!
iOS Dağıtımı
Teknik
Başvuru
!
iOS
! 7.1
!!
Mayıs 2014
!
iOS Dağıtımı Teknik Başvuru Kılavuzu
!!
!!
!!
İçindkiler
Sayfa 3
Giriş
Sayfa 4
Bölüm 1: Entegrasyon
Sayfa 4
Microsoft Exchange
Sayfa 6
Standartlara Dayalı Hizmetler
Sayfa 6
Wi-Fi
Sayfa 7
Sanal Özel Ağlar
Sayfa 13
Per App VPN
Sayfa 13
Tek Şifre
Sayfa 14
Dijital Sertifikalar
Sayfa 15
Bonjour
Sayfa 16 Bölüm 2: Güvenlik
Sayfa 16
Aygıt Güvenliği
Sayfa 18
Şifreleme ve Veri Koruması
Sayfa 20 Ağ Güvenliği
Sayfa 20 Uygulama Güvenliği
Sayfa 21
İnternet Hizmetleri
Sayfa 23 Bölüm 3: Yapılandırma ve Yönetim
Sayfa 23 Aygıt Kurulumu ve Etkinleştirme
Sayfa 24 Yapılandırma Profilleri
Sayfa 24 Mobil Aygıt Yönetimi (MDM)
Sayfa 27 Aygıt Denetimi
Sayfa 28 Bölüm 4: Uygulama Dağıtımı
Sayfa 30 Uygulamaları Dağıtma
Sayfa 31
Önbellek Sunucusu
Sayfa 32 Ek A: Wi-Fi Altyapısı
Sayfa 35 Ek B: Sınırlamalar
!
Sayfa 37 Ek C: Şirket İçi Uygulamaları Kablosuz Yükleme
2
iOS Dağıtımı Teknik Başvuru Kılavuzu
Giriş
!
Bu kılavuz ağlarındaki iOS aygıtlarını desteklemek isteyen IT yöneticileri içindir.
Kurumsal şirket veya eğitim kurumu gibi büyük ölçekli kuruluşlarda iPhone, iPad ve iPod touch'ların dağıtımı ve desteklenmesi ile ilgili bilgiler vermektedir. iOS
aygıtlarının nasıl kapsamlı bir güvenlik, mevcut altyapınızla entegrasyon ve dağıtım
için güçlü araçlar sağladığını açıklamaktadır.
iOS'ta desteklenen temel teknolojilerin anlaşılması kullanıcılarınız için optimum bir deneyim stratejisi uygulamanıza yardımcı olacaktır. Aşağıdaki bölümler
kuruluşunuzda iOS aygıtlarını dağıtırken kullanabileceğiniz bir teknik başvuru
belgesi işlevine sahiptir.
Entegrasyon. iOS aygıtları çok çeşitli ağ altyapıları için yerleşik destek sunar. Bu
bölümde, iOS tarafından desteklenen teknolojiler ve Microsoft Exchange, Wi-Fi, VPN ve diğer standart hizmetleri entegre etmek için en iyi uygulamalar hakkında
bilgi edineceksiniz.
Güvenlik. iOS kurumsal hizmetlere güvenli bir şekilde erişmek ve önemli verileri
korumak için tasarlanmıştır. iOS veri iletimi için güçlü bir şifreleme, kurumsal
hizmetlere erişim için kanıtlanmış kimlik doğrulama yöntemleri ve bekleme
durumunda tüm veriler için donanım şifrelemesi sağlar. iOS'un güvenlikle ilgili özellikleri hakkında daha fazla bilgi edinmek için bu bölümü okuyun.
Yapılandırma ve Yönetim. iOS; iOS aygıtlarının büyük ölçekli bir ortamda kolayca
kurulmasını, ihtiyaçlarınıza göre yapılandırılmasını ve kolayca yönetilmesini
sağlayan araçları ve teknolojileri destekler. Bu bölümde, mobil aygıt yönetiminin
(MDM) genel bir özeti dahil farklı dağıtım araçları tanımlanmaktadır.
Uygulama Dağıtımı.Uygulamaları ve içerikleri kuruluşunuzda dağıtmanın pek çok
yolu vardır. iOS Kurumsal Geliştirici Programı kuruluşunuzun uygulamaları kurum içi kullanıcılara dağıtmasını sağlar. Bu programları veya kurum içinde kullanım için
oluşturulan uygulamaları dağıtmayı daha iyi kavramak için bu bölümü kullanın.
Aşağıdaki eklerde ek teknik bilgiler ve koşular belirtilmektedir:
Wi-Fi Altyapısı. iOS'un desteklediği Wi-Fi standartları hakkında bilgiler ve büyük
ölçekli bir Wi-Fi ağı planlama konusunda değerlendirmeler.
Sınırlamalar. iOS aygıtlarını güvenlik, parola ve diğer koşullar için yapılandırmak için
kullanabileceğiniz sınırlamalarla ilgili ayrıntılar.
Şirket İçi Uygulamaları Kablosuz Olarak Kurma.
Şirket içi uygulamalarınızı kendi web tabanlı portalınızı kullanarak dağıtma
konusunda ayrıntılar ve gereklilikler.
İlave kaynaklar
Yararlı bilgiler için aşağıdaki web sitelerine başvurun:
www.apple.com/ipad/business/it
www.apple.com/tr/iphone/business
www.apple.com/tr/education
3
iOS Dağıtımı Teknik Başvuru Kılavuzu
Bölüm 1: Entegrasyon
iOS aygıtları çok çeşitli ağ altyapıları için yerleşik destek sunar. Bu destekler arasında aşağıdakiler için verilen destekler de bulunur:
• Microsoft Exchange gibi yaygın kullanılan üçüncü taraf sistemleri
• Standartlara dayanan Mail, Directory, Takvim ve diğer sistemlerle entegrasyon
• Veri aktarımı için standart Wi-Fi protokolleri, şifreleme
• Per app VPN dahil sanal özel ağlar (VPN)
• Ağa bağlı uygulamalar ve hizmetlerde kimlik doğrulamayı sorunsuz hale getirmek
için tek şifre
• Kullanıcıların kimliklerini doğrulamak ve iletişimin güvenliğini sağlamak için dijital sertifikalar
Bu uygulama iOS'ta yerleşik olduğu için, IT departmanınızın yapması gereken tek şey iOS aygıtlarını mevcut altyapınızla bütünleştirmek için birkaç ayarı
yapılandırmaktır. iOS destekli teknolojiler ve en iyi entegrasyon uygulamaları için okumaya devam edin.
Microsoft Exchange
iOS, Microsoft Exchange ActiveSync (EAS) yoluyla Microsoft Exchange Server'ınızla
doğrudan iletişim kurabilir ve anında iletilen e-posta, takvim, kişiler, notlar ve
görevleri etkinleştirebilir. Exchange ActiveSync ayrıca kullanıcılara Global Adres
Listesi (GAL) erişimi, yöneticilere de parola ilkesi uygulama ve uzaktan silme
özellikleri sağlar. iOS, Exchange ActiveSync için hem temel hem de sertifika tabanlı
kimlik doğrulamayı destekler. Şirketiniz Exchange ActiveSync'i etkinleştirmişse, iOS'u desteklemek için gerekli hizmetleriniz de etkinleşir. Bunun için ek
yapılandırma gerekmez.
Gereksinimler
iOS 7 veya daha yeni sürümü kurulu aygıtlar Microsoft Exchange'in aşağıdaki
sürümlerini destekler:
• Exchange Server 2003 SP 2 (EAS 2.5)
• Exchange Server 2007 (EAS 2.5 kullanan)
• Exchange Server 2007 SP 1 (EAS 12.1)
• Exchange Server 2007 SP 2 (EAS 12.1)
• Exchange Server 2007 SP 3 (EAS 12.1)
• Exchange Server 2010 (EAS 14.0)
• Exchange Server 2010 SP 1 (EAS 14.1)
• Exchange Server 2010 SP 2 (EAS 14.1 kullanan)
• Exchange Server 2013 (EAS 14.1 kullanan)
• Office 365 (EAS 14.1 kullanan)
Microsoft Direct Push
Exchange Server, hücresel veya Wi-Fi veri bağlantısı varsa Exchange Server e-posta,
görevler, kişiler ve takvim etkinliklerini iOS aygıtlarına otomatik olarak iletir. iPod
touch ve bazı iPad modellerinin hücresel bağlantısı yoktur, bu nedenle anında
bildirimleri yalnızca bir Wi-Fi ağına bağlandıklarında alırlar.
