi-Fi veya hücresel bağlantının bir dize değeri. Belirtilirse, bu kural belirtilen türün ana arabirimiyle eşleşmelidir. • SSIDMatch. İsteğe Bağlı. Mevcut ağla eşleşen bir SSID dizisi. Ağ bir Wi-Fi ağı değilse veya SSID listede yoksa, eşleşme başarısız olur. SSID'yi yok saymak için bu anahtarı ve dizisini yok sayın. • DNSDomainMatch. İsteğe Bağlı. Dizeler biçiminde bir arama etki alanları dizisi. Geçerli ana ağın yapılandırılan DNS arama etki alanı dizide varsa, özellik eşleşir. Joker karakter ön ek (*) desteklenir. Örneğin, *.example.com herşey.example.com ile eşleşir. ! 11 iOS Dağıtımı Teknik Başvuru Kılavuzu • DNSServerAddressMatch. İsteğe Bağlı. Dizeler biçiminde bir DNS sunucu adresleri dizisi. Ana arabirim için yapılandırılmış DNS sunucu adreslerinin tümü yapılandırılmışsa, bu özellik eşleşir. Joker karakter (*) desteklenir. Örneğin, 1.2.3.* öneki 1.2.3 olan her DNS sunucusuyla eşleşir. • URLStringProbe. İsteğe Bağlı. Erişilebilirliği yoklamak için bir sunucu. Yeniden yönlendirme desteklenmez. URL güvenilir bir HTTPS sunucusu olmalıdır. Aygıt sunucunun erişilebilir olduğunu doğrulamak için bir GET isteği gönderir. Eylem Bu anahtar belirtilen tüm eşleşen kuralların doğru olarak değerlendirilmesi durumunda VPN davranışını tanımlar. Bu anahtar zorunludur. Eylem anahtarının değerleri: • Bağlan. Bir sonraki ağa bağlanma denemesinde VPN bağlantısını koşulsuz olarak başlatır. • Bağlantıyı kes. VPN bağlantısını keser ve istek üzerine yeni bağlantılar tetiklemez. • Yoksay. Mevcut VPN bağlantısını sürdürür, ama istek üzerine yeni bağlantılar tetiklemez. • İzin Ver. iOS 6 veya daha yeni sürümü kurulu iOS aygıtları için. Bu bölümün devamındaki “Geriye Yönelik Uyumluluk Hakkında Notlar” başlığına bakın. • EvaluateConnection. Her bağlantı denemesi için ActionParameters'i değerlendirir. Bu kullanıldığında, değerlendirme kurallarını belirtmek için aşağıda açıklanan ActionParameters anahtarı gerekir. ActionParameters Gerçekleştikleri sırayla değerlendirilen, aşağıda açıklanan anahtarları içeren sözlükler dizisi. Eylem EvaluateConnection olduğunda gereklidir. • Etki Alanları. Zorunlu. Bu değerlendirme profilinin uygulanacağı etki alanlarını tanımlayan bir dize dizisi. *.example.com gibi joker karakter ön ekler desteklenir. • DomainAction. Zorunlu. Etki Alanları için VPN davranışını destekler. DomainAction anahtarının değerleri şunlardır: – ConnectIfNeeded. Etki Alanı için DNS çözümü başarısız olduğunda, örneğin DNS sunucusu etki alanı adını çözemezse veya DNS yanıtı yeniden yönlendirilirse veya bağlantı başarısız olur veya zaman aşımına uğrarsa, VPN bağlantısını kurar. – NeverConnect. Etki Alanları için VPN'i tetiklemez. DomainAction seçimi ConnectIfNeeded ise, bağlantı değerlendirme sözlüğünde aşağıdaki anahtarları da belirtebilirsiniz: • RequiredDNSServers. İsteğe Bağlı. Etki Alanlarını çözmek için kullanılacak DNS sunucularının IP adreslerinin dizisi. Bu sunucuların aygıtın geçerli ağ yapılandırmasının parçası olması gerekmez. DNS sunucularına erişilemiyorsa, VPN tetiklenir. Dahili bir DNS sunucusu veya güvenilen bir harici DNS sunucusu yapılandırın. • RequiredURLStringProbe. İsteğe Bağlı. Bir GET isteği kullanarak sorgulanacak bir HTTP veya HTTPS (tercih edilir) URL adresi. Bu sunucu için DNS çözünürlüğü başarılı olursa, sorgulamanın da başarılı olması gerekir. Sorgulama başarısız olursa, VPN tetiklenir. ! 12 iOS Dağıtımı Teknik Başvuru Kılavuzu Geriye yönelik uyumluluk hakkında notlar iOS 7'den önce, etki alanı tetikleme kuralları OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry ve OnDemandMatchDomainNever adlı etki alanları dizisi aracılığıyla yapılandırılıyordu. OnRetry ve Never durumları iOS 7'de hala desteklenmektedir, ama EvaluateConnection eylemi daha fazla kullanılmaktadır. Hem iOS 7 hem eski sürümlerde çalışan bir profil oluşturmak için, OnDemandMatchDomain dizilerine ek olarak yeni EvaluateConnection anahtarlarını kullanın. iOS'un EvaluateConnection'u tanımayan eski sürümleri eski dizileri kullanırken, iOS 7 ve daha sonraki sürümler EvaluateConnection'ı kullanır. İzin Ver eylemin belirtilen eski yapılandırma profilleri, OnDemandMatchDomainsAlways etki alanları dışında iOS 7'de çalışacaktır. Per App VPN iOS 7 uygulama temelinde VPN bağlantıları oluşturma yeteneğine de sahiptir. Bu yaklaşım hangi verilerin VPN aracılığıyla aktarılacağı ve hangi verilerin VPN aracılığıyla aktarılmayacağı konusunda daha ayrıntılı bir denetime izin verir. Aygıt ölçeğinde VPN ile, tüm veriler kökenlerinden bağımsız olarak sanal ağ aracılığıyla dolaşır. Kuruluşlar içinde daha fazla kişilere ait aygıt kullanıldıkça, Per app VPN kurum içinde kullanılan uygulamalarını ağa güvenli bir şekilde bağlanmasını ve kişisel aygıt aktivitelerinin gizliliğinin korunmasını sağlar. Perr app VPN mobil aygıt yönetimi (MDM) ile yönetilen her uygulamanın, özel ağla aygıttaki özel ağı kullanmayan diğer yönetimsiz uygulamaları dışarıda bırakarak güvenli bir tünel aracılığıyla iletişim kurmasını sağlar. Ayrıca, yönetimli uygulamalar verileri daha fazla korumak için farklı VPN bağlantılarıyla yapılandırılabilir. Örneğin, satış fiyatı uygulaması ödeme hesapları uygulamasından tamamen farklı bir veri merkezi kullanabilirken kullanıcının web'de gezinme trafiği halka açık interneti kullanabilir. Bu trafiği uygulama katmanında ayırma yeteneği kişisel verilerin ve kuruluşa ait verilerin ayrılmasını sağlar. Per app VPN'i kullanmak için, uygulama MDM aracılığıyla yönetilmeli ve standart iOS ağa bağlanma AP'lerini kullanmalıdır. Per app VPN, ayarları hangi uygulamaların ve Safari etki alanlarının kullanabileceğini belirtilen bir MDM yapılandırmasıyla yapılandırılır. MDM hakkında daha fazla bilgi için, Yapılandırma ve Yönetim başlıklı 3. bölüme başvurun. Tek Şifre (SSO) iOS 7 ile, uygulamalar Kerberos aracılığıyla mevcut şirket için tek şifre altyapısından yararlanabilir. Tek şifre özelliği kullanıcının parolasını yalnızca bir kez girmesini gerektirerek kullanıcı deneyimini iyileştirebilir. Bu, parolaların asla kablosuz aktarılmamasını sağlayarak günlük uygulama kullanım güvenliğini de arttırır. iOS 7 tarafından kullanılan Kerberos kimlik doğrulama sistemi dünyada en fazla uygulaman ve sektör standardını oluşturan tek şifre teknolojisidir. Active Directory, eDirectory veya OpenDirectory'niz varsa, iOS 7'nin yararlanabileceği bir Kerberos sisteminiz olabilir. iOS aygıtları kullanıcıların kimliklerini doğrulamak için bir ağ bağlantısı üzerinden Kerberos hizmetiyle iletişim kurabilmelidir. ! 13 iOS Dağıtımı Teknik Başvuru Kılavuzu Desteklenen uygulamalar iOS ağ bağlantılarını ve kimlik doğrulamayı desteklemek için NSURLConnection veya NSURLSession sınıfını kullanan her uygulamaya Kerberos tek şifre (SSO) için esnek destek verir. Apple tüm geliştiricilere ağ bağlantılarını kendi uygulamalarına entegre etmeleri için bu üst düzey çerçeveleri sağlar. Apple ayrıca SSO özelliğine sahip web sitelerini kullanarak başlamanıza yardımcı olacak bir örnek olarak Safari'yi sağlar. SSO Yapılandırması Tek şifre yapılandırması elle yüklenebilen veya MDM ile yönetilebilen yapılandırma profilleri kullanılarak yapılabilir. SSO hesap yükü esnek yapılandırmaya izin verir. SSO tüm uygulamaları açılabilir veya uygulama tanımlayıcısıyla, hizmetin URL'siyle veya her ikisiyle birden sınırlanabilir. URL'ler eşleştirilirken, basit örüntü eşleştirme kullanılır ve URL'ler http:// veya https:// ile başlamalıdır. Eşleştirme URL'nin tamamıyla yapılır, bu nedenle tam olarak aynı olduklarından emin olun. Örneğin, https://www.example.com/ URLPrefixMatches değeri https://www.example.com:443/ ile eşleşmeyecektir. SSO kullanımını güvenli veya normal HTTP hizmetleriyle sınırlamak için http:// veya https:// seçeneklerini belirtebilirsiniz. Örneğin, https:// için bir URLPrefixMatches değeri kullanmanız SSO hesabının yalnızca güvenli HTTPS hizmetleriyle kullanılmasını sağlar. Bir URL eşleştirme örüntüsü kesme işareti (/) ile bitmez, bir kesme işareti (/) ile bitmez. AppIdentifierMatches dizisinde uygulama paketi ID'leriyle eşleşen dizeler bulunmalıdır. Bu dizeler tam eşleşmeler (örneğin, com.mycompany.myapp) olabilir veya bir joker karakter (*) kullanılarak paket ID'sindeki bir ön ek eşleşmesini belirtebilir. Joker karakter bir noktadan (.) sonra ve yalnızca dizenin sonunda (örneğin, com.mycompany.*) bulunabilir. Bir joker karakter kullanıldığında, paket kimliği bu ön ek ile başlayan her uygulamanın hesaba erişmesine izin verilir. Dijital Sertifikalar Dijital sertifikalar sorunsuz kimlik doğrulama, veri bütünlüğü ve şifreleme sağlayan bir kimlik tanımlama biçimidir. Dijital sertifika bir genel anahtardan, kullanıcıyla ilgili bilgilerden ve sertifikayı veren sertifika yetkilisi bilgisinden oluşur. iOS dijital sertifikalarla destekleyerek kuruluşların kurumsal hizmetlere güvenli ve sorunsuz bir şekilde erişmesini sağlar. Sertifikalar çok değişik şekillerde kullanılabilir. Verilerin bir dijital sertifika ile imazalanması bilgilerin değiştirilmesini engellemeye yardımcı olur. Sertifikalar yazan veya “imzalayan” kişinin kimliğini garanti etmek için de kullanılabilir. Sertifikalar, gizli veya özel bilgiler için daha fazla koruma sağlamak amacıyla yapılandırma profillerini ve ağ iletişimlerini şifrelemek için de kullanılabilir. Örneğini Safari tarayıcısı bir X.509 dijital sertifikasının geçerliliğini kontrol edebilir ve 256-bite kadar AES şifrelemeyle güvenli bir oturum açabilir. Bu sitenin kimliğinin geçerli olduğunu doğrular ve web sitesiyle bu haberleşme kişisel veya gizli verilerin başkalarının eline geçmesini önlemek için korunur. ! 14 iOS Dağıtımı Teknik Başvuru Kılavuzu Desteklenen sertifika ve kimlik biçimleri: • iOS, RSA anahtarlı X.509 sertifikalarını destekler. • .cer, .crt, .der, .p12 ve .pfx dosya uzantıları tanınır. iOS'ta sertifika kullanma Kök sertifikaları iOS kutudan çıkar çıkmaz bir dizi önceden yüklenmiş kök sertifikası içerir. Daha fazla bilgi için, bu Apple Destek makalesi (İngilizce) içindeki listeye başvurun. Önceden yüklenen kök sertifikalardan herhangi biri bozulduğu takdirde, iOS sertifikaları kablosuz olarak güncelleyebilir. Bunu devreden çıkarmak için, kablosuz sertifika güncellemelerini önleyen bir sınırlama vardır. Kuruluşunuz tarafından oluşturulmuş kendisi imzalı bir kök sertifikası Önceden yüklenmemiş bir kök sertifika kullanıyorsanız, bu sertifikayı aşağıda listelenen yöntemlerden birini kullanarak dağıtabilirsiniz. Sertifikaların dağıtılması ve yüklenmesi iOS aygıtlarına sertifika dağıtmak basittir. Bir sertifika alındığında, kullanıcılar sadece dokunarak içeriklerini görebilir ve ardından yine dokunarak sertifikayı aygıtlarına ekleyebilirler. Bir kimlik sertifikası yüklendiğinde, kullanıcılardan bu sertifikayı koruyan parolayı girmeleri istenir. Gerçekliği doğrulanamayan bir sertifika güvenilmez olarak gösterilir ve kullanıcı bu sertifikayı aygıtına eklemek isteyip istemediğine karar verebilir. Sertifikaları yapılandırma profilleriyle kurma Exchange, VPN veya Wi-Fi gibi kurumsal hizmetlerin ayarlarını dağıtmak için yapılandırma profilleri kullanıyorsanız, dağıtımı kolaylaştırmak için profile sertifikalar eklenebilir. Bunu sertifikaları MDM aracılığıyla dağıtma yeteneği de dahildir. Sertifikaları Mail veya Safari aracılığıyla yükleme E-postayla gönderilen sertifikalar ileti eki olarak görünür. Bir web sayfasından sertifika indirmek için Safari de kullanılabilir. Bir sertifikayı güvenli bir web sayfasında tutabilir ve kullanıcıları sertifikayı aygıtlarına indirebilecekleri URL'yi bildirebilirsiniz. Sertifika kaldırma ve iptal etme Yüklenmiş bir sertifikayı elle kaldırmak için, Ayarlar>Genel> Profiller'i seçin ve kaldırmak istediğiniz sertifikayı belirtin. Kullanıcı bir hesaba veya ağa erişmek için gereken bir sertifikayı kaldırırsa, aygıt artık bu hizmetlere bağlanamaz. Bir mobil aygıt yönetimi sunucusu bir aygıttaki tüm sertifikaları görebilir ve daha önce kurduğu uygulamaları kaldırabilir. Ayrıca, sertifikaların durumunu kontrol etmek için Online Certificate Status Protocol (OCSP) ve CRL (Certificate Revocation List) protokolü desteklenir. OCSP veya CRL özelliğine sahip bir sertifika kullanıldığında, iOS iptal edilmediğinden emin olmak için bu sertifikayı düzenli olarak onaylar. Bonjour Bonjour, Apple'ın aygıtların bir ağdaki hizmetleri bulmasını sağlayan standartlara dayalı, sıfır yapılandırma gerektiren ağ protokolüdür. iOS aygıtları, Bonjour'u, AirPrint uyumlu yazıcıları ve Apple TV gibi AirPlay uyumlu aygıtları keşfetmek için kullanır. Bazı eşler arası uygulamalar da Bonjour gerektirir. Ağ altyapınızın ve Bonjour'un birlikte çalışmak için doğru yapılandırıldığından emin olmanız gerekir. iOS 7.1 aygıtları Bluetooth aracılığıyla AirPlay kaynaklarını arayacaktır. Uyumlu bir Apple TV bulunduğunda AirPlay verileri Wi-Fi ağından gönderilir. Apple TV 6.1 veya sonraki modelleri için Bluetooth aracılığıyla bulmanın etkinleştirilmesi gerekir ve içeriği oynatmak veya yansıtmak için iOS aygıtı ve Apple TV aynı alt ağa bağlanmalıdır. Bonjour hakkında daha fazla bilgi için, bu Apple web sayfasına başvurun. ! 15 iOS Dağıtımı Teknik Başvuru Kılavuzu Bölüm 2: Güvenlik ! iOS birden fazla güvenlik katmanıyla üretilmiştir. Bu iOS aygıtlarının ağ hizmetlerine güvenli bir şekilde erişmesini ve önemli verileri korumasını sağlar. iOS veri iletimi için güçlü bir şifreleme, kurumsal hizmetlere erişim için kanıtlanmış kimlik doğrulama yöntemleri ve bekleme durumunda tüm veriler için donanım şifrelemesi sağlar. iOS ayrıca kablosuz olarak sunulabilecek ve uygulanabilecek parola ilkeleri kullanımı yoluyla güvenli bir koruma sağlar. Aygıt yanlış ellere geçtiği takdirde, kullanıcılar ve IT yöneticileri gizli bilgileri silmek için bir uzaktan silme komutu başlatabilirler. iOS'un kurumsal kullanımı göz önüne alındığında, aşağıdakilerin anlaşılması yararlı olacaktır: • Aygıt denetimleri. Aygıtın yetkisiz kullanımını engelleme yöntemleri • Şifreleme ve veri koruma. Verileri normal durumda ve hatta aygıt kaybedildiğinde veya çalındığında bile koruma • Ağ güvenliği. Ağ protokolleri ve iletim sırasında verileri şifreleme • Uygulama güvenliği. Uygulamaların güvenli bir şekilde ve platformun bütünlüğüne zarar vermeden çalışmasını sağlar • İnternet hizmetleri. Apple’ın mesajlaşma, eşzamanlama ve yedekleme için ağ tabanlı altyapısı Bu özellikler güvenli bir mobil bilgisayar ortamı sağlamak için birbiriyle uyumlu bir şekilde çalışır. Aşağıdaki parola ilkeleri desteklenir: • Aygıtta parola gereklidir • Alfasayısal değer gereklidir • Minimum parola uzunluğu • Minimum karmaşık karakter sayısı • Maksimum parola geçerlilik süresi • Otomatik kilitlemeden önceki süre • Parola geçmişi • Aygıt kilitleme için bekleme süresi • Maksimum başarısız deneme sayısı Aygıt Güvenliği iOS aygıtlarına erişim için güçlü politikalar oluşturulması, kurumsal bilgilerin korunması açısından çok önemlidir. Aygıt parolaları yetkisiz erişime karşı korumanın en önemli bileşenidir ve kablosuz olarak yapılandırılır ve zorlanır. iOS aygıtları, e-postaları ve aygıttaki hassas uygulama verilerini daha iyi korumak için güçlü bir şifreleme anahtarı oluşturmak için her kullanıcı tarafından oluşturulan benzersiz bir parola kullanır. Ayrıca, iOS aygıtı özel ayarlar, ilkeler ve sınırlamalar kullanılması gereken bir IT ortamında yapılandırmak için güvenli yöntemler sağlar. Bu yöntemler yetkili kullanıcılar için standart bir koruma düzeyi oluşturmak için esnek çözümler sağlar. Parola ilkeleri Bir aygıt parolası yetkisiz kullanıcıların verilere erişmesini veya aygıta başka bir biçimde erişmesini önler. iOS; zaman aşımı dönemleri, parola gücü ve parolanın hangi sıklıkla değiştirilmesi gerektiği gibi güvenlik ihtiyaçlarınızı karşılayacak kapsamlı bir parola ilkeleri seti içinden seçim yapmanızı sağlar. ! 16 iOS Dağıtımı Teknik Başvuru Kılavuzu İlke zorlama İlkeler, kullanıcıların kurması için yapılandırma profilinin parçası olarak dağıtılabilir. Yalnızca yönetici parolasıyla silinebilecek bir parola tanımlanabilir veya profili aygıta kilitlenebilecek ve aygıttaki içeriklerin tümünü tamamen silmeden kaldırılamayacak şekilde yapılandırabilirsiniz. Ayrıca, parola ayarları ilkeleri doğrudan aygıta aktarabilen mobil aygıt yönetimi (MDM) çözümleriyle yapılandırılabilir. Bu ilkelerin kullanıcı tarafından herhangi bir işlem yapılmadan zorlanmasını ve güncellenmesini sağlar. Aygıt bir Microsoft Exchange hesabına erişecek şekilde yapılandırılırsa, Exchange ActiveSync ilkeleri aygıta kablosuz olarak uygulanır. Kullanılabilecek ilke seti Exchange ActiveSync ve Exchange Sunucusunun sürümüne göre değişir. Hem Exchange hem MDM ilkeleri varsa, en katı ilke uygulanır. Güvenli aygıt yapılandırması Yapılandırma profilleri iOS aygıtlarının IT sistemlerinizle çalışmasını sağlayan aygıt güvenlik ilkeleri ve sınırlamalarını, VPN yapılandırma bilgilerini, Wi-Fi ayarlarını, e-posta ve takvim hesaplarını ve kimlik doğrulama bilgilerin içeren EML dosyalarıdır. Bir yapılandırma profilinde aygıt ayarlarıyla birlikte parola ilkeleri oluşturma yeteneği kuruluşunuzdaki aygıtların doğru şekilde ve IT departmanınızın belirlediği güvenlik standartlarına göre yapılandırılmasını sağlar. Yapılandırma profilleri şifrelenebildiği ve kilitlenebildiği için, ayarlar kaldırılamaz, değiştirilemez veya başkalarıyla paylaşılamaz. Yapılandırma profilleri imzalanabilir ve şifrelenebilir. Bir yapılandırma profilini imzalamak zorladığı ayarların hiçbir şekilde değiştirilemesini sağlar. Bir yapılandırma profilinin şifrelenmesi, yapılandırma profilinin içeriğinin korunmasını ve yalnızca kurulmak üzere oluşturulduğu aygıta kurulmalarını sağlar. Yapılandırma profilleri 3DES ve ASE 128'i destekleyen CMS (Cryptographic Message Syntax, RFC 3852) kullanılarak şifrelenir. Şifrelenmiş bir yapılandırma profilini ilk dağıttığınızda, bu profili Apple Configurator kullanarak USB aracılığıyla veya Over-the-Air Profile Delivery ve Yapılandırma protokolü veya MDM kullanarak kablosuz yükleyebilirsiniz. Sonraki şifrelenmiş yapılandırma protokolleri e-posta eki olarak gönderilebilir, kullanıcılarınızın erişebildiği bir web sitesinde tutulabilir veya AMD çözümleri kullanılarak aygıtınıza aktarılabilir. Daha fazla bilgi için, lütfen iOS Geliştirici Arşivi sitesinde Over-the-Air Profile Delivery ve Yapılandırma protokolü (İngilizce) belgesine başvurun. Aygıt sınırlamaları Aygıt sınırlamaları kullanıcıların aygıtta hangi özelliklere erişebileceğini belirler. Tipik olarak, bu sınırlamalar Safari, YouTube veya iTunes Store gibi ağa erişebilen uygulamaları kapsar, ama sınırlamalar uygulama yükleme veya kamera kullanımı gibi aygıt işlevlerini de kontrol edebilir. Sınırlamalar aygıtı ihtiyaçlarınıza göre yapılandırmanızı sağlar ve kullanıcıların aygıtı kuruluşunuzun ilkeleriyle tutarlı biçimlerde kullanmalarına izin verir. Sınırlamalar her aygıtta elle yapılandırılabilir, bir yapılandırma profiliyle zorlanabilir veya bir MD çözümüyle uzaktan oluşturulabilir. Ayrıca, parola ilkeleri, kamera veya web'de gezinme sınırlamaları Microsoft Exchange Server 2007 ve 2010 aracılığıyla kablo kullanmadan zorlanabilir. Sınırlamalar e-posta iletilerinin hesaplar arasında taşınmasını veya bir hesaptan alınan iletilerin başka hesaplara iletilmesini önlemek için de kullanılabilir. Desteklenen sınırlamalar hakkında bilgi için Ek B'ye bakın. ! 17 iOS Dağıtımı Teknik Başvuru Kılavuzu Şifreleme ve Veri Koruması iOS aygıtlarında depolanan verilerin korunması hassas bilgiler içeren her ortam için önemlidir. İletilen verileri şifrelemeye ek olarak, iOS aygıtları gelişmiş veri korumasıyla aygıtta saklanan tüm veriler için donanım şifrelemesi ve e-posta ve uygulama verileri için ek şifreleme sağlar. Şifreleme iOS aygıtları donanım tabanlı şifreleme kullanır. Donanım şifrelemesinde aygıttaki tüm verileri korumak için 256-bit AES kullanılır. Şifreleme her zaman etkindir ve devreden çıkarılamaz. Ayrıca, iTunes'da bir kullanıcının bilgisayarına yedeklenen veriler de şifrelenebilir. Bu özellik kullanıcı tarafından etkinleştirilebilir veya Yapılandırma Profillerinde aygıt sınırlama ayarları kullanılarak zorlanabilir. iOS, Mail'de kullanıcıların kodlanmış e-posta mesajlarını görüntülemelerini ve göndermelerini sağlayan S/MIME'yi de destekler. iOS 7 ve iOS 6'daki şifreleme modüllerinin ABD Federal Bilgi İşleme Standartları (FIPS) 140-2 Düzey 1'e uyduğu onaylanmıştır. Bu Apple uygulamalarının ve iOS kriptografik işlemlerini doğru şekilde kullanan üçüncü taraf uygulamalarının şifreleme işlemlerinin doğruluğunu onaylar. Daha fazla bilgi için, lütfen iOS ürün güvenliği: Onaylar ve rehberlik (İngilizce) ve iOS 7: Apple FIPS iOS Kriptografik Modülleri v4.0 (İngilizce) belgelerine başvurun. Veri koruması Aygıtta depolanan e-posta iletileri ve ekleri iOS'ta yerleşik veri koruma özellikleri kullanılarak korunur. Veri koruma, güçlü bir şifreleme anahtarı üretmek için her kullanıcının benzersiz