4
iOS Dağıtımı Teknik Başvuru Kılavuzu
Microsoft Exchange Otomatik Keşfetme
iOS, Microsoft Exchange Server 2007 ve Microsoft Exchange Server 2010'un
Autodiscover hizmetini destekler. Bir aygıtı elle yapılandırdığınızda, Autodiscover
doğru Exchange Server bilgilerinizi belirlemek için e-posta adresinizi ve parolanızı
kullanır.
Autodiscover hizmetini etkinleştirme hakkında daha fazla bilgi için, Autodiscover
Service (İngilizce) belgesine başvurun.
Exchange Genel Adres Listesi
iOS aygıtları kişi bilgilerini şirketinizin Exchange Server kurumsal dizininden alır.
Dizine Kişiler'de arama yaparken erişebilirsiniz ve e-posta adreslerini girilirken
tamamlamak için otomatik olarak erişilir. iOS 6 ve daha yeni sürümleri GAL
fotoğraflarını destekler(Exchange Server 2010 SP 1 veya daha yeni sürümü gerekir).
Desteklenmeyen Exchange ActiveSync özellikleri
Exchange'in aşağıdaki özellikleri desteklenmez:
• E-posta iletilerinde SharePoint sunucularında depolanan belgelere bağlantılar açma
• Ofiste değilim otomatik yanıt mesajı ayarlama
Exchange aracılığıyla iOS sürümlerini tanımlama
Bir iOS aygıtı bir Exchange Sunucusuna bağlandığında, aygıt kendi iOS sürümünü
bildirir. Sürüm numarası istek başlığının User Agent alanında gönderilir ve AppleiPhone2C1/705.018'e benzer bir şekilde görünür. Sınırlayıcının (/) ardından görülen
numara her iOS sürümü için farklı olan iOS yapı numarasıdır.
Bir aygıtta yapı numarasını görmek için, Ayarlar>Genel>Hakkında'ya gidin. Sürüm numarasını ve yapı numarasını (4.1 (8B117A) gibi bir sayı) göreceksiniz. Parantez
içindeki sayı, aygıtta çalışan sürümü tanımlayan yapı numarasıdır.
Yapı numarası Exchange Sunucusuna gönderildiğinde, NANNNA (N bir sayı ve A bir
harftir) Exchange formatı NNN.NNN'e dönüştürülür. Sayısal değerler korunur, ama
harfler alfabedeki konumlarının değerlerine dönüştürülür. Örneğin, “F” harfi
alfabedeki altıncı harf olduğu için “06” sayısına dönüştürülür. Sayılar Exchange
formatına uyması için gerekiyorsa sıfırlarla tamamlanır.
Bu örnekte, 7E18 yapı numarası 705.018 olarak değiştirilir.
İlk rakam 7 yine “7” olarak kalır. E harfi alfabenin beşinci harfi olduğu için “05”
sayısına dönüştürülür. Biçimin gereği olarak, dönüştürülen sürüme A nokta (A.)
eklenir. Bir sonraki sayı 18'dir ve sıfırla tamamlanarak “018” sayısına dönüştürülür.
Yapı numarası bir harfle biter (örneğin 5H11A), rakam yukarıda açıklanan şekilde
dönüştürülür ve son karakterin sayısal değeri 3 sıfırla ayrılan dizeye eklenir. Böylece
5H11A dönüştürüldüğünde 508.01100001 olur.
Uzaktan silme
Bir iOS aygıtının içeriklerini Exchange tarafından sağlanan özellikleri kullanarak
uzaktan silebilirsiniz. Silme işlemi aygıttan tüm verileri ve yapılandırma bilgilerini
kaldırır ve aygıt güvenli bir şekilde silinir ve orijinal fabrika ayarlarına geri
döndürülür. Silme işlemi (256 bir AES şifreleme ile şifrelenen) veri şifreleme
anahtarını kaldırarak anında tüm verileri erişilemez hale getirir.
Microsoft Exchange Server 2007 veya daha yeni sürümüyle, Exchange Yönetim
Konsolu, Outlook Web Erişimi ve Exchange ActiveSync Mobil Yönetim Web Aracı ile uzaktan silme işlemi yapabilirsiniz. Microsoft Exchange Server 2003 ile, Exchange
ActiveSync Mobil Yönetim Web Aracı 'nı kullanarak bir uzaktan silme
başlatabilirsiniz.
Alternatif olarak, kullanıcılar kendi aygıtlarını Ayarlar>Genel>Sıfırla'ya giderek ve
“Tüm İçerikleri ve Ayarları Sil” ayarını seçebilir. Aygıtlar belirli bir sayıda başarısız
parola denemesinden sonra otomatik olarak silinecek şekilde de yapılandırılabilir.
5
iOS Dağıtımı Teknik Başvuru Kılavuzu
Standartlara Dayalı Hizmetler
IMAP posta protokolü desteği, LDAP dizin hizmetleri, CalDAV takvimleri ve CardDAV
kişi protokolleriyle iOS standartlara dayalı olan neredeyse tüm ortamlara entegre
edilebilir. Ağ ortamınız kullanıcı kimlik doğrulaması ve SSL gerektirecek şekilde
yapılandırılırsa, iOS standartlara dayanan e-posta, takvim, görevler ve kişilere erişim
için güvenli bir yaklaşım sağlar. SSL ile, iOS 128-bit şifrelemeyi ve büyük sertifika
yetkilileri tarafından verilen X.509 kök sertifikalarını destekler.
Tipik bir dağıtımda, iOS aygıtları kablo kullanmadan ileti göndermek ve almak için IMAP ve SMTP posta sunucularına doğrudan erişir ve ayrıca, IMAP tabanlı
sunucularla notları da kablosuz eşzamanlayabilirler. iOS aygıtları şirketinizin LDAPv3
kurumsal dizinlerine bağlanarak kullanıcıların Mail, Kişiler ve Mesajlar
uygulamalarına erişmelerini sağlar. CalDAV sunucunuzla eşzamanlama kullanıcıların
kablo kullanmadan takvim davetleri oluşturmalarını ve kabul etmelerini, takvim
güncellemelerini almalarını ve Anımsatıcılar uygulamasıyla görev
eşzamanlamanlamalarını sağlar. CardDAV desteği, kullanıcıların vCArd formatını
kullanarak CardDAV sunucunuzla eşzamanlanan bir kişiler grubunu sürekli olarak
kullanmalarını sağlar. Ağ sunucuları bir DMZ alt ağı içinde, bir kurumsal güvenlik
duvarı arkasında veya her ikisinde birden bulunabilir.
Wi-Fi
iOS aygıtları kutularından çıkarılır çıkarılmaz, ister kampüste ister yolda olsunlar,
kullanıcıların kullanılabilir kablosuz ağlara hızlı ve kolayca katılmalarını sağlayarak
şirket veya konuk Wi-Fi ağlarına güvenle bağlanabilir.
Wi-Fi ağlarına bağlanma
Kullanıcılar iOS aygıtlarını mevcut Wi-Fi ağlarına otomatik olarak bağlanacak şekilde
ayarlayabilir. Oturum açmak için kullanıcı bilgileri veya başka bilgiler gerektiren WiFi ağlarına ayrı bir tarayıcı oturumu açmaksızın Wi-Fi ayarlarından veya Mail gibi
uygulamaların içinden hızla erişilebilir. Düşük güçlü, sürekli Wi-Fi bağlantı özelliği
uygulamaların anında bildirimleri iletmesi için Wi-Fi ağlarını kullanmasını sağlar.
WPA2 Enterprise
iOS; WPA2 Enterprise gibi sektör standardı kablosuz ağ protokollerini destekleyerek
kurumsal kablosuz ağlara iOS aygıtlarından güvenli bir şekilde erişilmesini sağlar.
WPA2 Kurumsal, kullanıcılara verilerinin korunduğu konusunda en yüksek düzeyde
güvenlik duygusu sağlayan kanıtlanmış, blok tabanlı bir şifreleme yöntemi olan 128-bit AES şifrelemesini kullanır.