parolası ve iOS aygıtlarındaki donanım şifrelemesinden yararlanır. Bu, aygıt kilitlendiğinde verilere erişilmesini engelleyerek aygıt kötü niyetli kişilerin eline geçtiğinde bile kritik bilgilerin güvende olmasını sağlar. Veri koruma özelliğini etkinleştirmek için, sadece aygıtınıza bir parola oluşturmanız gerekir. Veri korumasının etkinliği güçlü bir parolaya bağlı olduğu için, parola ilkelerinizi oluştururken dört basamaktan daha uzun bir parola istemeniz ve zorlamanız önemlidir. Kullanıcılar veri korumasının etkinleştirilip etkinleştirilmediğini parola ayarları ekranına bakarak kontrol edebilirler. Mobil aygıt yönetimi çözümleri aygıtı bu bilgiler için de sorgulayabilir. Veri koruma API'leri geliştiricilere de açıktır ve Apple Store'daki uygulamaların veya özel olarak geliştirilmiş şirket içi kurumsal uygulamaların güvenliğini sağlamak için de kullanılabilir. iOS 7 ile birlikte, uygulamalarda saklanan veriler varsayılan olarak, masaüstü bilgisayarlardaki tam disk şifrelemeye benzeyen “İlk Kullanıcı Kimlik Doğrulamasına Kadar Korunur” güvenlik sınıfındadır ve verileri yeniden başlatma içeren saldırılardan korur. Not: iOS 6'dan yükseltilen aygıtlarda, mevcut veri depoları yeni sınıfa dönüştürülmez. Uygulamanın kaldırılması ve yeniden yüklenmesi uygulamanın yeni koruma sınıfını almasına neden olur. Touch ID Touch ID, iPhone 5s'te yerleşik olarak bulunan ve aygıta çok güvenli erişimi hızlandıran ve kolaylaştıran bir parmak izi algılama sistemidir. Bu ileri teknoloji parmak izlerini her açıdan okur ve her kullanımla birlikte yeni üst üste binen düğümleri tanımlayarak parmak içi haritasını genişletmeye devam etmesi sayesinde zaman içinde bir kullanıcının parmak izi hakkında daha fazla şey öğrenir. Touch ID uzun ve karmaşık parolalar kullanmayı kullanıcılar için kolaylaştırır, çünkü kullanıcıların parolalarını sık sık girmeleri gerekmez. Touch ID parola tabanlı bir kilidin kullanışsızlığını, bu kilidin yerini alarak değil aygıta karmaşık sınırlamalar ve zaman kısıtları olmadan güvenli bir şekilde erişim sağlayarak ortadan kaldırır. ! 18 iOS Dağıtımı Teknik Başvuru Kılavuzu Touch ID etkinleştirildiğinde, iPhone 5s Uyutma/Uyandırma düğmesine basıldığında anında kilitlenir. Yalnızca parola güvenliğiyle, pek çok kullanıcı aygıtı her kullandıklarında parola girmek zorunda kalmamak için bir kilitleme bekleme süresi ayarlayabilir. Touch ID ile, iPhone 5s her uyku moduna geçtiğinde kilitlenir ve her uyanma için bir parmak izi (veya isteğe bağlı olarak parola) gerekir. Touch ID, Apple A7 çipte üretilen bir yardımcı işlemci olarak Güvenli Bölge ile birlikte çalışır. Güvenli Bölge'nin kendi korunan, şifreli bellek alanı vardır ve Touch ID sensörüyle güvenli bir şekilde iletişim kurar. iPhone 5s kilitlendiğinde, Veri Koruma sınıfı Tam Güvenli Bölge'nin şifreleme belleğinde tutulan bir anahtarla korunur. Bu anahtar en fazla 48 saat tutulur ve iPhone 5s yeniden başlatıldığında veya tanınmayan bir parmak izi beş kez kullanıldığında atılır. Bir parmak izi tanındığında, Güvenli Belge Veri Koruma anahtarlarını açmak için gerekli anahtarı sağlar ve aygıtın kilidi açılır. Uzaktan silme iOS uzaktan silmeyi destekler. Bir aygıt çalındığında veya kaybolduğunda, yönetici veya aygıtın sahibi tüm verileri silen ve aygıtı devreden çıkaran bir uzaktan silme komutu verebilir. Aygıt bir Exchange hesabıyla yapılandırılmışsa, yönetici Exchange Yönetim Konsolu, Exchange ActiveSync Mobil Yönetim Web aracı (Exchange Server 2003 veya 2007) kullanılarak bir uzaktan silme işlemi başlatabilir. Exchange Server 2007 kullanıcıları doğrudan Outlook Web Erişimi kullanarak uzaktan silme komutları başlatabilir. Uzaktan silme komutları, Exchange kurumsal hizmetleri kullanılmadığında bile MDM çözümleriyle veya iCloud'un iPhone'umu Bul özelliğini kullanarak da başlatılabilir. Yerel silme Aygıtlar birkaç başarısız parola denemesinden sonra otomatik olarak bir yerel silme işlemi başlatacak şekilde de yapılandırılabilir. Bu aygıta erişmek amaçlı brute-force saldırılarına karşı koruma sağlar. Bir parola oluşturulduğunda, kullanıcılar doğrudan ayarlar içinde yerel silmeyi etkinleştirebilirler. Varsayılan olarak, iOS aygıtı 10 başarısız parola denemesinden sonra otomatik olarak siler. Diğer parola ilkelerinde olduğu gibi, maksimum başarısız deneme sayısı bir yapılandırma profili aracılığıyla oluşturulabilir, bir MDM sunucusu tarafından atanabilir veya Microsoft Exchange ActiveSync ilkeleri aracılığıyla kablosuz zorlanabilir. iPhone'umu Bul ve Etkinleştirme Kilidi Bir aygıt kaybolduğunda veya çalındığında, aygıtı devreden çıkarmak ve silmek önemlidir. iOS 7'de iPhone'umu Bul özelliği açıldığında, aygıt sahibinin iCloud kullanıcı bilgileri girilmeden yeniden etkinleştirilemez. Kuruma ait aygıtları denetlemek veya iPhone'umu Bul'un kuruluşun aygıtı başka bir kişi tarafından kullanılmak üzere atamasını önlememek için bu özelliği devreden çıkarmak amacıyla bir ilke kullanmak iyi bir fikirdir. iOS 7.1 veya daha sonraki sürümlerde bir kullanıcı iPhone'umu Bul'u açtığında Etkinleştirme Kilidini çalıştırmak için uyumlu bir Mobil Aygıt Yönetimi çözümü kullanabilirsiniz. Mobil Aygıt Yönetimi çözümünüz Etkinleştirme Kilidi devreye sokulduğunda bir geçiş kodu depolayabilir ve aygıtı silmeniz veya başka bir kullanıcının kullanımına sunmanız gerektiğinde Etkinleştirme Kılavuzunu otomatik olarak temizlemek için daha sonra bu kodu kullanabilir. Ayrıntılar için Mobil Aygıt Yönetimi çözümünüzün belgelerine bakın. iPhone'umu Bul ve Etkinleştirme Kilidi hakkında daha fazla bilgi için lütfen iCloud Desteği ve Mobil Aygıt Yönetimi ve iPhone'umu Bul Etkinleştirme Kilidi belgelerine başvurun. ! 19 iOS Dağıtımı Teknik Başvuru Kılavuzu Ağ güvenliği • Yerleşik Cisco IPSec, L2TP, PPTP VPN • App Store uygulamaları aracılığıyla SSL VPN • SSL/TLS ve X.509 sertifikaları • WPA/WPA2 Enterprise ve 802.1X • Sertifika tabanlı kimlik doğrulama • RSA SecurID, CRYPTOCard Ağ Güvenliği VPN protokolleri • Cisco IPSec • L2TP/IPSec • PPTP • SSL VPN VPN Kimlik doğrulama yöntemleri • Parola (MSCHAPv2) • RSA SecurID • CryptoCard • X.509 dijital sertifikaları • Paylaşılan sır 802.1X kimlik doğrulama protokolleri • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAP v0, v1 • LEAP Desteklenen sertifika formatları iOS, RSA anahtarlı X.509 sertifikalarını destekler. .cer, .crt ve .der dosya uzantıları tanınır. Mobil kullanıcıların kurumsal bilgi ağlarına dünyanın her yerinden erişebilmeleri gerekir. Bununla birlikte, kullanıcıların yetkili olması ve aktarım sırasında verilerinin korunması sağlanmalıdır. iOS bu güvenlik hedeflerine hem Wi-Fi ağlarında hem hücresel veri ağı bağlantılarında ulaşabilecek kanıtlanmış teknolojiler sağlamaktadır. Mevcut altyapınıza ek olarak, her FaceTime oturumu ve iMessage sohbetleri uçtan uca şifrelenir. iOS iletişimin şifrelenmesini, yönlendirilmesini ve doğru bir şekilde bağlanmasını sağlayarak her kullanıcı için benzersiz bir kimlik oluşturur. Çoğu kurumsal ortamda bir tür sanal özel ağ (VPN) kuruludur. Bu güvenli ağ hizmetleri zaten dağıtılmıştır ve iOS ile birlikte çalışmak için tipik olarak en düşük oranda ayar ve yapılandırma gerektirir. iOS kutudan çıkar çıkmaz çok sayıda yaygın kullanılan VPN teknolojisine entegre olur. Daha fazla bilgi için Bölüm 1'deki “Sanal Özel Ağlar” başlığına bakın. SSL/TLS iOS; SSL s3 ve Transport Layer Security (TLS s1.0, 1.1 ve 1.2) özelliklerini destekler. Safari, Takvim, Mail ve diğer İnternet uygulamaları, iOS ve şirket hizmetleri arasında şifreli bir iletişim kanalı oluşturmak için bu mekanizmaları otomatik olarak başlatır. WPA/WPA2 iOS kurumsal kablosuz ağınıza kimlik doğrulamalı erişim sağlamak için WPA2 Enterprise'ı destekler. WPA2 Enterprise, 128-bit AES şifrelemeyle kullanıcılara, bir Wi-Fi ağı bağlantısı aracılığıyla iletişim kurduklarında verilerinin güvende kalacağı konusunda en yüksek seviyede garantiyi verir. 802.1X desteğiyle, iPhone ve iPad çok çeşitli RADIUS kimlik doğrulama ortamlarına entegre edilebilir. Uygulama Güvenliği iOS güvenlik merkeze alınarak tasarlanmıştır. Uygulamaların değiştirilmemesini sağlamak için uygulama çalışma zamanı korumasına ve uygulama imzalamaya bir yalıtma yaklaşımı katar. iOS, uygulama ve ağ hizmeti kullanıcı bilgilerinin anahtar zinciri adını taşıyan şifrelenmiş bir depoda güvenli bir şekilde depolanmasını kolaylaştıran bir çerçeveye sahiptir. Geliştiriciler için, uygulama veri depolarını kullanabilen bir Common Crypto mimarisi sağlar. Çalışma zamanı koruması Aygıttaki uygulamalar, depolanan verilere başka uygulamaların erişimini kısıtlamak için yalıtılır. Ayrıca, sistem dosyaları, kaynaklar ve çekirdeği kullanıcının uygulama alanından korunur. Bir uygulamanın başka uygulamaların verilerine erişmesi gerekiyorsa, bunu iOS tarafından sağlanan API'leri ve hizmetleri kullanarak yapabilir. Kod üretimi de önlenir. Zorunlu kod imzalama Tüm iOS uygulamaları imzalanmalıdır. Aygıtla birlikte sağlanan uygulamalar Apple tarafından imzalanır. Üçüncü taraf uygulamaları Apple tarafından üretilen bir sertifika kullanılarak geliştirici tarafından imzalanır. Bu, uygulamaların değiştirilmemesini veya bozulmamasını sağlar. Ayrıca, bir uygulamanın son kullanılmasından bu yana güvenilmez hale gelmediğinden emin olmak için çalışma zamanı kontrolleri yapılır. ! 20 iOS Dağıtımı Teknik Başvuru Kılavuzu Özel geliştirilmiş şirket içi kurumsal uygulamaların kullanımı bir yapılandırma profiliyle kontrol edilebilir. Kullanıcıların uygulamayı yürütebilmek için yapılandırma profilini yüklemiş olması gerekir. Yapılandırma profilleri MDM çözümleri kullanılarak kablosuz yüklenebilir. Yöneticiler bir uygulamanın kullanımını belirli aygıtlarla da sınırlayabilir. Güvenli kimlik doğrulama çerçevesi iOS dijital kimlikler, kullanıcı adları ve parolaları için güvenli, şifreli bir anahtarlık sağlar. Anahtar zinciri verileri bölümlenerek, üçüncü şahıs uygulamalarının sakladığı kimlik bilgilerine kimliği farklı uygulamalar tarafından erişilmesi engellenir. Bu, iOS aygıtlarında kurum içindeki çeşitli uygulamalar ve hizmetlerde kimlik doğrulama bilgilerinin güvenliğini sağlayan mekanizmayı oluşturur. Ortak şifreleme mimarisi Uygulama geliştiricileri, uygulama verilerini daha fazla korumak için kullanabilecekleri şifreleme AP'lerine erişebilirler. Veriler, AES, RC4 veya 3DES gibi kanıtlanmış yöntemleri kullanarak simetrik olarak şifrelenir. Ayrıca, iOS aygıtları AES şifreleme ve SHA1 adresleme için donanım hızlandırması sağlayarak uygulama performansını en yüksek düzeye çıkar. Uygulama veri koruması Uygulamalar hassas uygulama verilerini daha fazla korumak için iOS aygıtlarındaki yerleşik donanım şifrelemesinden yararlanır. Geliştiriciler veri koruması için belirli dosyaları belirterek, sisteme bu dosyaların içeriklerini hem uygulama için hem aygıt kilitlendiğinde potansiyel sızmalar için kriptografik olarak erişilemez yapma talimatını verebilirler. Uygulama hakları Varsayılan olarak, bir iOS uygulamasının çok sınırlı ayrıcalığı vardır. Geliştiriciler, iCloud, arka planda işleme veya paylaşılan anahtar zincirleri gibi çoğu özelliği kullanmak için açık bir şekilde haklar ekleyebilir. Bu uygulamaların dağıtım sırasında verilmeyen veri iletişim haklarını kendilerine verememelerini sağlar. Ayrıca, iOS uygulamaları GPS konumu, kullanıcı bilgileri, kamera veya depolanan fotoğraflar gibi pek çok iOS özelliğini kullanmadan önce açık kullanıcı izinini istemek zorundadır. İnternet Hizmetleri Apple kullanıcıların aygıtlarından daha da fazla yararlılık ve üretkenlik elde etmek için, iMessage, FaceTime, Siri, iCloud, iCloud Yedekleme ve iCloud Anahtar Zinciri gibi sağlam bir hizmetler seti oluşturmuştur. Bu İnternet hizmetleri iOS'un platformun tamamında sunduğu aynı güvenlik hedefleriyle oluşturulmuştur. Bu hedefler arasında, verilerin aygıtta saklanırken veya kablosuz ağlar arasında aktarılırken güvenli bir şekilde işlenmesi, kullanıcıların kişisel bilgilerinin korunması ve bilgileri ve hizmetlere kötü niyetli veya yetkisiz erişime göre tehdit koruması da bulunur. Her hizmet iOS'un genel kullanım kolaylığını bozmadan kendi güçlü güvenlik mimarisini kullanır. iMessage iMessage1 iOS aygıtları ve Mac bilgisayarları için bir mesajlaşma hizmetleridir. iMessage metin girişini ve fotoğraflar, kişiler ve konumlar gibi ekleri destekler. Mesajlar bir kullanıcının kayıtlı tüm aygıtlarında bulunduğu için, bu kullanıcı sohbete aygıtlarından herhangi birinden devam edebilir. iMessage Apple'ın Anında Bildirim Hizmetini (APNs) yaygın olarak kullanır. iMessage yalnızca gönderen ve alan aygıtların bildiği anahtarları kullanan uçtan uca şifrelemeyi kullanır. Apple mesajların şifresini çözmez ve mesajlar kaydedilmez. FaceTime 21 iOS Dağıtımı Teknik Başvuru Kılavuzu FaceTime2 Apple'ın görüntülü ve sesli arama hizmetidir. FaceTime aramaları ilk bağlantıyı oluşturmak için Apple Anında Bildirim Hizmetini, ardından şifreli bir yayın oluşturmak için Internet Connectivity Establishment (ICE) ve Session Initiation Protocol (SIP) özelliklerini kullanır. Siri Kullanıcılar sadece doğal bir şekilde konuşarak,3 mesaj göndermek, toplantılar düzenlemek, telefonla aramak ve daha fazlası için Siri'yi kullanabilirler. Siri çok çeşitli istekleri yerine getirmek için konuşma tanıma, metin seslendirme ve bir istemcisunucu modelini seçer. Siri'nin desteklediği görevler yalnızca mutlak olarak en düşük miktarda kişisel bilginin kullanılmasını ve bu bilgilerin tam olarak kullanılmasını sağlayacak şekilde tasarlanmıştır. Siri istekleri ve ses kayıtları kişisel olarak tanımlanmaz ve mümkün olan her durumda Siri işlevleri sunucuda değil aygıtta yürütülür. iCloud iCloud4 müzikleri, fotoğrafları, uygulamaları, takvimleri, belgeleri ve daha fazlasını depolar ve bir kullanıcının tüm aygıtlarına otomatik olarak anında aktarır. iCloud aygıt ayarları, uygulama verileri ve SMS ve MMS mesajları dahil bilgileri de günlük olarak Wi-Fi üzerinden yedekler. iCloud'da verileriniz, internet üzerinden gönderildiklerinde şifrelenerek, sunucuda tutulduklarında şifreli biçimde saklanarak ve kimlik doğrulaması için güvenli belirteçler kullanılarak korunur. Bunlara ek olarak, iCloud'un Fotoğraf Yayını, Belgeler ve Veriler ve Yedekleme gibi özellikleri bir yapılandırma profili kullanılarak devreden çıkarılabilir. iCloud güvenliği ve gizliliği hakkında daha fazla bilgi için, lütfen iCloud güvenliği ve gizliliğine genel bakış (İngilizce) sayfasına başvurun. iCloud Yedekleme iCloud ayrıca aygıt ayarları, uygulama verileri ve metin ve MMS mesajları gibi bilgileri de Wi-Fi üzerinden günlük olarak yedekler. iCloud'da verileriniz, internet üzerinden gönderildiklerinde şifrelenerek, sunucuda tutulduklarında şifreli biçimde saklanarak ve kimlik doğrulaması için güvenli belirteçler kullanılarak korunur. iCloud Yedekleme yalnızca aygıt kilitlendiğinde, bir güç kaynağına bağlandığında ve internete Wi-Fi erişimi olduğunda gerçekleşir. iOS'ta şifreleme kullanıldığı için, sistem kademeli ve kullanıcı gözetimi olmayan yedekleme ve geri yüklemelerin gerçekleşmesini sağlarken verileri güvenli tutacak şekilde tasarlanmıştır. iCloud Anahtar Zinciri iCloud Anahtar Zinciri kullanıcıların parolalarını iOS aygıtlarını ve Mac bilgisayarlarını bilgilerini Apple'a bilgi vermeden eşzamanlamalarını sağlar. Güçlü gizlilik ve güvenliğe ek olarak, iCloud Anahtar Zincirinin tasarımını ve mimarisini büyük oranda etkileyen diğer hedefler kullanım kolaylığı ve bir anahtar zincirini kurtarma yeteneğidir. iCloud Anahtar Zinciri iki hizmetten oluşur; anahtar eşzamanlama ve anahtar zinciri kurtarma. Anahtar zinciri eşzamanlamada, aygıtlarına katılmasına yalnızca kullanıcı onayı alındıktan sonra izin verilir ve eşzamanlama için uygun olan her anahtar zinciri iCloud anahtar değeri depolama aracılığıyla aygıt için şifreleme ile alınır ve verilir. Bu öğeler geçicidir ve eşzamanlama tamamlandıktan sonra iCloud'da kalmaz. Anahtar zinciri kurtarma kullanıcıların anahtar zincirlerini, Apple'a parolalarını ve içerdiği diğer verileri okuma olanağını vermeden Apple'a emanet etmesi için bir yol sağlar. Kullanıcının tek bir aygıtı olsa bile, anahtar zinciri kurtarma veri kaybına karşı bir güvenlik ağı oluşturur. Bu, web hesapları için rastlantısal, güçlü parolalar üretmek için Safari kullanıldığında özellikle önemlidir, çünkü bu parolalar sadece anahtar zincirine kaydedilir. Anahtar zinciri kurtarmanın önemli bir bileşeni, Apple tarafından özel olarak bu özelliği desteklemek için oluşturulan ikincil kimlik doğrulama ve güvenli bir emanet hizmetidir. Kullanıcının anahtar zinciri güçlü bir parola kullanılarak şifrelenir ve emanet hizmeti anahtar zincirinin bir kopyasını yalnızca katı bir koşullar kümesi karşılandığında sağlar. Güvenlikle ilgili ayrıntılar iOS Güvenlik Kılavuzu (İngilizce) belgesinde verilmektedir. 22 iOS Dağıtımı Teknik Başvuru Kılavuzu Bölüm 3: Yapılandırma ve Yönetim iOS dağıtımları hesap kurmayı, kurumsal ilkeleri yapılandırmayı, uygulama dağıtmayı ve aygıt sınırlarını uygulamayı basitleştiren birden fazla yönetim tekniği ile sorunsuz hale getirilebilir. Kullanıcılar yapılandırma işinin büyük bölümünü iOS'ta yerleşik Kurma Yardımcısı'nı kullanarak yapabilirler. iOS aygıtları yapılandırıldıktan ve MDM'e kaydedildikten sonra IT tarafından kablosuz olarak yönetilebilir. Bu bölümde iOS dağıtımınızı desteklemek yapılandırma profillerini ve mobil aygıt yönetimini nasıl kullanabileceğiniz açıklanmaktadır. Aygıt Kurulumu ve Etkinleştirme iOS kullanıcıların aygıtlarını kutudan çıkarır çıkarmaz iOS'taki kurma yardımcıyla etkinleştirmelerini, temel ayarlarını yapılandırmalarını ve hemen çalışmaya başlamalarını sağlar. Kullanıcılar temel özelliklerin yanı sıra dil, yer, Siri, iCloud ve iPhone'umu Bul gibi kişisel tercihlerini de özelleştirebilirler. Kurma Yardımcısı Apple ID'si olmayan kullanıcıların kişisel bir Apple ID oluşturmalarını da sağlar. Apple ID Apple ID, FaceTime, iMessage, iTunes, App Store, iCloud ve iBooks Store gibi çeşitli Apple hizmetlerinde oturum açmak için kullanılan bir kimliktir. Apple ID ile, her kullanıcı iTunes Store, App Store veya iBooks Store'dan uygulamalar, kitaplar ve içerikler indirebilir. Apple ID kullanıcıların birden fazla aygıttaki içeriklere erişmek ve bu aygıtlar arasında içerik paylaşmak için kullanabilecekleri bir iCloud hesabına kaydolmalarını da sağlar. Bu hizmetlerden en iyi şekilde yararlanabilmek için, kullanıcıların kendi kişisel Apple ID'lerini kullanması gerekir. Apple ID'leri yoksa, yapılandırmanın olabildiğince hızlı tamamlanmasını sağlamak için daha aygıtı almadan bir Apple ID oluşturabilirler. Apple ID edinme konusunda daha fazla bilgi için, lütfen Apple Kimliğim sayfasına bakın. Aygıtları Apple Configurator ile hazırlama IT tarafından merkezi olarak yönetilen ve bireysel kullanıcılar tarafından kurulmayan uygulamalarda, uygulamaları hızla etkinleştirmek, yapılandırmalar tanımlamak ve uygulamak, aygıtları denetlemek, uygulamalar kurmak ve aygıtları en son iOS sürümüne güncellemek için Apple Configurator kullanılabilir. Apple Configurator Mac App Store'dan indirilebilen ücretsiz bir OS X uygulamasıdır. Aygıtlar bu görevlerini yerine getirmek için USB aracılığıyla bir Mac'e bağlanmalıdır. Aygıtlara, aygıt ayarları ve Ana Ekran görünümü için de geçerli olan ve uygulama verilerini kuran bir yedekleme de geri yükleyebilirsiniz. ! 