802.1X desteğiyle, iOS çok çeşitli RADIUS kimlik doğrulama ortamlarına entegre
edilebilir. iOS tarafından desteklenen 802.1X kablosuz kimlik doğrulama yöntemleri
arasında EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 ve LEAP de bulunur.
!
6
iOS Dağıtımı Teknik Başvuru Kılavuzu
Roaming
Büyük kurumsal Wi-Fi ağlarında roaming için, iOS 802.11k ve 802.11r protokollerini
destekler. 802.11k iOS aygıtlarının erişim noktalarından aldıkları raporları kullanarak Wi-Fi erişim noktaları arasında geçiş yapmalarını sağlar. 802.11r ise bir aygıt erişim
noktaları arasında geçiş yaparken 802.1X kimlik doğrulamasını sorunsuz hale getirir.
Hızlı kurulum ve dağıtım için, kablosuz ağ, güvenlik, proxy ve kimlik doğrulama
ayarları yapılandırma profilleri veya MDM kullanılarak yapılandırılabilir.
Sanal Özel Ağlar
iOS'ta özel şirket ağlarına yerleşik sektör standardı sanal özel ağ (VPN) protokolleri
kullanılarak güvenli bir şekilde erişilebilir. iOS kutudan çıkar çıkmaz Cisco IPSec,
L2TP over IPSec ve PPTP'yi destekler. Kuruluşunuz bu protokollerden birini
destekliyorsa, iOS aygıtlarını VPN'inize bağlamak için başka bir ağ yapılandırması
veya üçüncü taraf uygulamaları gerekmez.
Ayrıca, iOS popüler VPN sağlayıcılardan SSL VPN'i de destekler. Kullanıcılar, Apple Store'dan sadece bu şirketlerden biri tarafından geliştirilmiş VPN istemci
uygulamalarını indirerek başlayabilirler. iOS'ta desteklenen diğer VPN protokolleri
gibi, VPN aygıtta elle veya yapılandırma profilleri veya MDM aracılığıyla
yapılandırılabilir.
iOS; IPv6, proxy sunucuları ve split-tunneling gibi sektör standardı teknolojileri
destekleyerek kurumsal ağlara bağlanan kullanıcılara zengin bir VPN deneyimi
sağlar. iOS; parola, iki etkenli belirteç ve dijital sertifikalar da dahil çeşitli kimlik
doğrulaması yöntemleriyle çalışır. Sertifika tabanlı ortamlarda bağlanmayı sorunsuz
hale getirmek için, iOS belirli etki alanlarına bağlanmak için gerektiğinde bir VPN
oturumu başlatan VPN On Demand özelliğine sahiptir.
iOS 7 ile, tek tek uygulamalar aygıttaki diğer uygulamalardan bağımsız bir VPN
bağlantısı kullanacak şekilde yapılandırılmıştır. Bu kurumsal verilerin her zaman bir
VPN bağlantısı aracılığıyla aktarılmasını ve çalışanların App Store'dan alınan kişisel
uygulamaları gibi diğer verilerin aktarılmamasını sağlar. Ayrıntılar için, bu bölümün
devamındaki “Per app VPN” başlığına bakın.
Desteklenen protokoller ve kimlik doğrulama yöntemleri
SSL VPN. Parola, iki etkenli belirteç ve sertifikalarla kimlik doğrulamayı destekler.
Cisco IPSec. Parola, iki etkenli belirteç ve paylaşılan sır ve sertifikalarla makine kimlik
doğrulamasını destekler.
L2TP over IPSec. MS-CHAP v2 Parolası, iki etkenli belirteç ve paylaşılan sırla makine
kimlik doğrulamasını destekler.
PPTP. MS-CHAP v2 Parolası ve iki faktörlü belirteçle kimlik doğrulamayı destekler.
SSL VPN istemcileri
Çok sayıda SSL VPN sağlayıcısı kendi çözümleriyle birlikte kullanılmak üzere iOS
aygıtlarının yapılandırılmasına katkıda bulunan uygulamalar geliştirdi. Bir aygıtı
belirli bir çözüm için yapılandırmak için ilgili uygulamayı yükleyin ve isteğe bağlı
olarak, gerekli ayarları içeren bir yapılandırma profili sağlayın. SSL VPN çözümleri
şunları içerir:
• Juniper Junos Pulse SSL VPN. iOS; Juniper Networks SA Series SSL VPN Gateway
6.4 ve daha yeni sürümlerini ve Juniper Networks IVE paketi 7.0 ve daha yeni
sürümlerini destekler. Yapılandırma için, App Store'da bulunan Junos Pulse
uygulamasını yükleyin.
Daha fazla bilgi için Juniper Networks uygulama notu belgesine başvurun. 7
iOS Dağıtımı Teknik Başvuru Kılavuzu
• F5 SSL VPN. iOS; F5 BIG-IP Edge Gateway, Access Policy Manager ve FirePass SSL
VPN çözümlerini destekler. Yapılandırma için, App Store'da bulunan F5 BIG-IP Edge Client uygulamasını yükleyin.
Daha fazla bilgi için, F5 teknik özeti Kurumsal Web Uygulamalarına Güvenli
iPhone Erişimi (İngilizce) belgesini okuyun.
• Aruba Networks SSL VPN. iOS; Aruba Networks Mobility Controller uygulamasını
destekler. Yapılandırma için, App Store'da bulunan Aruba Networks VIA
uygulamasını yükleyin.
Daha fazla bilgi için, Aruba Networks web sitesine (İngilizce) başvurun.
• SonicWALL SSL VPN. iOS; SonicWALL Aventail E-Class Secure Remote Access
aygıtlarının 10.5.4 ve daha yeni sürümlerini, SonicWALL SRA aygıtlarının 5.5 ve
daha yeni sürümlerini ve SonicOS 5.8.1.0 ve daha yeni sürümleri kurulu TZ, NSA, E-Class NSA gibi SonicWALL Next-Generation Firewall aygıtlarını destekler.
Yapılandırma için, App Store'da bulunan SonicWALL Mobile Connect uygulamasını
yükleyin.
Daha fazla bilgi için, SonicWALL web sitesine (İngilizce) başvurun.
• Check Point Mobile SSL VPN. iOS tam Layer-3 VPN tünel özelliğine sahip Check
Point Security Gateway'i destekler. Yapılandırma için, App Store'da bulunan Check
Point Mobile uygulamasını yükleyin.
• OpenVPN SSL VPN. iOS; OpenVPN Access Server, Private Tunnel ve OpenVPN
Community'yi destekler. Yapılandırma için, App Store'da bulunan OpenVPN
Connect uygulamasını yükleyin.
• Palo Alto Networks GlobalProtect SSL VPN. iOS; Palo Alto Networks'ün
GlobalProtect ağ geçidini destekler. Yapılandırma için, App Store'da bulunan
GlobalProtect for iOS uygulamasını yükleyin.
• Cisco AnyConnect SSL VPN. iOS; yazılım görüntüsü 8.0(3).1 veya da yeni sürümleri
kurulu Cisco Adaptive Security Appliance (ASA) aygıtını destekler. Yapılandırma
için, App Store'da bulunan Cisco AnyConnect uygulamasını yükleyin.
VPN Kurulum Kuralları
Cisco IPSec kurulum kuralları
Cisco VPN sunucunuzu iOS aygıtlarıyla kullanmak üzere yapılandırmak için bu
kuralları kullanın. iOS; 7.2x veya daha yeni yazılım sürümü ile yapılandırılmış Cisco
ASA 5500 Güvenlik Aygıtlarını ve PIX Güvenlik Duvarlarını Destekler. En son yazılım
sürümü (8.0.x veya daha yeni sürümü) önerilir. iOS; IOS 12.4(15)T veya daha yeni
sürümü kurulu Cisco IOS VPN router'larını da destekler. VPN 3000 Serisi
Yoğunlaştırıcılar iOS VPN özelliklerini desteklemez.
Proxy kurulumu
Tüm yapılandırmalar için, bir VPN proxy de belirtebilirsiniz. Tüm bağlantılar için tek bir proxy yapılandırmak için, Manual ayarını kullanın ve gerekiyorsa, adresi, portu ve kimlik doğrulamayı belirtin. Aygıta PAC veya WPAD kullanan bir otomatik proxy yapılandırma dosyası sağlamak için, Auto ayarını kullanın. PACS için, PACS
dosyasının URL adresini belirtin. WPAD için, iOS doğru ayarlar için DHCP ve DNS'i sorgular.