23 iOS Dağıtımı Teknik Başvuru Kılavuzu Yapılandırma Profilleri Yapılandırma profilleri iOS aygıtlarının IT sistemlerinizle çalışmasını sağlayan aygıt güvenlik ilkeleri ve sınırlamalarını, VPN yapılandırma bilgilerini, Wi-Fi ayarlarını, e-posta ve takvim hesaplarını ve kimlik doğrulama bilgilerin içeren EML dosyalarıdır. Yapılandırma profilleri bir aygıta hızla yapılandırma ayarları ve yetki bilgileri yükler. Bazı VPN ve Wi-Fi ayarları yalnızca bir yapılandırma profili kullanılarak yapılabilir ve Microsoft Exchange kullanmıyorsanız, aygıt parola ilkelerini oluşturmak için bir yapılandırma profili kullanmanız gerekir. Yapılandırma profilleri Over-the-Air Profile Delivery veya mobil aygıt yönetimi (MDM) ile dağıtılabilir. Apple Configurator yardımcı programını kullanarak yapılandırma profillerini USB aracılığıyla bir bilgisayara bağlanan aygıtlara kurabilirsiniz veya yapılandırma profillerini e-postayla veya bir web sayfasında da dağıtabilirsiniz. Kullanıcılar e-posta ekini açtığında veya profili Safari'yi kullanarak aygıtlarına indirdiklerinde, yükleme işlemini başlatmaları istenir. Bir MDM sunucusu kullanarak, sadece sunucu yapılandırma bilgilerini içerek bir ilk profil dağıtabilir ve ardından aygıtın tüm diğer profilleri kablosuz olarak edinmesini sağlayabilirsiniz. Yapılandırma profilleri şifrelenebilir ve imzalanabilir. Bu, yapılandırma profillerinin kullanımı belirli bir aygıtla sınırlayabilir ve bir profilin içerdiği ayarların başkaları tarafından önlemenizi sağlar. Bir profili aygıta kilitli olarak işaretleyerek, yalnızca aygıttaki tüm veriler silinerek veya isteğe bağlı olarak, bir parolayla kaldırılabilir. Kullanıcılar parolalar dışında bir yapılandırma profilinde sağlanan ayarları değiştiremez. Ayrıca, Exchange hesapları gibi bir profil tarafından yapılandırılan hesaplar yalnızca profil silinerek kaldırılabilir. Daha fazla bilgi için, lütfen iOS Geliştirici Arşivi sitesinde Yapılandırma Profili Anahtarı Başvuru (İngilizce) belgesine başvurun. Mobil Aygıt Yönetimi (MDM) iOS'ta üçüncü taraf MDM çözümlerinin kablosuz olarak iOS aygıtlarıyla etkileşimde bulunmasına olanak veren yerleşik bir MDM çerçevesi bulunur. Bu hafif çerçeve iOS aygıtları için tamamen baştan tasarlanmıştır ve bir kuruluş içindeki tüm iOS aygıtları tamamen yapılandırmak ve yönetmek için yeterince güçlü ve ölçeklenebilirdir. IT yöneticileri bir MDM çözümünü uygulayarak kurumsal bir ortamdaki aygıtları güvenli bir şekilde kaydedebilir, ayarları yapılandırabilir ve güncelleyebilir, kurumsal ilkelerle uyumluluğu izleyebilir ve yönetilen aygıtları uzaktan silebilir veya kilitleyebilir. iOS MDM, IT personeline kullanıcılara ağ hizmetlerine kullanıcı erişimini etkinleştirmek ve kime ait olduklarından bağımsız olarak aygıtların doğru yapılandırılmasını sağlamak için basit bit yol sağlar. MDM çözümleri, hem genel hem özel ağlardaki aygıtlarla kalıcı iletişimi korumak için Apple Anında İletilen Bildirim hizmetini (APNs) kullanır. MDM, istemcilerle konuşmak için bir APNs sertifikası ve güvenli iletişim kurmak için bir SSL sertifikası dahil olmak üzere, çalışma için birçok sertifika gerektirir. MDM çözümleri aynı zamanda profilleri bir sertifika ile imzalayabilir. APNs sertifikası da dahil çoğu sertifika her yıl yenilenmelidir. Bir sertifikanın süresi sona erdiğinde, sertifika güncellenene kadar bir MDM sunucusu istemcilerle iletişim kuramaz. Süreleri sona ermeden önce tüm MDM sertifikalarını güncellemeye hazır olun. ! MDM sertifikaları hakkında daha fazla bilgi için Apple Push Sertifikaları Portalı'na (İngilizce) başvurun. 24 iOS Dağıtımı Teknik Başvuru Kılavuzu Kaydolma Aygıtların kaydedilmesi, kataloglama ve varlık yönetimini etkinleştirir. Kayıt işleminin, iOS aygıtlarının kurum hizmetlerine kimlik doğrulama için benzersiz kimlik sertifikaları oluşturmalarını ve kaydetmelerini sağlayan Simple Certificate Enrollment Protocol (SCEP) protokolünü kullanır. Çoğu durumda, kullanıcılar aygıtlarını MDM'e kaydedip kaydetmemeye karar verebilir ve MDM'den herhangi bir anda ayrılabilir. Kurumlar, kullanıcıların yönetilmesini sürdürmek amacıyla, kullanıcılar için teşvikler düşünmelidir. Örneğin, kablosuz kimlik bilgilerini otomatik olarak sağlamak üzere, MDM çözümünü kullanarak Wi-Fi ağ erişimi için MDM kaydı yapılmasını gerekli hale getirin. Bir kullanıcı MDM'den ayrılırsa, aygıt bunu MDM sunucusuna bildirmeyi dener. ! Yapılandırma Kaydedilen bir aygıt, aygıta aygıt tarafından otomatik ve sessiz olarak yüklenen yapılandırma profillerini gönderen mobil aygıt yönetimi tarafından ayarlar ve ilkelerle dinamik olarak yapılandırılır. Yapılandırma profilleri (ayarların değiştirilmesini veya paylaşılmasını önlemek üzere) imzalanarak, şifrelenerek ve kilitlenerek ağınıza ve hizmetlerinize yalnızca sizin belirttiğiniz özelliklerle yapılandırılmış güvenilen kullanıcıların ve aygıtların erişmesi sağlanır. Kullanıcı aygıtını MDM'den ayırdığı takdirde, MDM aracılığıyla yüklenen tüm ayarlar kaldırılır. Hesaplar Mobil aygıt yönetimi kuruluşunuzun kullanıcılarının postalarını ve diğer hesaplarını otomatik olarak kurarak hızla hazır ve çalışır duruma gelmelerini sağlar. MDM ürününe ve iç sisteminize entegrasyon düzeyine bağlı olarak, hesap yükleri de bir kullanıcı adı, e-posta adresi ve ilgili yerlerde, kimlik doğrulama ve imzalama için sertifika kimlikleriyle önceden doldurulabilir. MDM aşağıdaki hesap türlerini yapılandırabilir: • Mail • Takvim • Abone Olunan Takvimler • Kişiler • Exchange ActiveSync • LDAP iOS 7'de yönetilen Mail ve Takvim hesapları yeni Açma Yönetimi sınırlamalarına uyar. Sorgular Bir mobil aygıt yönetimi sunucusu, çeşitli bilgiler için aygıtları sorgulama özelliğine sahiptir. Bu sorgu, aygıtın seri numarası, aygıt UDID'si veya Wi-Fi MAC adresi gibi donanım bilgileri ile iOS sürümü ve aygıtta yüklü tüm uygulamaların ayrıntılı bir listesi gibi yazılım bilgilerini içerir. Bu bilgiler, kullanıcıların uygun uygulamaları koruduklarından emin olmak için kullanılabilir. Apple TV yazılımı veya daha yeni sürümüyle, MDM kayıtlı Apple TV aygıtlarında dil, yerel ayarlar ve kuruluş gibi varlık bilgilerini de sorgulayabilir. ! 25 iOS Dağıtımı Teknik Başvuru Kılavuzu Komutlar Bir aygıt yönetilirken, bir dizi özel eylemle mobil aygıt yönetim sunucusu aracılığıyla yönetilebilir. Yönetim görevleri arasında aşağıdakiler de bulunur: • Yapılandırma ayarlarını değiştirme. Bir aygıta yeni veya güncellenmiş bir yapılandırma profili yüklemek için bir komut gönderilebilir. Yapılandırma değişiklikleri kullanıcı müdahalesi olmadan sessiz bir şekilde gerçekleşir. • Aygıt kilitleme. Bir aygıtın anında kilitlenmesi gerekiyorsa, aygıtı halen atanmış olan parolayla kilitlemek için bir komut gönderilir. • Bir aygıtı uzaktan silme. Kaybolan veya çalınan bir aygıttaki tüm verileri silmek için bir komut gönderilebilir. Bir uzaktan silme komutu gönderildiğinde, artık geri alınamaz. • Parola kilidi temizleme. Parola temizleme aygıtı kullanıcıdan hemen yeni bir parola girmesini isteyecek şekilde ayarlamanızı sağlar. Bu özellik, kullanıcı parolasını unuttuğunda ve IT personelinden parolasını sıfırlamasını istediğinde kullanılır. • AirPlay Yansıtmayı İsteme ve AirPlay Yansıtmayı Durdurma. iOS 7 belirli bir hedefte AirPlay yansıtmayı başlatmak veya mevcut bir AirPlay oturumunu bitirmek için denetlenen bir iOS aygıtına bir komut gönderir. Yönetilen uygulamalar Kuruluşlar kullanıcılarının işte veya sınıfta üretken olmalarını sağlamak için çoğu zaman yazılım dağıtma ihtiyacı duyar. Aynı zamanda, kuruluşların bu yazılımların iç kaynaklara nasıl bağlandığını veya bir kullanıcı kuruluşun dışına çıktığında, kullanıcıların kişisel uygulamaları ve verileriyle yan yana bulunan verilerinin güvenliğinin nasıl sağlandığını kontrol etmeleri de gerekir. iOS 7'de yönetilen uygulamalar bir kuruluşun MDM kullanarak kurumsal uygulamaları kablosuz dağıtmasını ve bunu kurumsal güvenlik ve kullanıcı kişiselleştirme arasında doğru dengeyi yakalayarak yapmasını sağlar. MDM sunucuları, hem App Store uygulamalarını hem de şirket içi kurumsal uygulamaları aygıtlara kablosuz olarak dağıtabilir. Yönetimli uygulamalar MDM sunucusu tarafından uzaktan kaldırılabilir veya kullanıcı kendi aygıtını MDM'den çıkardığında kalkar. Uygulamayı kaldırmak kaldırılan uygulamayla ilgili verileri de kaldırır. ! 26 iOS Dağıtımı Teknik Başvuru Kılavuzu Mobil aygıt yönetimi, daha yüksek bir güvenlik ve daha iyi bir kullanıcı deneyimi sağlamak için iOS 7'de yönetimli uygulamalara bir dizi ek sınırlama ve özellik ekler. • Açma Yönetimi. Bir kuruluşun uygulama verilerini korumak için iki yararlı işlev sağlar: – Yönetilmeyen uygulamalarla oluşturulan belgelerin yönetilen uygulamalarda açılmasını sağlar. Bu sınırlamanın zorlanması bir kullanıcının kişisel uygulamalarının ve hesaplarının kuruluşun yönetilen uygulamalarındaki belgeleri açmasını engeller. Örneğin, bu sınırlama bir kullanıcının Keynote kopyasının bir kuruluşun PDF görüntüleme uygulamasındaki bir sunum PDF'ini açmasını engelleyebilir. Bu sınırlama bir kullanıcının kişisel iCloud hesabının bir kuruluşun Pages kopyasındaki bir sözcük işleme belgesi ekini açmasını da önleyebilir. – Yönetilen uygulamalarla oluşturulan belgelerin yönetilmeyen uygulamalarda açılmasını sağlar. Bu sınırlamanın zorlanması bir kuruşun yönetilen uygulamalarının ve hesaplarının bir kullanıcının kişisel uygulamalarındaki belgeleri açmasını engeller. Bu sınırlama kuruluşun yönetilen posta hesabındaki gizli bir ek-posta ekinin kullanıcının kişisel uygulamalarının herhangi birinde açılmasını engelleyebilir. • Uygulama Yapılandırma. Uygulama geliştiricileri bir yönetimli uygulama kurulduğunda ayarlanabilecek uygulama ayarlarını belirleyebilir. Bu yapılandırma ayarları yönetimli uygulama kurulduktan önce veya sonra kurulabilir. • Uygulama Geri Bildirimi. Uygulamaları üreten uygulama geliştiricileri MDM kullanarak bir yönetim uygulamasından okunabilecek ayarları tanımlayabilir. Örneğin, bir geliştirici bir MDM sunucusunun uygulamanın başlatıldığını veya kurulduğunu belirlemek için sorgulayabileceği bir “Kurulum Tamamlandı” anahtarı belirtebilir. • Yedekleme Önleme. Bu sınırlama yönetilen uygulamaların verileri iCloud'a veya iTunes'a yedeklemesini önler. Yedeklemeye izin vermemek yönetilen uygulama verilerinin, uygulama kullanıcı tarafından MDM'den kaldırılıp daha sonra yeniden kurulması durumunda kurtarılmasını önler. Aygıt Denetimi Denetim kuruluşuna ait aygıtlar için, iMessage'ı veya Game Center'ı kapatma gibi ek sınırlamalara izin vererek daha yüksek bir aygıt yönetim düzeyi sağlar. Ayrıca, web içeriği filtreleme veya uygulamaları sessiz yükleme gibi ek aygıt yapılandırmaları ve özellikleri de sağlar. Denetimli aygıtlarda etkinleştirilebilecek spesifik sınırlamalar için Ek B'ye bakın. ! 27 iOS Dağıtımı Teknik Başvuru Kılavuzu Bölüm 4: Uygulama Dağıtımı iOS kuruluşunuzdaki kişilerin her gün yapmaları gereken (e-posta, takvimleri yönetme, kişileri kaydetme veya web üzerinde içerik kullanma gibi) her şeyi yapmalarını sağlayan uygulamalarla gelir. Kullanıcıların üretken olmak için ihtiyaç duyduğu işlevlerin çoğu App Store'da bulunan yüz binlerce üçüncü taraf uygulamasından veya özel olarak geliştirilen şirket için kurumsal uygulamalardan gelir. iOS Kurumsal Geliştirici Programı'na üyeyseniz kendi şirket içi uygulamalarınızı da oluşturabilir ve dağıtabilirsiniz. ! Kuruluşunuz tarafından kullanılmak üzere kendi iOS uygulamalarınızı geliştirdiğiniz takdirde, iOS Kurumsal Geliştirici Programı şirket içi uygulamaları dağıtmanızı sağlar. Bir şirket içi uygulamayı dağıtma prosedürü şudur: • iOS Kurumsal Geliştirici Programına kaydolun. • Uygulamanızı dağıtım için hazırlayın. • Aygıtlara imzaladığınız uygulamaları kullanma yetkisi veren bir kurumsal dağıtım yapılandırma dosyası oluşturun. • Uygulamayı bu yapılandırma dosyasını ekleyin. • Uygulamayı kullanıcılara dağıtın. ! ! 28 iOS Dağıtımı Teknik Başvuru Kılavuzu Uygulama geliştirme için kaydolma iOS için şirket uygulamaları geliştirmek ve dağıtmak istiyorsanız, önce iOS Kurumsal Geliştirici Programı'na (İngilizce) kaydolun. Kaydolduktan sonra, bir geliştirici sertifikası ve geliştirici yapılandırma profili isteyebilirsiniz. Bunlara geliştirme sırasında uygulamanızı oluşturmak ve test etmek için kullanırsınız. Geliştirme yapılandırma profili uygulamaların kayıtlı aygıtlarda çalışmaları için sizin geliştirici sertifikanızla imzalanmasını sağlar. Geliştirici yapılandırma profilini iOS Provisioning Portalında oluşturabilirsiniz. Bu ad hoc profil üç ay içinde sona erer ve hangi aygıtların uygulamanızın geliştirme yapılarını çalıştırabileceğini (aygıt kimliğine göre) belirtir. Geliştirici imzalı yapınızı ve geliştirme yapılandırma profilinizi uygulama ekibinize ve test edecek kişiler dağıtırsınız. Uygulamaları dağıtım için hazırlama Geliştirme ve testleri tamamladıktan ve uygulamanızı dağıtmaya hazır hale geldikten sonra, uygulamanızı kendi dağıtım sertifikanızı kullanarak imzalarsınız ve bir yapılandırma dosyasıyla paket haline getirirsiniz. Program üyeliğiniz için belirttiğiniz Ekip Temsilcisi veya Yönetici iOS Provisioning Portal'ında (İngilizce) sertifikayı ve profili oluşturur. Dağıtım sertifikası üretimi, bir Sertifika İmzalama İsteği (CSR) üretmek için (OS X geliştirme sisteminizde Anahtar Zinciri Erişimi uygulamanızın bir parçası olan) Certificate Assistant kullanılmasını gerektirir. CSR iOS Provisioning Portalına yüklenir ve karşılığında bir dağıtım sertifikası alınır. Bu sertifikayı Kerberos'a yüklediğinizde, uygulamanızı bu sertifikayla imzalamak için Xcode'u ayarlayabilirsiniz. Şirket içi uygulamaların konfigürasyonu Kurumsal dağıtım yapılandırma profili uygulamanızın sınırsız sayıda iOS aygıtına kurulmasını sağlar. Belirli bir uygulama veya birden fazla uygulama için bir kurumsal dağıtım konfigürasyon profili oluşturabilirsiniz. Mac'inize kurumsal dağıtım sertifikası ve konfigürasyon profili kurulduktan sonra, uygulamanızın çıkış/üretim sürümünü imzalamak ve oluşturmak için Xcode kullanabilirsiniz. Kurumsal dağıtım sertifikanız üç yıl geçerlidir; bu sürenin sonunda uygulamanızı yenilenmiş bir sertifikayla imzalamanız ve oluşturmanız gerekir. Uygulamanın konfigürasyon profili bir yıl geçerli kalır, bu nedenle her yıl yeni konfigürasyon profilleri çıkarmanız gerekir. Daha fazla ayrıntı için, “Güncellenmiş Uygulamalar Sağlama” (Ek C) bölümüne bakın. Dağıtım sertifikanıza ve özel anahtarına erişimi sınırlamanız çok önemlidir. Bu öğeleri p12 formatında dışa aktarmak ve yedeklemek için OS X'te Anahtar Zinciri Erişimini kullanın. Özel anahtar kaybolduğu takdirde, kurtarılamaz ve ikinci kez indirilemez. Sertifikayı ve özel anahtarı güvende tutmak için, erişimi uygulamanın nihai kabulünden sorumlu personelle sınırlamanız gerekir. Bir uygulamayı dağıtım sertifikanızla imzalamanız şirketinizin uygulamanın içeriğini, işlevlerini ve Kurumsal Geliştirici Sözleşmesi lisans koşullarına uygun olduğunu onayladığı anlamına gelir. ! 29 iOS Dağıtımı Teknik Başvuru Kılavuzu Uygulamaları Dağıtma Bir uygulamayı dağıtmanın dört yolu vardır: • Uygulamaları kullanıcılarınıza iTune kullanarak kurmaları için dağıtma. • IT kullanıcılarının uygulamayı aygıtlara Apple Configurator kullanarak yüklemesi. • Uygulamayı güvenli bir web sunucusuna yükleme; kullanıcılar uygulamaya kablosuz erişerek yükleyebilirler. Bkz., "Ek C: Şirket İçi Uygulamaları Kablosuz Yükleme" • Yönetimli aygıtlara şirket içi veya ücretsiz App Store uygulamasını yüklemek için (MDM sunucunuz bunu kullanıyorsa) MDM sunucunuzu kullanın. Uygulamaları iTunes kullanarak kurma Kullanıcılarınızı uygulamaları aygıtlarına iTunes kullanarak kuruyorsa, uygulamayı kullanıcılara güvenli bir şekilde dağıtın ve aşağıdaki işlemleri yapmalarını isteyin: 1. iTunes'da, Dosya>Kitaplığa Ekle'yi ve ardından dosyayı (.app, .ipa veya .mobileprovision) seçin. Kullanıcı dosyayı iTunes uygulama penceresine de sürükleyebilir. 2. Bilgisayara bir aygıt bağlayın ve iTunes'da Aygıtlar listesinde bu aygıtı seçin. 3. Uygulamalar sekmesine tıklayın ve listedeki uygulamayı seçin. 4. Uygula düğmesine tıklayın. Kullanıcılarınızın bilgisayarları yönetimliyse, dosyaları iTunes'a eklemelerin istemek yerine, dosyaları bilgisayarlara dağıtabilir ve aygıtlarını eşzamanlamalarını isteyebilirsiniz. iTunes, iTunes Mobil Uygulamalar ve Konfigürasyon Profilleri klasörlerinde bulunan dosyaları otomatik olarak yükler. Uygulamaları Apple Configurator ile yükleme Mac App Store'dan indirilebilen ücretsiz bir OS X uygulaması olan Apple Configurator IT yöneticileri tarafından şirketi içi (veya App Store) uygulamalarını yüklemek için kullanılabilir. App Store'daki ücretsiz uygulamalar veya şirket içi uygulamalar doğrudan Apple Configurator'a aktarılabilir ve istediğiniz sayıda aygıta yüklenebilir. Uygulamaları MDM kullanarak yükleme Bir MDM sunucusu App Store'daki ücretsiz uygulamaları olduğu gibi şirket içi uygulamalarını da yönetebilir. MDM kullanarak yüklenen uygulamalar ”yönetimli uygulamalar” olarak adlandırılır. MDM sunucusu, kullanıcı MDM'den ayrıldığında yönetimli uygulamaların ve verilerinin korunup korunmayacağını belirtir. Ayrıca, sunucu yönetimli uygulamanın iTunes'a veya iCloud'a yedeklenmesini de önleyebilir. Bu IT departmanını hassas şirket bilgileri içeren belgeleri doğrudan kullanıcı tarafından indirilen uygulamalara göre daha fazla kontrol ederek yönetmesini sağlar. Yönetimli bir uygulamayı kurmak için, MDM sunucusu aygıta bir kurulum komutu gönderir. Denetimli aygıtlardan, yönetilen uygulamaların kurulmasından önce bir kullanıcı onayı gerekir. Yönetimli uygulamalar iOS 7'deki ek kontrollerden yararlanır. VPN bağlantıları artık uygulama düzeyinde belirtilebilir, bu durumda korunan VPN tünelinde yalnızca bu uygulamanın ağ trafiği bulunur. Bu özel verilerin gizli kalmasını ve herkese açık verilerin bu bu verilerle karışmamasını sağlar. Yönetimli uygulamalar iOS 7'de Açma Yönetimini de destekler. Bu, yönetimli uygulamaların kullanıcının kişisel uygulamalarına/uygulamalarından veri aktarımını sınırlayabileceği ve böylece kurumların hassas verileri olmaları gereken yerde tutmalarını sağlayabileceği anlamına gelir. 30 iOS Dağıtımı Teknik Başvuru Kılavuzu Önbellek Sunucusu iOS kullanıcıların dijital içeriklere erişmesini ve bu içerikleri kullanmasını kolaylaştırır ve bazı kullanıcılar bir kuruluşun kablosuz ağına bağlandıklarında gigabaytlarca uygulama, kitap ve yazılım güncellemeleri isteyebilir. Bu varlıklara talep, ilk aygıt kurulumunda ve daha sonra zaman içinde kullanıcılar yeni uygulamalar keşfettiklerinde veya içerik güncellendiğinde aniden artar. Bunun sonucunda, içerik indirmeleri internet bant genişliğinde taşmalara neden olabilir. OS X Server'ın Caching Server özelliği istenen içeriklerin önbelleğe alınan kopyalarını yerel alan ağında saklayarak özel ağlarda (RFC1918) internet çıkış bant genişliğini azaltır. Büyük ağlar birden fazla Caching Server kullanma avantajından yararlanır. Çoğu dağıtımda, Caching Server'ı yapılandırmak hizmet açmak kadar basittir. Sunuccu ve sunucuyu kullanan tüm aygıtlar için bir NAT ortamı zorunludur. Daha fazla bilgi için lütfen OS X Server: Gelişmiş Yönetim belgesine başvurun. iOS 7 kurulu iOS aygıtları ek bir aygıt yapılandırması gerekmeksizin otomatik olarak yakındaki bir Caching Server ile iletişim kurar. Caching Server iş akışı iOS aygıtına aşağıda belirtildiği gibi saydam bir şekilde davranır: 1. Bir veya daha fazla Caching Server bulunan bir ağa bağlı bir iOS aygıtı iTunes Store veya Yazılım Güncelleme sunucusundan içerik istediğinde, iOS aygıtı bir Caching Server'a yöneltilir. 2. Caching Server ilk olarak istenen içeriğin yerel önbellekte olup olmadığını kontrol eder. Varsa, içeriği hemen iOS aygıtına aktarmaya başlar. 3. Caching Server istenen içeriğe sahip değilse, içeriği başka bir kaynaktan indirmeyi dener. OS X Mavericks için Caching Server 2 ağdaki istenen içeriği daha önce indirmiş diğer Caching Sunucularını kullanan bir eşler arası kopyalama özelliğine sahiptir. 4. Caching Sunucusu indirilen verileri alır ve bu verileri derhal istekte bulunan istemcilere aktarır ve aynı zamanda bir kopyasını diske önbellekler. iOS 7 aşağıdaki önbelleklenen içerik türlerini destekler: • iOS Yazılım Güncellemeleri • App Store uygulamaları • App Store güncellemeleri • iBooks Store'dan kitaplar iTunes, Caching Server 2'yi de destekler. Aşağıdaki içerik türleri (hem Mac'te hem Windows'ta) iTunes 11.0.4 ve daha yeni sürümleri tarafından desteklenir: • App Store uygulamaları • App Store güncellemeleri • iBooks Store'dan kitaplar ! 31 iOS Dağıtımı Teknik Başvuru Kılavuzu Ek A: Wi-Fi Altyapısı Bir iOS dağıtımı için Wi-Fi altyapısını hazırlarken, dikkat edilmesi gereken birkaç unsur vardır: • Gereken kapsama alanı • Wi-Fi ağını kullanan aygıtların sayısı ve yoğunluğu • Aygıtların türleri ve Wi-Fi özellikleri • Aktarılan verilerin türleri ve miktarı • Kablosuz ağa erişmek için güvenlik gereksinimleri • Şifreleme gereksinimleri Bu liste bütün öğeleri içermez, ancak en uygun Wi-Fi ağ tasarımı unsurlarından bazılarını sunar. Anımsatma: Bu bölüm, Amerika Birleşik Devletleri'ndeki Wi-Fi ağ tasarımına odaklanır. Bu tasarım diğer ülkelerde farklılık gösterebilir. Kapsama ve yoğunluk planlaması iOS aygıtlarının kullanıldığı yerde Wi-Fi kapsaması sağlamak kritik olsa da, belirtilen alandaki aygıt yoğunluğunu planlamak da bir o kadar önemlidir. Birçok yeni, kurumsal sınıf erişim noktası aygıtı 50'ye kadar Wi-Fi istemcisini yönetebilir; ancak bu kadar çok aygıt tek bir erişim noktasına bağlıysa, kullanıcı deneyimi tatmin edici olmayabilir. Her aygıttaki deneyim, kullanılan kanaldaki kablosuz bant genişliğine ve tüm bant genişliğini paylaşan aygıt sayısına bağlıdır. Aynı erişim noktasını daha da fazla aygıt kullandıkça, bu aygıtların ilgili ağ hızı da azalır. iOS aygıtlarının beklenen kullanım düzenini Wi-Fi ağ tasarımınızın bir bölümü olarak değerlendirmelisiniz. 2.4 GHz ve 5 GHz karşılaştırması 2.4 GHz frekansında çalışan Wi-Fi ağları Amerika Birleşik Devletleri'nde 11 kanala izin verir. Ancak, kanal paraziti etkenleri nedeniyle, bir ağ tasarımında yalnızca 1, 6 ve 11 kanalları kullanılmalıdır. 5 GHz sinyaller, 2.4 GHz sinyaller gibi duvarları ve diğer engelleri geçemez, bu da daha küçük bir kapsama alanıyla sonuçlanır. Bu nedenle, sınıf gibi kapalı bir alanda yüksek aygıt yoğunluğu için tasarım yaparken 5 GHz ağlar tercih edilebilir. 