!
8
iOS Dağıtımı Teknik Başvuru Kılavuzu
Kimlik doğrulama yöntemleri
iOS aşağıdaki kimlik doğrulama yöntemlerini destekler:
• Xauth aracılığıyla kullanıcı kimlik doğrulama ile ön paylaşımlı anahtar IPSec kimlik doğrulaması.
• Xauth aracılığıyla isteğe bağlı kimlik doğrulama ile IPSec kimlik doğrulamasıyla
IPSec kimlik doğrulaması için istemci ve sunucu sertifikaları.
• Sunucunun bir sertifika sağladığı ve istemcinin IPSec kimlik doğrulaması için ön
paylaşımlı anahtar sağladığı hibrit kimlik doğrulama. Xauth aracılığıyla kimlik
doğrulaması zorunludur.
• Kullanıcı kimlik doğrulaması xauth aracılığıyla sağlanır ve aşağıdaki kimlik
doğrulama yöntemlerini içerir:
– Kullanıcı adı ve parola
– RSA SecurID
– CryptoCard
Kimlik doğrulama grupları
Cisco Unity protokolü kullanıcıları ortak bir kimlik doğrulama parametreleri ve diğer
parametreler setine göre gruplamak için kimlik doğrulama gruplarını kullanır. iOS
kullanıcıları için bir kimlik doğrulama grubu oluşturmanız gerekir. Ön paylaşımlı
anahtarla ve hibrit kimlik doğrulama için, aygıtta grup adı grup parolası olarak grubun paylaşılan sırrı (ön paylaşımlı anahtar) ile yapılandırılmalıdır.
Sertifikayla kimlik doğrulama kullanıldığında, paylaşılan sır kullanılmaz. Bir
kullanıcının grubu sertifikadaki alanlara göre belirlenir. Bir sertifikadaki alanları
kullanıcı gruplarıyla eşleştirmek için Cisco sunucu ayarları kullanılabilir.
RSA-Sig, ISAKMP öncelik listesinde en yüksek önceliğe sahip olmalıdır.
Sertifikalar
Sertifikaları kurarken ve yüklerken, aşağıdakilerden emin olun:
Sunucu kimliği sertifikasında konu alternatif (SubjectAltName) alanında sunucunun
DNS adı ve/veya IP adresi bulunmalıdır. Aygıt sertifikanın sunucusuna ait olduğunu
doğrulamak için bu bilgileri kullanır. Daha fazla esneklik için, SubjectAltName'ini
segment başına eşleştirme için vpn.*.mycompany.com örneğinde olduğu gibi joker
karakterler kullanarak belirtebilirsiniz. SubjectAltName belirtilmemişse, ortak ad
alanına DNS adını yazabilirsiniz.
Aygıta sunucunun sertifikasını imzalayan CA'nın sertifikası yüklenmelidir. Bu bir kök
sertifikası değilse, sertifikalara güvenilmesini sağlamak için güven zincirinin kalanını
kurun. İstemci sertifikaları kullanıyorsanız, VPN sunucusuna istemci sertifikasını
imzalayan güvenilen CA sertifikasının kurulduğundan emin olun. Sertifika tabanlı
kimlik doğrulama kullandığınızda, sunucunun kullanıcının grubunu istemci
sertifikasındaki alanlara göre tanımlayacak şekilde ayarlandığından emin olun.
Sertifikalar ve sertifika yetkilileri geçerli olmalıdır (örneğin, sona ermiş olmamalıdır).
Sunucu tarafından sertifika gönderme desteklenmez ve bu özelliği kapatmanız
gerekir.
!
9
iOS Dağıtımı Teknik Başvuru Kılavuzu
IPSec ayarları
Aşağıdaki IPSec ayarlarını kullanın:
• Mod. Tünel Modu
• IKE Exchange Modları. Ön paylaşımlı anahtar ve hibrit kimlik doğrulama için
Aggressive Modu veya sertifikayla kimlik doğrulama için Main Modu.
• Şifreleme Algoritmaları. 3DES, AES-128, AES-256.
• Kimlik Doğrulama Algoritmaları. HMAC-MD5, HMAC-SHA1.
• Diffie-Hellman Grupları. Ön paylaşımlı anahtarla ve hibrit kimlik doğrulama için
Grup 2 zorunludur. Sertifikayla kimlik doğrulama için, 3DES ve AES-128 ile Grup
2'yi kullanın. AES-256 ile Grup 2 veya 5'i kullanın.
• PFS (Perfect Forward Secrecy). IKE aşama 2 için, PFS kullanılıyorsa Diffie-Hellman
grubu IKE aşama 1 için kullanılan grupla aynı olmalıdır.
• Mod Yapılandırması. Etkinleştirilmelidir.
• Dead Peer Detection. Önerilir.
• Standard NAT Traversal. Desteklenir ve etkinleştirilebilir (IPSec over TCP
desteklenmez).
• Yük Dengeleme. Desteklenir ve etkinleştirilebilir.
• Aşama 2'in yeniden anahtarlanması. Halen desteklenmemektedir. Sunucuda
yeniden anahtarlama süresinin bir saat olarak ayarlanması önerilir.
• ASA Adres Maskesi. Tüm aygıt adres havuzu maskelerinin ayarlanmadığından
veya 255.255.255.255 olarak ayarlandığından emin olun. Örneğin: asa(configwebvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.
Önerilen adres maskesini kullanıyorsanız, VPN yapılandırması tarafından varsayılan
bazı yollar yok sayılabilir. Bunun önüne geçmek için, yönlendirme çizelgesinde
gerekli tüm yolların bulunduğundan ve alt ağ adreslerinin dağıtımdan önce
erişilebilir olduğundan emin olun.
Diğer desteklenen özellikler
• Uygulama Sürümü. Sunucu yazılım sürümü sunucuya gönderilerek sunucunun
bağlantıları aygıtın yazılım sürümüne göre kabul etmesini veya reddetmesini sağlar.
• Banner. Banner (sunucuda yapılandırılmışsa) aygıtta gösterilir ve kullanıcı banner'ı
kabul etmeli veya bağlantıyı kesmelidir.
• Split Tunnel. Split tunneling desteklenmez.
• Split DNS. Split DNS desteklenmez.
• Varsayılan Etki Alanı. Varsayılan etki alanı desteklenmez.
!
10
iOS Dağıtımı Teknik Başvuru Kılavuzu
İstek Üzerine VPN
İstek Üzerine VPN iOS'un kullanıcı müdahalesi olmadan otomatik olarak güvenli bir bağlantı kurmasını sağlar. VPN bağlantısı bir yapılandırma profilinde tanımlanan
kurallar temelinde gerektiğinde ilkesine göre başlatılır.
iOS 7'de, İstek Üzerine VPN bir yapılandırma profilinin VPN yükünde
OnDemandRules anahtarı kullanılarak yapılandırılır. Kurallar iki aşamada uygulanır:
• Ağ Algılama Aşaması. Aygıtın birinci ağ bağlantısı değiştiğinde uygulanan VPN
koşullarını tanımlar.
• Bağlantı Değerlendirme Aşaması. Etki alanı adlarına bağlantı istekleri için
gerektiğinde ilkesine göre VPN gerekliliklerini tanımlar.
Örneğin, kuralları aşağıdakileri sağlamak için kullanılabilir:
• Bir iOS aygıtının dahili bir ağa bağlandığını ve VPN'in gerekli olmadığını algılama.
• Bilinmeyen bir aygıt kullanıldığında algılar ve tüm ağ aktivitesi için VPN'i zorunlu tutar.
• Belirli bir etki alanı için DNS isteği başarısız olduğunda VPN gerektirir.
Ağ Algılama Aşaması
Aygıtın ana ağ arabirimi değiştiğinde (örneğin iOS aygıtı başka bir Wi-Fi ağına veya
Wi-Fi'dan hücresel bağlantıya geçtiğinde) İstek Üzerine VPN kuralları değerlendirilir.
Ana ağı sanal biri arabirimde (örneğin bir VPN arabirimi), İstek Üzerine VPN kuralları yoksayılır.
İlgili eylemin yapılabilmesi için her setteki (sözlük) eşleşme kurallarının tamamı
eşleşmelidir; kurallardan herhangi bir eşleşmezse, değerlendirme OnDemandRules
dizisi tükenene kadar dizinin bir sonraki sözlüğe geçer.
Söz sözlük bir “varsayılan” yapılandırma tanımlamalıdır. Yani hiçbir eşleşme kuralı
olmamalı yalnızca bir Eylem olmalıdır. Bu önceki kurallarla eşleşmeyen tüm
bağlantılar yakalanır.
Bağlantı Değerlendirme Aşaması
VPN, ağa arabirimi temelinde tek taraflı olarak bağlantısı kesilerek veya bağlanarak
bazı etki alanlarında bağlı isteklerine göre tetiklenebilir.
İsteğe Bağlı Eşleşme Kuralları
Aşağıdaki eşleşme kurallarından birini veya daha fazlasını belirtin:
• InterfaceTypeMatch. İsteğe Bağlı. Wi-Fi veya hücresel bağlantının bir dize değeri.
Belirtilirse, bu kural belirtilen türün ana arabirimiyle eşleşmelidir.
• SSIDMatch. İsteğe Bağlı. Mevcut ağla eşleşen bir SSID dizisi. Ağ bir Wi-Fi ağı değilse veya SSID listede yoksa, eşleşme başarısız olur. SSID'yi yok
saymak için bu anahtarı ve dizisini yok sayın.
• DNSDomainMatch. İsteğe Bağlı. Dizeler biçiminde bir arama etki alanları dizisi.
Geçerli ana ağın yapılandırılan DNS arama etki alanı dizide varsa, özellik eşleşir.
Joker karakter ön ek (*) desteklenir. Örneğin, *.example.com herşey.example.com
ile eşleşir.
!
11
iOS Dağıtımı Teknik Başvuru Kılavuzu
• DNSServerAddressMatch. İsteğe Bağlı. Dizeler biçiminde bir DNS sunucu adresleri dizisi. Ana arabirim için yapılandırılmış DNS sunucu adreslerinin tümü
yapılandırılmışsa, bu özellik eşleşir. Joker karakter (*) desteklenir. Örneğin, 1.2.3.*
öneki 1.2.3 olan her DNS sunucusuyla eşleşir.
• URLStringProbe. İsteğe Bağlı. Erişilebilirliği yoklamak için bir sunucu. Yeniden
yönlendirme desteklenmez. URL güvenilir bir HTTPS sunucusu olmalıdır. Aygıt sunucunun erişilebilir olduğunu doğrulamak için bir GET isteği gönderir.
Eylem
Bu anahtar belirtilen tüm eşleşen kuralların doğru olarak değerlendirilmesi
durumunda VPN davranışını tanımlar. Bu anahtar zorunludur. Eylem anahtarının
değerleri:
• Bağlan. Bir sonraki ağa bağlanma denemesinde VPN bağlantısını koşulsuz olarak
başlatır.
• Bağlantıyı kes. VPN bağlantısını keser ve istek üzerine yeni bağlantılar tetiklemez.
• Yoksay. Mevcut VPN bağlantısını sürdürür, ama istek üzerine yeni bağlantılar
tetiklemez.
• İzin Ver. iOS 6 veya daha yeni sürümü kurulu iOS aygıtları için. Bu bölümün
devamındaki “Geriye Yönelik Uyumluluk Hakkında Notlar” başlığına bakın.
• EvaluateConnection. Her bağlantı denemesi için ActionParameters'i değerlendirir.
Bu kullanıldığında, değerlendirme kurallarını belirtmek için aşağıda açıklanan
ActionParameters anahtarı gerekir.
ActionParameters
Gerçekleştikleri sırayla değerlendirilen, aşağıda açıklanan anahtarları içeren
sözlükler dizisi. Eylem EvaluateConnection olduğunda gereklidir.
• Etki Alanları. Zorunlu. Bu değerlendirme profilinin uygulanacağı etki alanlarını
tanımlayan bir dize dizisi. *.example.com gibi joker karakter ön ekler desteklenir.
• DomainAction. Zorunlu. Etki Alanları için VPN davranışını destekler. DomainAction
anahtarının değerleri şunlardır:
– ConnectIfNeeded. Etki Alanı için DNS çözümü başarısız olduğunda, örneğin
DNS sunucusu etki alanı adını çözemezse veya DNS yanıtı yeniden
yönlendirilirse veya bağlantı başarısız olur veya zaman aşımına uğrarsa, VPN bağlantısını kurar.
– NeverConnect. Etki Alanları için VPN'i tetiklemez.
DomainAction seçimi ConnectIfNeeded ise, bağlantı değerlendirme sözlüğünde aşağıdaki anahtarları da belirtebilirsiniz:
• RequiredDNSServers. İsteğe Bağlı. Etki Alanlarını çözmek için kullanılacak DNS
sunucularının IP adreslerinin dizisi. Bu sunucuların aygıtın geçerli ağ
yapılandırmasının parçası olması gerekmez. DNS sunucularına erişilemiyorsa, VPN tetiklenir. Dahili bir DNS sunucusu veya güvenilen bir harici DNS sunucusu
yapılandırın.
• RequiredURLStringProbe. İsteğe Bağlı. Bir GET isteği kullanarak sorgulanacak bir HTTP veya HTTPS (tercih edilir) URL adresi. Bu sunucu için DNS çözünürlüğü
başarılı olursa, sorgulamanın da başarılı olması gerekir. Sorgulama başarısız olursa,
VPN tetiklenir.
!
12
iOS Dağıtımı Teknik Başvuru Kılavuzu
Geriye yönelik uyumluluk hakkında notlar
iOS 7'den önce, etki alanı tetikleme kuralları OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry ve
OnDemandMatchDomainNever adlı etki alanları dizisi aracılığıyla yapılandırılıyordu.
OnRetry ve Never durumları iOS 7'de hala desteklenmektedir, ama
EvaluateConnection eylemi daha fazla kullanılmaktadır.
Hem iOS 7 hem eski sürümlerde çalışan bir profil oluşturmak için,
OnDemandMatchDomain dizilerine ek olarak yeni EvaluateConnection anahtarlarını
kullanın. iOS'un EvaluateConnection'u tanımayan eski sürümleri eski dizileri
kullanırken, iOS 7 ve daha sonraki sürümler EvaluateConnection'ı kullanır.
İzin Ver eylemin belirtilen eski yapılandırma profilleri,
OnDemandMatchDomainsAlways etki alanları dışında iOS 7'de çalışacaktır.
Per App VPN
iOS 7 uygulama temelinde VPN bağlantıları oluşturma yeteneğine de sahiptir. Bu yaklaşım hangi verilerin VPN aracılığıyla aktarılacağı ve hangi verilerin VPN
aracılığıyla aktarılmayacağı konusunda daha ayrıntılı bir denetime izin verir. Aygıt
ölçeğinde VPN ile, tüm veriler kökenlerinden bağımsız olarak sanal ağ aracılığıyla
dolaşır. Kuruluşlar içinde daha fazla kişilere ait aygıt kullanıldıkça, Per app VPN
kurum içinde kullanılan uygulamalarını ağa güvenli bir şekilde bağlanmasını ve
kişisel aygıt aktivitelerinin gizliliğinin korunmasını sağlar.
Perr app VPN mobil aygıt yönetimi (MDM) ile yönetilen her uygulamanın, özel ağla
aygıttaki özel ağı kullanmayan diğer yönetimsiz uygulamaları dışarıda bırakarak
güvenli bir tünel aracılığıyla iletişim kurmasını sağlar. Ayrıca, yönetimli uygulamalar
verileri daha fazla korumak için farklı VPN bağlantılarıyla yapılandırılabilir. Örneğin,
satış fiyatı uygulaması ödeme hesapları uygulamasından tamamen farklı bir veri
merkezi kullanabilirken kullanıcının web'de gezinme trafiği halka açık interneti
kullanabilir. Bu trafiği uygulama katmanında ayırma yeteneği kişisel verilerin ve
kuruluşa ait verilerin ayrılmasını sağlar.