5 GHz bandındaki kanal sayısı, erişim noktası satıcıları arasında ve ülkeye göre değişir, ancak her zaman en az sekiz kanal kullanılabilir durumdadır. 5 GHz frekansındaki hiç bir kanal diğerleri ile örtüşmez, bu da birbirleriyle örtüşmeye üç kanal içeren 2.4 GHz bandı ile arasındaki önemli bir farklılıktır. Yüksek iOS aygıtı yoğunluğu için bir Wi-Fi ağı tasarlarken, 5 GHz frekansında sağlanan ek kanallar, strateji planlamasında dikkate alınmalıdır. ! 32 iOS Dağıtımı Teknik Başvuru Kılavuzu Kapsama Tasarımı Binanızın fiziksel yapısı Wi-Fi ağ tasarımınızı etkileyebilir. Örneğin, bir iş ortamında kullanıcılar diğer çalışanlara konferans odalarında veya ofislerde buluşabilir. Bunun sonucunda, kullanıcılar gün boyunca bina içinde hareket ederler. Bu senaryoda, eğ erişiminin çoğu e-postaları, takvimleri kontrol etme ve internette gezinme ile bağlantılıdır ve bu nedenle Wi-Fi kapsama alanı en yüksek önceliktir. Senaryodaki Wi-Fi tasarımı, ofisler için kapsama alanı sağlamak amacıyla her katta iki veya üç erişim noktasını, her konferans salonunda da bir erişim noktasını içerebilir. Yoğunluk tasarımı Yukarıdaki senaryoyu, iki katlı bir binada 1000 öğrencisi ve 30 öğretmeni olan bir okulla karşılaştırın. Her öğrenciye bir iPad, her öğretmene de hem bir Macbook Air, hem de bir iPad verilmiştir. Her sınıfta yaklaşık 35 öğrenci bulunur ve sınıflar birbirine bitişiktir. Gün boyunca, öğrenciler internette araştırma yapar, eğitim programı ile ilgili videoları izler ve yerel ağda bulunan bir dosya sunucusunda dosya kopyalama işlemleri yaparlar. Bu senaryonun Wi-Fi ağ tasarımı, daha yüksek mobil aygıt yoğunluğu nedeniyle daha karmaşıktır. Her sınıfta yaklaşık 35 öğrenci olduğu için, her sınıfa bir erişim noktası dağıtılmalıdır. Yeterli kapsama sağlamak için ortak alanlarda birden fazla erişim noktası kullanılmalıdır. Ortak alanlardaki erişim noktalarının gerçek sayısı, bu alanlardaki Wi-Fi yoğunluğuna göre değişebilir. Ağa yalnızca 802.11b veya 802.11g standartlarını destekleyen aygıtların katılması gerektiği takdirde, çift bantlı erişim noktaları dağıtılmışsa bir seçenek sadece 802.11b/g'yi etkinleştirmektir. Bir diğer seçenek ise, daha yeni aygıtlar için 5 GHz hızında 802.11n kullanarak bir SSID ve 802.11b ve 802.11g aygıtlara destek vermek için 2.4 GHz hızında ikinci bir SSID sağlamaktır. Ancak, çok fazla SSID oluşturmamaya dikkat edilmelidir. Her iki tasarım senaryosunda da gizli SSID'lerin kullanımından kaçınılmalıdır. Bir Wi-Fi aygıtının, yayınlanan SSID'ye göre adı gizlenmiş bir SSID'ye yeniden katılması daha zordur ve SSID'yi gizlemenin güvenlik avantajı çok azdır. Kullanıcılar, iOS aygıtlarıyla birlikte konumlarını sık sık değiştirmeye eğilimlidir, bu nedenle gizli SSID'lerin kullanılması ağ ilişkilendirme süresini artırabilir. Apple ürünlerindeki Wi-Fi standartları Apple ürünlerinde farklı Wi-Fi spesifikasyonları için verilen destek, bu bilgileri içeren aşağıdaki listede ayrıntılı olarak belirtilmektedir: • 802.11 uyumluluğu. 802.11b/g, 802.11a, 802.11n • Frekans bandı. 2.4 GHz veya 5 GHz • MCS dizini. Modülasyon ve Kodlama Şeması (MCS) dizini, 802.11n aygıtlarının iletişim kurabileceği en yüksek aktarım hızını tanımlar. • Kanal birleştirme. HD20 veya HD40 ! 33 iOS Dağıtımı Teknik Başvuru Kılavuzu • Koruma aralığı (GI): Koruma aralığı, bir aygıttan diğerine aktarılan semboller arasındaki boşluktur (zaman olarak). 802.11n standardı, daha hızlı genel çıkışa izin veren 400 ns'lik kısa bir koruma aralığını tanımlar, ancak aygıtlar 800 ns'lik uzun bir koruma aralığı kullanabilir. iPhone 5s 802.11n @ 2.4GHz ve 5GHz 802.11a/b/g MCS Dizin 7 / HT40 / 400ns GI iPhone 5c 802.11n @ 2.4GHz ve 5GHz 802.11a/b/g MCS Dizin 7 / HT40 / 400ns GI iPhone 5 802.11n @ 2.4GHz ve 5GHz 802.11a/b/g MCS Dizin 7 / HD40 / 400ns GI iPhone 4s 802.11n @ 2.4GHz 802.11b/g MCS Dizin 7 / HD20 / 800ns GI iPhone 4 802.11n @ 2.4GHz 802.11b/g MCS Dizin 7 / HD20 / 800ns GI iPad Air ve Retina ekranlı iPad mini 2.4 GHz ve 5 GHz frekanslarında 802.11n 802.11 a/b/g MCS Dizin 15 / HD40 / 400ns GI iPad (4. Nesil) ve iPad mini 802.11n @ 2.4GHz ve 5GHz 802.11a/b/g MCS Dizin 7 / HD40 / 400ns GI iPad (1., 2. ve 3. Nesil) 802.11n @ 2.4GHz ve 5GHz 802.11a/b/g MCS Dizin 7 / HD20 / 800ns GI iPod touch (5. Nesil) 802.11n @ 2.4GHz ve 5GHz 802.11a/b/g MCS Dizin 7 / HD40 / 400ns GI iPod touch (4. Nesil) 802.11n @ 2.4GHz 802.11b/g MCS Dizin 7 / HD20 / 800ns GI ! 34 iOS Dağıtımı Teknik Başvuru Kılavuzu Ek B: Sınırlamalar iOS, hepsi kuruluşunuzun ihtiyaçlarını karşılamak için yapılandırılabilen aşağıdaki ilkeleri ve sınırlamaları destekler. Aygıt işlevleri • Uygulama kurmaya izin verme • Siri'ye izin verme • Kilitliyken Siri'ye izin verme • Kamera kullanımına izin verme • FaceTime'a izin verme • Ekran resmi çekmeye izin verme • Dolaşım sırasında otomatik eşzamanlamaya izin verme • Son Mail iletilerinin eşzamanlanmasına izin verme • Sesli aramaya izin verme • Uygulama içinden satın almaya izin verme • Tüm satın alma işlemleri için mağaza parolası gereklidir • Çok oyunculu oyunlara izin verme • Game Center arkadaşları eklemeye izin verme • İzin verilen derecelendirmeleri ayarlama • Touch ID'ye izin verme • Kilit Ekranından Denetim Merkezine erişmeye izin verme • Kilit Ekranından Bildirim Merkezine erişmeye izin verme • Kilit ekranından Bugün görünümüne izin verme • Kilit ekranında Passbook bildirimlerine izin verme Uygulamalar • iTunes Store kullanımına izin verme • Safari kullanımına izin verme • Safari güvenlik tercihlerini ayarlama iCloud • Yedeklemeye izin verme • Belge ve anahtar zinciri eşzamanlamasına izin verme • Fotoğraf Yayınım'a izin verme • iCloud fotoğraf paylaşımına izin verme ! 35 iOS Dağıtımı Teknik Başvuru Kılavuzu Güvenlik ve gizlilik • Tanılama verilerinin Apple'a gönderilmesine izin verme • Kullanıcının güvenilmeyen sertifikaları kabul etmesine izin verme • Şifreli yedeklemelere zorlama • Yönetimsiz Uygulamalardan Yönetimli Uygulamalara Açmaya İzin Verme • Yönetimli Uygulamalardan Yönetimsiz Uygulamalara Açmaya İzin Verme • İlk AirPlay eşleştirmesinde parola isteme • Kablosuz PKI güncellemelerine izin verme • Limit Ad Tracking'i zorunlu tutma Yalnızca denetlenen uygulamalar için sınırlamalar • Yalnızca Tek Uygulama Modu • Erişilebilirlik ayarları • iMessage'e izin verme • Game Center'a izin verme • Uygylamaların kaldırılmasına izin verme • iBooks Store'a izin verme • iBooks Store'dan erotik kitaplara izin verme • Siri Profanity Filter'i etkinleştirme • Yapılandırma profillerinin elle yüklenmesine izin verme • HTTP için global ağ proxy'si • İçerik eşzamanlamak için bilgisayar eşleştirmeye izin verme • AirPlay bağlantılarını güvenli adresler listesi ve isteğe bağlı bağlantı parolalarıyla sınırlama • AirDrop'a izin verme • Hesap değiştirmeye izin verme • Hücresel veri ayarlarının değiştirilmesine izin verme • Arkadaşlarımı Bul'a izin verme • Ana makine eşleştirmeye izin verme (iTunes) • Etkinleştirme Kilidine İzin Verme ! ! 36 iOS Dağıtımı Teknik Başvuru Kılavuzu Ek C: Şirket İçi Uygulamaları Kablosuz Yükleme iOS özel geliştirilen şirket içi uygulamaların iTunes veya App Store kullanmadan kablosuz yüklenmesini destekler. Gereksinimler: • Kimliği doğrulanan kullanıcıların erişebileceği güvenli bir web sunucusu • Çıkış/üretim için oluşturulmuş .ipa formatında bir iOS uygulaması ve bir kurumsal konfigürasyon profili • Bu ekte açıklanan, bir XML içerik dosyası • Aygıtların Apple'da bir iTunes sunucusuna erişmesini sağlayan bir ağ yapılandırması Uygulama kurmak basittir. Kullanıcılar içerik dosyasını web sitesinden iOS aygıtlarına indirir. İçerik dosyası aygıta içerik dosyasında belirtilen uygulamaları indirme ve kurma talimatını verir. İçerik dosyasının indirileceği URL adresini SMS veya e-posta ile veya oluşturduğunuz başka bir uygulamaya gömerek dağıtabilirsiniz. Uygulamaları dağıtmak için web sitesi tasarlamaya ve barındırmaya karar verebilirsiniz. Kullanıcıların belki basit kimlik doğrulamasını veya dizin tabanlı kimlik doğrulamayı kullanarak kimliklerini doğruladıklarından ve web sitesine dahili ağınız veya internet aracılığıyla erişilebildiğinden emin olun. Uygulamayı ve içerik dosyasını gizli bir dizine veya HTTP veya HTTPS kullanılarak okunabilecek herhangi bir diğer konuma yerleştirebilirsiniz. Bir self servis portalı oluşturuyorsanız, kullanıcının Ana ekranında bir Web Klibi ekleyerek, yeni yapılandırma profilleri, önerilen App Store uygulamaları ve bir mobil aygıt yönetimi çözümüne kayıt gibi gelecekteki dağıtım bilgileri içine portala yönlendirilmelerini kolaylaştırmayı düşünebilirsiniz. Şirket içi bir uygulamayı kablosuz dağıtım için hazırlama Şirket içi uygulamanızı kablosuz dağıtıma hazırlamak için, arşivlenmiş bir sürümünü (bir .ipa dosyası) ve uygulamanın kablosuz dağıtılmasını ve kurulmasını sağlayan bir manifest dosyası oluşturmanız gerekir. Bir uygulama arşivi oluşturmak için Xcode kullanın. Uygulamayı dağıtım sertifikanızı kullanarak imzalayın ve arşive kurumsal dağıtım konfigürasyon profilini ekleyin. Uygulama oluşturma ve arşivleme konusunda daha fazla bilgi için, iOS Dev Center'ı ziyaret edin veya Xcode Yardım menüsünde bulunan Xcode Kullanıcı Kılavuzu'na başvurun. Kablosuz manifest dosyası hakkında Manifest dosyası bir XML plist dosyasıdır. iOS aygıtı tarafından web sunucunuzdan uygulamalar bulmak, indirmek ve kurmak için kullanılır. Manifest dosyası arşivlenmiş bir uygulamayı kurumsal dağıtım için ilettiğinizde sağladığınız bilgiler kullanılarak Xcode tarafından oluşturulur. Uygulamaları dağıtım için hazırlama konusunda aşağıdaki bölümlere bakın. 