Per app VPN'i kullanmak için, uygulama MDM aracılığıyla yönetilmeli ve standart
iOS ağa bağlanma AP'lerini kullanmalıdır. Per app VPN, ayarları hangi uygulamaların
ve Safari etki alanlarının kullanabileceğini belirtilen bir MDM yapılandırmasıyla
yapılandırılır. MDM hakkında daha fazla bilgi için, Yapılandırma ve Yönetim başlıklı 3.
bölüme başvurun.
Tek Şifre (SSO)
iOS 7 ile, uygulamalar Kerberos aracılığıyla mevcut şirket için tek şifre altyapısından
yararlanabilir. Tek şifre özelliği kullanıcının parolasını yalnızca bir kez girmesini
gerektirerek kullanıcı deneyimini iyileştirebilir. Bu, parolaların asla kablosuz
aktarılmamasını sağlayarak günlük uygulama kullanım güvenliğini de arttırır.
iOS 7 tarafından kullanılan Kerberos kimlik doğrulama sistemi dünyada en fazla
uygulaman ve sektör standardını oluşturan tek şifre teknolojisidir. Active Directory,
eDirectory veya OpenDirectory'niz varsa, iOS 7'nin yararlanabileceği bir Kerberos
sisteminiz olabilir. iOS aygıtları kullanıcıların kimliklerini doğrulamak için bir ağ
bağlantısı üzerinden Kerberos hizmetiyle iletişim kurabilmelidir.
!
13
iOS Dağıtımı Teknik Başvuru Kılavuzu
Desteklenen uygulamalar
iOS ağ bağlantılarını ve kimlik doğrulamayı desteklemek için NSURLConnection veya
NSURLSession sınıfını kullanan her uygulamaya Kerberos tek şifre (SSO) için esnek
destek verir. Apple tüm geliştiricilere ağ bağlantılarını kendi uygulamalarına entegre
etmeleri için bu üst düzey çerçeveleri sağlar. Apple ayrıca SSO özelliğine sahip web
sitelerini kullanarak başlamanıza yardımcı olacak bir örnek olarak Safari'yi sağlar.
SSO Yapılandırması
Tek şifre yapılandırması elle yüklenebilen veya MDM ile yönetilebilen yapılandırma
profilleri kullanılarak yapılabilir. SSO hesap yükü esnek yapılandırmaya izin verir. SSO
tüm uygulamaları açılabilir veya uygulama tanımlayıcısıyla, hizmetin URL'siyle veya
her ikisiyle birden sınırlanabilir.
URL'ler eşleştirilirken, basit örüntü eşleştirme kullanılır ve URL'ler http:// veya
https:// ile başlamalıdır. Eşleştirme URL'nin tamamıyla yapılır, bu nedenle tam olarak
aynı olduklarından emin olun. Örneğin, https://www.example.com/ URLPrefixMatches
değeri https://www.example.com:443/ ile eşleşmeyecektir. SSO kullanımını güvenli
veya normal HTTP hizmetleriyle sınırlamak için http:// veya https:// seçeneklerini
belirtebilirsiniz. Örneğin, https:// için bir URLPrefixMatches değeri kullanmanız SSO
hesabının yalnızca güvenli HTTPS hizmetleriyle kullanılmasını sağlar. Bir URL
eşleştirme örüntüsü kesme işareti (/) ile bitmez, bir kesme işareti (/) ile bitmez.
AppIdentifierMatches dizisinde uygulama paketi ID'leriyle eşleşen dizeler
bulunmalıdır. Bu dizeler tam eşleşmeler (örneğin, com.mycompany.myapp) olabilir
veya bir joker karakter (*) kullanılarak paket ID'sindeki bir ön ek eşleşmesini
belirtebilir. Joker karakter bir noktadan (.) sonra ve yalnızca dizenin sonunda
(örneğin, com.mycompany.*) bulunabilir. Bir joker karakter kullanıldığında, paket
kimliği bu ön ek ile başlayan her uygulamanın hesaba erişmesine izin verilir.
Dijital Sertifikalar
Dijital sertifikalar sorunsuz kimlik doğrulama, veri bütünlüğü ve şifreleme sağlayan
bir kimlik tanımlama biçimidir. Dijital sertifika bir genel anahtardan, kullanıcıyla ilgili
bilgilerden ve sertifikayı veren sertifika yetkilisi bilgisinden oluşur. iOS dijital
sertifikalarla destekleyerek kuruluşların kurumsal hizmetlere güvenli ve sorunsuz bir
şekilde erişmesini sağlar.
Sertifikalar çok değişik şekillerde kullanılabilir. Verilerin bir dijital sertifika ile
imazalanması bilgilerin değiştirilmesini engellemeye yardımcı olur. Sertifikalar yazan
veya “imzalayan” kişinin kimliğini garanti etmek için de kullanılabilir. Sertifikalar, gizli
veya özel bilgiler için daha fazla koruma sağlamak amacıyla yapılandırma profillerini
ve ağ iletişimlerini şifrelemek için de kullanılabilir.
Örneğini Safari tarayıcısı bir X.509 dijital sertifikasının geçerliliğini kontrol edebilir ve 256-bite kadar AES şifrelemeyle güvenli bir oturum açabilir. Bu sitenin kimliğinin
geçerli olduğunu doğrular ve web sitesiyle bu haberleşme kişisel veya gizli verilerin
başkalarının eline geçmesini önlemek için korunur.
!
14
iOS Dağıtımı Teknik Başvuru Kılavuzu
Desteklenen sertifika ve kimlik biçimleri:
• iOS, RSA anahtarlı X.509 sertifikalarını
destekler.
• .cer, .crt, .der, .p12 ve .pfx dosya uzantıları tanınır.
iOS'ta sertifika kullanma
Kök sertifikaları
iOS kutudan çıkar çıkmaz bir dizi önceden yüklenmiş kök sertifikası içerir. Daha fazla bilgi için, bu Apple Destek makalesi (İngilizce) içindeki listeye başvurun.
Önceden yüklenen kök sertifikalardan herhangi biri bozulduğu takdirde, iOS
sertifikaları kablosuz olarak güncelleyebilir. Bunu devreden çıkarmak için, kablosuz
sertifika güncellemelerini önleyen bir sınırlama vardır.
Kuruluşunuz tarafından oluşturulmuş kendisi imzalı bir kök sertifikası Önceden
yüklenmemiş bir kök sertifika kullanıyorsanız, bu sertifikayı aşağıda listelenen
yöntemlerden birini kullanarak dağıtabilirsiniz.
Sertifikaların dağıtılması ve yüklenmesi
iOS aygıtlarına sertifika dağıtmak basittir. Bir sertifika alındığında, kullanıcılar sadece
dokunarak içeriklerini görebilir ve ardından yine dokunarak sertifikayı aygıtlarına
ekleyebilirler. Bir kimlik sertifikası yüklendiğinde, kullanıcılardan bu sertifikayı
koruyan parolayı girmeleri istenir. Gerçekliği doğrulanamayan bir sertifika
güvenilmez olarak gösterilir ve kullanıcı bu sertifikayı aygıtına eklemek isteyip
istemediğine karar verebilir.
Sertifikaları yapılandırma profilleriyle kurma
Exchange, VPN veya Wi-Fi gibi kurumsal hizmetlerin ayarlarını dağıtmak için
yapılandırma profilleri kullanıyorsanız, dağıtımı kolaylaştırmak için profile sertifikalar
eklenebilir. Bunu sertifikaları MDM aracılığıyla dağıtma yeteneği de dahildir.
Sertifikaları Mail veya Safari aracılığıyla yükleme
E-postayla gönderilen sertifikalar ileti eki olarak görünür. Bir web sayfasından sertifika indirmek için Safari de kullanılabilir. Bir sertifikayı güvenli bir web
sayfasında tutabilir ve kullanıcıları sertifikayı aygıtlarına indirebilecekleri URL'yi bildirebilirsiniz.
Sertifika kaldırma ve iptal etme
Yüklenmiş bir sertifikayı elle kaldırmak için, Ayarlar>Genel> Profiller'i seçin ve
kaldırmak istediğiniz sertifikayı belirtin. Kullanıcı bir hesaba veya ağa erişmek için gereken bir sertifikayı kaldırırsa, aygıt artık bu hizmetlere bağlanamaz.
Bir mobil aygıt yönetimi sunucusu bir aygıttaki tüm sertifikaları görebilir ve daha
önce kurduğu uygulamaları kaldırabilir.
Ayrıca, sertifikaların durumunu kontrol etmek için Online Certificate Status Protocol
(OCSP) ve CRL (Certificate Revocation List) protokolü desteklenir. OCSP veya CRL
özelliğine sahip bir sertifika kullanıldığında, iOS iptal edilmediğinden emin olmak
için bu sertifikayı düzenli olarak onaylar.
Bonjour
Bonjour, Apple'ın aygıtların bir ağdaki hizmetleri bulmasını sağlayan standartlara
dayalı, sıfır yapılandırma gerektiren ağ protokolüdür. iOS aygıtları, Bonjour'u, AirPrint
uyumlu yazıcıları ve Apple TV gibi AirPlay uyumlu aygıtları keşfetmek için kullanır.
Bazı eşler arası uygulamalar da Bonjour gerektirir. Ağ altyapınızın ve Bonjour'un
birlikte çalışmak için doğru yapılandırıldığından emin olmanız gerekir.
iOS 7.1 aygıtları Bluetooth aracılığıyla AirPlay kaynaklarını arayacaktır. Uyumlu bir Apple TV bulunduğunda AirPlay verileri Wi-Fi ağından gönderilir. Apple TV 6.1
veya sonraki modelleri için Bluetooth aracılığıyla bulmanın etkinleştirilmesi gerekir ve içeriği oynatmak veya yansıtmak için iOS aygıtı ve Apple TV aynı alt ağa bağlanmalıdır.
Bonjour hakkında daha fazla bilgi için, bu Apple web sayfasına başvurun. !
15
iOS Dağıtımı Teknik Başvuru Kılavuzu
Bölüm 2: Güvenlik
!
iOS birden fazla güvenlik katmanıyla üretilmiştir. Bu iOS aygıtlarının ağ hizmetlerine
güvenli bir şekilde erişmesini ve önemli verileri korumasını sağlar. iOS veri iletimi
için güçlü bir şifreleme, kurumsal hizmetlere erişim için kanıtlanmış kimlik
doğrulama yöntemleri ve bekleme durumunda tüm veriler için donanım şifrelemesi
sağlar. iOS ayrıca kablosuz olarak sunulabilecek ve uygulanabilecek parola ilkeleri
kullanımı yoluyla güvenli bir koruma sağlar. Aygıt yanlış ellere geçtiği takdirde,
kullanıcılar ve IT yöneticileri gizli bilgileri silmek için bir uzaktan silme komutu
başlatabilirler.
iOS'un kurumsal kullanımı göz önüne alındığında, aşağıdakilerin anlaşılması yararlı olacaktır:
• Aygıt denetimleri. Aygıtın yetkisiz kullanımını engelleme yöntemleri
• Şifreleme ve veri koruma. Verileri normal durumda ve hatta aygıt kaybedildiğinde
veya çalındığında bile koruma
• Ağ güvenliği. Ağ protokolleri ve iletim sırasında verileri şifreleme
• Uygulama güvenliği. Uygulamaların güvenli bir şekilde ve platformun
bütünlüğüne zarar vermeden çalışmasını sağlar
• İnternet hizmetleri. Apple’ın mesajlaşma, eşzamanlama ve yedekleme için ağ tabanlı altyapısı
Bu özellikler güvenli bir mobil bilgisayar ortamı sağlamak için birbiriyle uyumlu bir şekilde çalışır.
Aşağıdaki parola ilkeleri desteklenir:
• Aygıtta parola gereklidir
• Alfasayısal değer gereklidir
• Minimum parola uzunluğu
• Minimum karmaşık karakter sayısı
• Maksimum parola geçerlilik süresi
• Otomatik kilitlemeden önceki süre
• Parola geçmişi
• Aygıt kilitleme için bekleme süresi
• Maksimum başarısız deneme sayısı
Aygıt Güvenliği
iOS aygıtlarına erişim için güçlü politikalar oluşturulması, kurumsal bilgilerin
korunması açısından çok önemlidir. Aygıt parolaları yetkisiz erişime karşı korumanın en önemli bileşenidir ve kablosuz olarak yapılandırılır ve zorlanır. iOS
aygıtları, e-postaları ve aygıttaki hassas uygulama verilerini daha iyi korumak için
güçlü bir şifreleme anahtarı oluşturmak için her kullanıcı tarafından oluşturulan
benzersiz bir parola kullanır. Ayrıca, iOS aygıtı özel ayarlar, ilkeler ve sınırlamalar
kullanılması gereken bir IT ortamında yapılandırmak için güvenli yöntemler sağlar.
Bu yöntemler yetkili kullanıcılar için standart bir koruma düzeyi oluşturmak için
esnek çözümler sağlar.
Parola ilkeleri
Bir aygıt parolası yetkisiz kullanıcıların verilere erişmesini veya aygıta başka bir
biçimde erişmesini önler. iOS; zaman aşımı dönemleri, parola gücü ve parolanın
hangi sıklıkla değiştirilmesi gerektiği gibi güvenlik ihtiyaçlarınızı karşılayacak
kapsamlı bir parola ilkeleri seti içinden seçim yapmanızı sağlar.
!
16
iOS Dağıtımı Teknik Başvuru Kılavuzu
İlke zorlama
İlkeler, kullanıcıların kurması için yapılandırma profilinin parçası olarak dağıtılabilir. Yalnızca yönetici parolasıyla silinebilecek bir parola tanımlanabilir veya profili aygıta
kilitlenebilecek ve aygıttaki içeriklerin tümünü tamamen silmeden kaldırılamayacak
şekilde yapılandırabilirsiniz. Ayrıca, parola ayarları ilkeleri doğrudan aygıta aktarabilen
mobil aygıt yönetimi (MDM) çözümleriyle yapılandırılabilir. Bu ilkelerin kullanıcı
tarafından herhangi bir işlem yapılmadan zorlanmasını ve güncellenmesini sağlar.
Aygıt bir Microsoft Exchange hesabına erişecek şekilde yapılandırılırsa, Exchange
ActiveSync ilkeleri aygıta kablosuz olarak uygulanır. Kullanılabilecek ilke seti
Exchange ActiveSync ve Exchange Sunucusunun sürümüne göre değişir. Hem
Exchange hem MDM ilkeleri varsa, en katı ilke uygulanır.
Güvenli aygıt yapılandırması
Yapılandırma profilleri iOS aygıtlarının IT sistemlerinizle çalışmasını sağlayan aygıt güvenlik ilkeleri ve sınırlamalarını, VPN yapılandırma bilgilerini, Wi-Fi ayarlarını,
e-posta ve takvim hesaplarını ve kimlik doğrulama bilgilerin içeren EML dosyalarıdır.
Bir yapılandırma profilinde aygıt ayarlarıyla birlikte parola ilkeleri oluşturma
yeteneği kuruluşunuzdaki aygıtların doğru şekilde ve IT departmanınızın belirlediği
güvenlik standartlarına göre yapılandırılmasını sağlar. Yapılandırma profilleri
şifrelenebildiği ve kilitlenebildiği için, ayarlar kaldırılamaz, değiştirilemez veya
başkalarıyla paylaşılamaz.
Yapılandırma profilleri imzalanabilir ve şifrelenebilir. Bir yapılandırma profilini
imzalamak zorladığı ayarların hiçbir şekilde değiştirilemesini sağlar. Bir
yapılandırma profilinin şifrelenmesi, yapılandırma profilinin içeriğinin korunmasını
ve yalnızca kurulmak üzere oluşturulduğu aygıta kurulmalarını sağlar. Yapılandırma
profilleri 3DES ve ASE 128'i destekleyen CMS (Cryptographic Message Syntax, RFC
3852) kullanılarak şifrelenir.
Şifrelenmiş bir yapılandırma profilini ilk dağıttığınızda, bu profili Apple Configurator
kullanarak USB aracılığıyla veya Over-the-Air Profile Delivery ve Yapılandırma
protokolü veya MDM kullanarak kablosuz yükleyebilirsiniz. Sonraki şifrelenmiş
yapılandırma protokolleri e-posta eki olarak gönderilebilir, kullanıcılarınızın erişebildiği
bir web sitesinde tutulabilir veya AMD çözümleri kullanılarak aygıtınıza aktarılabilir.