37 iOS Dağıtımı Teknik Başvuru Kılavuzu Aşağıdaki alanlar zorunludur: Ürün Tanım URL Uygulama (.ipa) dosyasının tam olarak uygun HTTPS URL adresi. ekran resmi İndirme ve yükleme sırasında gösterilen 57x57-piksel çözünürlüğünde bir PNG resmi. Resmin tam olarak uygun URL adresini belirtin. tam boy resim iTunes'da uygulamayı temsil eden 512x512 piksel çözünürlüğünde bir PNG resmi. paket tanımlayıcı Uygulamanızın, tam olarak Xcode projesinde belirtilen paket tanımlayıcısı. paket sürümü Uygulamanızın, Xcode projesinde belirtilen paket sürümü. başlık Uygulamanızın indirme ve yükleme sırasında gösterilen adı. ! Yalnızca Gazetelik uygulaması için, aşağıdaki alanlar zorunludur: Ürün Tanım gazetelik resmi Gazetelik rafında gösterilecek tam boy PNG resim. UINewsstandBindingEdge UINewsstandBindingType Bu anahtarlar Gazetelik uygulamanızın info.plist'inde belirtilenlerle aynı olmalıdır. UINewsstandApp Uygulamanın bir Gazetelik uygulaması olduğunu belirtir. Kullanabileceğiniz isteğe bağlı anahtarla örnek manifest dosyasında tamınlanır. Örneğin, dosyanız büyükse ve TCP iletişimleri içinde normalde yapılan hata denetiminin ötesinde bir indirme güvenliği sağlamak istiyorsanız, MD5 anahtarlarını kullanabilirsiniz. Bir manifest dosyasıyla öğe disizinden başka öğeler belirterek birden fazla uygulama kurabilirsiniz. Bu ekin sonunda bir örnek manifest dosyası bulunmaktadır. Web sitenizin kurulması Web sitenizin kimliği doğrulanan kullanıcıların erişebileceği bir bölgesine bu öğeleri yükleyin: • app (.ipa) dosyası • Manifest (.plist) dosyası Web sitesi tasarımını manifest dosyasına bağlanan bir sayfa kadar kolaydır. Kullanıcı bir web bağlantısına tıkladığında, tanımladığı uygulamaların indirilmesini ve kurulmasını tetikleyen manifest dosyası indirilir. Bir örnek bağlant: <a href=”itms-services://?action=download-manifest&url=http:// example.com/manifest.plist”>Uygulamayı Yükle</a> Arşivlenmiş uygulamaya (.ipa) web bağlantısı eklemeyin. .ipa dosyası aygıt tarafından manifest dosyası yüklendiğinde indirilir. URL'nin protokol bölümü itms hizmetleri olmasına rağmen, iTunes Store bu sürece katılmaz. 38 iOS Dağıtımı Teknik Başvuru Kılavuzu .ipa dosyanıza HTTPS üzerinden erişilmeli ve sitenizin iOS'un güvendiği bir sertifikayla imzalanmalıdır. Kendisi imzalı bir sertifikanın güvenilir sunucusu yoksa ve iOS aygıtı tarafından onaylanamıyorsa kurulum başarısız olur. Sunucu MIME türlerini ayarlama Manifest dosyasının ve uygulama dosyasının doğu aktarılması için web sunucunuzu yapılandırmanız gerekebilir. OS X Server için, web hizmetinin MIME Türleri ayarlarıan aşağıdaki MIME türlerini ekleyin: application/octet-stream ipa text/xml plist IIS için, sunucunun Özellikler sayfasına MIME türünü eklemek için IIS Manager'ı kullanın: .ipa application/octet-stream .plist text/xml Kablosuz uygulama dağıtımı sorunlarını giderme Kablosuz uygulama dağıtımı “indirilemiyor” mesajıyla başarısız olduğu takdirde, aşağıdakileri kontrol edin: • Uygulamanın doğru imzaladığından emin olun. Apple Configurator kullanarak bir aygıta kurarak test edin ve hata oluşup oluşmadığını görün. • Manifest dosyasına verilen bağlantının doğru olduğundan ve manifest dosyasının web kullanıcılarının erişimine açık olduğundan emin olun. • (Manifest dosyasındaki) .ipa dosyasına verilen bağlantının doğru olduğundan ve .ipa dosyasının HTTPS üzerinden web kullanıcılarının erişimine açık olduğundan emin olun. Ağ yapılandırma gereksinimleri Aygıtlar kapalı bir ağa bağlanıyorsa, iOS aygıtlarının aşağıdakilere erişmesini sağlayabilirsiniz: URL Neden ax.init.itunes.apple.com Aygıt hücresel ağ üzerinden uygulama indirmek için geçerli dosya boyutu limitini alır. Bu siteye erişilemezse, yükleme başarısız olabilir. ocsp.apple.com Aygıt yapılandırma dosyasını imzalamak için kullanılan dağıtım sertifikasının durumunu kontrol etmek için bu siteyle iletişim kurar. Aşağıda “Sertifika Onayı” bölümüne bakın. Güncellenmiş uygulamalar sağlama Kendiniz dağıttığınız uygulamalar otomatik olarak güncellenmez. Kullanıcıların kurması için yeni bir sürümünüz olduğunda, kullanıcılara güncellemeleri bildirin ve uygulamayı kurmalarını söyleyin. Uygulamanın açıldığında güncellemeleri kontrol etmesini ve kullanıcıya bildirim göndermesini ayarlamayı düşünün. Kablosuz uygulama dağıtımını kullanıyorsanız, bildirim güncellenen dosyanın manifest dosyasına bir bağlantı içerebilir. Kullanıcıların uygulama verilerini aygıtlarında depolamalarını istiyorsanız, yeni sürümün yerini aldığı sürümle aynı paket tanımlayıcısını kullandığından emin olun ve kullanıcılara yeni sürümü kurmadan eskisini silmemelerini söyleyin. Yeni sürüm eskisinin yerini alacak ve paket tanımlayıcıları eşleşirse aygıtta saklanan verileri koruyacaktır. Dağıtım konfigürasyon profilleri çıkarıldıktan 12 ay sonra sona erer. Sona erme tarihinden sonra, profil kaldırılır ve uygulama başlamaz. ! 39 iOS Dağıtımı Teknik Başvuru Kılavuzu Bir konfigürasyon profili sona ermeden önce, uygulama için yeni bir profil oluşturmak amacıyla iOS Development Portalını kullanın. Uygulamayı ilk kez kuran kullanıcılar için, yeni konfigürasyon profilini içeren yeni bir uygulama arşivi (.ipa) oluşturun. Uygulamayı daha önce edinen kullanıcıların yeni konfigürasyon profiline sahip olması için sonraki sürümün zamanlamasını ayarlamak isteyebilirsiniz. Bunu istemiyorsanız, kullanıcıların uygulamayı yeniden kullanmak zorunda kalmaması için sadece yeni .mobileprovision dosyasını dağıtabilirsiniz. Yeni konfigürasyon dosyası uygulama arşivindeki dosyayı geçersizleştirir. Konfigürasyon profilleri MDM aracılığıyla yüklenebilir, sağladığınız bir web sitesinden kullanıcılar tarafından yüklenebilir veya kullanıcılara açmaları ve kurmaları için bir e-posta eki olarak dağıtabilir. Dağıtım sertifikanızın süresi sona erdiğinde, uygulama başlamaz. Dağıtım sertifikanız çıkarıldığı tarihten itibaren üç yıl boyunca veya Kurumsal Geliştirici Programı üyeliğiniz sona erdiğinde (hangisi daha önce gerçekleşirse) sona erer. Sertifikanızın erken sona ermesini önlemek için, üyeliğinizi sona ermeden yenilemeyi unutmayın. Dağıtım sertifikasının nasıl kontrol edildiği konusunda bilgi için, aşağıda “Sertifika Onayı” bölümüne bakın. Aynı anda birbirinden bağımsız iki dağıtım sertifikasını etkinleştirebilirsiniz. İkinci sertifikanın amacı, ilk sertifikanın sona ermesinden önce hemen ardından uygulamalarınızı güncelleyebileceğiniz bir ek süre sağlamaktır. iOS Dev Center'dan ikinci bir dağıtım sertifikası isterken, ilk sertifikayı iptal etmediğinizden emin olun. Sertifika onayı Bir kullanıcı ilk kez bir uygulama açtığında, dağıtım sertifikası Apple’ın OCSP sunucusu ile iletişim kurularak onaylanır. Sertifika iptal edilmediği sürece, uygulamanın çalışmasına izin verilir. OCSP sunucusuyla iletişim kurulamaması veya sunucudan yanıt alınamaması iptal olarak yorumlanmaz. Durumu kontrol etmek için, aygıt ocsp.apple.com'a erişebiliyor olmalıdır. Bu bölümün başlarındaki “Ağ Yapılandırma Gereksinimleri” başlığına bakın. OCSP yanıtı OCSP sunucusu tarafından belirtilen süre boyunca aygıtta önbelleklenir. Bu süre halen üç ile yedi gün arasındadır. Sertifikanın geçerliliği aygıt yeniden başlatılana ve önbelleklenen yanıtın süresi dolana kadar yeniden kontrol edilmez. Bu süre içinde bir iptal isteği alınırsa, uygulamanın çalışması engellenir. Bir dağıtım sertifikasının iptal edilmesi bu aygıtla imzaladığınız tüm uygulamaları geçersizleştirir. Bir sertifikayı (özel anahtarın kaybolduğundan eminseniz veya sertifikanın bozulduğundan eminseniz) yalnızca son çare olarak iptal etmelisiniz. ! 40 iOS Dağıtımı Teknik Başvuru Kılavuzu Uygulama manifest dosyası örneği <!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/ DTDs/PropertyList-1.0.dtd”> <plist version=”1.0”> <dict> <!-- array of downloads. --> <key>items</key> <array> <dict> <!-- an array of assets to download --> <key>assets</key> <array> <!-- software-package: the ipa to install. --> <dict> <!-- required. the asset kind. --> <key>kind</key> <string>software-package</string> <!-- optional. md5 every n bytes. will restart a chunk if md5 fails. --> <key>md5-size</key> <integer>10485760</integer> <!-- optional. array of md5 hashes for each “md5-size” sized chunk. --> <key>md5s</key> <array> <string>41fa64bb7a7cae5a46bfb45821ac8bba</string> <string>51fa64bb7a7cae5a46bfb45821ac8bba</string> </array> <!-- required. the URL of the file to download. --> <key>url</key> <string>http://www.example.com/apps/foo.ipa</string> </dict> <!-- display-image: the icon to display during download.--> <dict> <key>kind</key> <string>display-image</string> <!-- optional. indicates if icon needs shine effect applied. --> <key>needs-shine</key> <true/> <key>url</key> <string>http://www.example.com/image.57x57.png</string> </dict> <!-- full-size-image: the large 512x512 icon used by iTunes. --> <dict> <key>kind</key> <string>full-size-image</string> <!-- optional. one md5 hash for the entire file. --> <key>md5</key> <string>61fa64bb7a7cae5a46bfb45821ac8bba</string> <key>needs-shine</key> <true/> <key>url</key><string>http://www.example.com/image.512x512.jpg</string> </dict> </array><key>metadata</key> <dict> <!-- required --> <key>bundle-identifier</key> <string>com.example.fooapp</string> <!-- optional (software only) --> <key>bundle-version</key> <string>1.0</string> 41 iOS Dağıtımı Teknik Başvuru Kılavuzu ! <!-- required. the download kind. --> <key>kind</key> <string>software</string> <!-- optional. displayed during download; typically company name --> <key>subtitle</key> <string>Apple</string> <!-- required. the title to display during the download. --> <key>title</key> <string>Example Corporate App</string> </dict> </dict> </array> </dict> </plist> ! 1Normal operatör veri ücretleri uygulanabilir. Mesajlar, iMessage'ın kullanılamadığı durumlarda SMS olarak gönderilebilir; iletişim operatörünün mesaj ücretleri geçerlidir. 2FaceTime arama, arayan için FaceTime özellikli bir aygıt, alıcı ve Wi-Fi bağlantısı gerektirir. Hücresel ağ üzerinden FaceTime uygulaması için iPhone 4s veya sonraki modeller, Retina ekranlı iPad veya hücresel veri özellikli iPad mini gerekir. Hücresel ağ üzerinden kullanılabilirlik, iletişim operatörünün politikalarına bağlıdır; veri ücretleri uygulanabilir. 3Siri her dilde veya bölgede kullanılamayabilir ve özellikler bölgeye göre değişebilir. İnternet erişimi gerekir. Hücresel veri ücretleri uygulanabilir. 4Bazı özellikler için Wi-Fi bağlantısı gerekir. Bazı özellikler her ülkede bulunmaz. Bazı hizmetlere erişim 10 aygıtla sınırlandırılmıştır. © 2014 Apple Inc. Tüm hakları saklıdır. Apple, Apple logosu, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks, iMessage, iPad, iPhone, iPod touch, iTunes, Anahtar Zinciri, Keynote, Mac, Mac logosu, MacBook Air, OS X, Pages, Passbook, Retina, Safari, Siri ve Xcode Apple Inc. şirketinin, ABD ve diğer ülkelerde tescilli ticari markalarıdır. AirPrint, iPad Air ve iPad mini Apple Inc.'in ticari markalarıdır. iCloud ve iTunes Store, Apple Inc.'in ABD ve diğer ülkelerde tescilli hizmet markalarıdır. App Store ve iBooks Store Apple Inc.'in ticari markalarıdır, IOS; Cisco'unun bir ticari markasıdır veya ABD'de veya başka ülkelerde tescilli bir ticari markası ve lisansla kullanılır. Burada belirtilen diğer ürün ve şirket adları ilgili şirketlere ait ticari markalar olabilir. 42
© Copyright 2024 Paperzz