Daha fazla bilgi için, lütfen iOS Geliştirici Arşivi sitesinde Over-the-Air Profile
Delivery ve Yapılandırma protokolü (İngilizce) belgesine başvurun.
Aygıt sınırlamaları
Aygıt sınırlamaları kullanıcıların aygıtta hangi özelliklere erişebileceğini belirler. Tipik olarak, bu sınırlamalar Safari, YouTube veya iTunes Store gibi ağa erişebilen uygulamaları kapsar, ama sınırlamalar uygulama yükleme veya kamera kullanımı
gibi aygıt işlevlerini de kontrol edebilir. Sınırlamalar aygıtı ihtiyaçlarınıza göre
yapılandırmanızı sağlar ve kullanıcıların aygıtı kuruluşunuzun ilkeleriyle tutarlı
biçimlerde kullanmalarına izin verir. Sınırlamalar her aygıtta elle yapılandırılabilir, bir yapılandırma profiliyle zorlanabilir veya bir MD çözümüyle uzaktan
oluşturulabilir. Ayrıca, parola ilkeleri, kamera veya web'de gezinme sınırlamaları
Microsoft Exchange Server 2007 ve 2010 aracılığıyla kablo kullanmadan zorlanabilir.
Sınırlamalar e-posta iletilerinin hesaplar arasında taşınmasını veya bir hesaptan
alınan iletilerin başka hesaplara iletilmesini önlemek için de kullanılabilir.
Desteklenen sınırlamalar hakkında bilgi için Ek B'ye bakın.
!
17
iOS Dağıtımı Teknik Başvuru Kılavuzu
Şifreleme ve Veri Koruması
iOS aygıtlarında depolanan verilerin korunması hassas bilgiler içeren her ortam için önemlidir. İletilen verileri şifrelemeye ek olarak, iOS aygıtları gelişmiş veri
korumasıyla aygıtta saklanan tüm veriler için donanım şifrelemesi ve e-posta ve uygulama verileri için ek şifreleme sağlar.
Şifreleme
iOS aygıtları donanım tabanlı şifreleme kullanır. Donanım şifrelemesinde aygıttaki
tüm verileri korumak için 256-bit AES kullanılır. Şifreleme her zaman etkindir ve
devreden çıkarılamaz. Ayrıca, iTunes'da bir kullanıcının bilgisayarına yedeklenen
veriler de şifrelenebilir. Bu özellik kullanıcı tarafından etkinleştirilebilir veya
Yapılandırma Profillerinde aygıt sınırlama ayarları kullanılarak zorlanabilir. iOS,
Mail'de kullanıcıların kodlanmış e-posta mesajlarını görüntülemelerini ve
göndermelerini sağlayan S/MIME'yi de destekler.
iOS 7 ve iOS 6'daki şifreleme modüllerinin ABD Federal Bilgi İşleme Standartları
(FIPS) 140-2 Düzey 1'e uyduğu onaylanmıştır. Bu Apple uygulamalarının ve iOS
kriptografik işlemlerini doğru şekilde kullanan üçüncü taraf uygulamalarının
şifreleme işlemlerinin doğruluğunu onaylar.
Daha fazla bilgi için, lütfen iOS ürün güvenliği: Onaylar ve rehberlik (İngilizce) ve
iOS 7: Apple FIPS iOS Kriptografik Modülleri v4.0 (İngilizce) belgelerine başvurun.
Veri koruması
Aygıtta depolanan e-posta iletileri ve ekleri iOS'ta yerleşik veri koruma özellikleri
kullanılarak korunur. Veri koruma, güçlü bir şifreleme anahtarı üretmek için her
kullanıcının benzersiz parolası ve iOS aygıtlarındaki donanım şifrelemesinden
yararlanır. Bu, aygıt kilitlendiğinde verilere erişilmesini engelleyerek aygıt kötü
niyetli kişilerin eline geçtiğinde bile kritik bilgilerin güvende olmasını sağlar.
Veri koruma özelliğini etkinleştirmek için, sadece aygıtınıza bir parola oluşturmanız
gerekir. Veri korumasının etkinliği güçlü bir parolaya bağlı olduğu için, parola ilkelerinizi oluştururken dört basamaktan daha uzun bir parola istemeniz ve zorlamanız önemlidir. Kullanıcılar veri korumasının etkinleştirilip etkinleştirilmediğini parola ayarları ekranına bakarak kontrol edebilirler. Mobil aygıt yönetimi çözümleri aygıtı bu bilgiler için de sorgulayabilir.
Veri koruma API'leri geliştiricilere de açıktır ve Apple Store'daki uygulamaların veya
özel olarak geliştirilmiş şirket içi kurumsal uygulamaların güvenliğini sağlamak için
de kullanılabilir. iOS 7 ile birlikte, uygulamalarda saklanan veriler varsayılan olarak,
masaüstü bilgisayarlardaki tam disk şifrelemeye benzeyen “İlk Kullanıcı Kimlik
Doğrulamasına Kadar Korunur” güvenlik sınıfındadır ve verileri yeniden başlatma
içeren saldırılardan korur.
Not: iOS 6'dan yükseltilen aygıtlarda, mevcut veri depoları yeni sınıfa
dönüştürülmez. Uygulamanın kaldırılması ve yeniden yüklenmesi uygulamanın yeni
koruma sınıfını almasına neden olur.
Touch ID
Touch ID, iPhone 5s'te yerleşik olarak bulunan ve aygıta çok güvenli erişimi
hızlandıran ve kolaylaştıran bir parmak izi algılama sistemidir. Bu ileri teknoloji
parmak izlerini her açıdan okur ve her kullanımla birlikte yeni üst üste binen
düğümleri tanımlayarak parmak içi haritasını genişletmeye devam etmesi sayesinde zaman içinde bir kullanıcının parmak izi hakkında daha fazla şey öğrenir.
Touch ID uzun ve karmaşık parolalar kullanmayı kullanıcılar için kolaylaştırır, çünkü kullanıcıların parolalarını sık sık girmeleri gerekmez. Touch ID parola tabanlı
bir kilidin kullanışsızlığını, bu kilidin yerini alarak değil aygıta karmaşık sınırlamalar
ve zaman kısıtları olmadan güvenli bir şekilde erişim sağlayarak ortadan kaldırır.
!
18
iOS Dağıtımı Teknik Başvuru Kılavuzu
Touch ID etkinleştirildiğinde, iPhone 5s Uyutma/Uyandırma düğmesine basıldığında
anında kilitlenir. Yalnızca parola güvenliğiyle, pek çok kullanıcı aygıtı her
kullandıklarında parola girmek zorunda kalmamak için bir kilitleme bekleme süresi
ayarlayabilir. Touch ID ile, iPhone 5s her uyku moduna geçtiğinde kilitlenir ve her uyanma için bir parmak izi (veya isteğe bağlı olarak parola) gerekir.
Touch ID, Apple A7 çipte üretilen bir yardımcı işlemci olarak Güvenli Bölge ile
birlikte çalışır. Güvenli Bölge'nin kendi korunan, şifreli bellek alanı vardır ve Touch ID
sensörüyle güvenli bir şekilde iletişim kurar. iPhone 5s kilitlendiğinde, Veri Koruma
sınıfı Tam Güvenli Bölge'nin şifreleme belleğinde tutulan bir anahtarla korunur. Bu anahtar en fazla 48 saat tutulur ve iPhone 5s yeniden başlatıldığında veya
tanınmayan bir parmak izi beş kez kullanıldığında atılır. Bir parmak izi tanındığında,
Güvenli Belge Veri Koruma anahtarlarını açmak için gerekli anahtarı sağlar ve
aygıtın kilidi açılır.
Uzaktan silme
iOS uzaktan silmeyi destekler. Bir aygıt çalındığında veya kaybolduğunda, yönetici
veya aygıtın sahibi tüm verileri silen ve aygıtı devreden çıkaran bir uzaktan silme
komutu verebilir. Aygıt bir Exchange hesabıyla yapılandırılmışsa, yönetici Exchange
Yönetim Konsolu, Exchange ActiveSync Mobil Yönetim Web aracı (Exchange Server
2003 veya 2007) kullanılarak bir uzaktan silme işlemi başlatabilir. Exchange Server
2007 kullanıcıları doğrudan Outlook Web Erişimi kullanarak uzaktan silme komutları
başlatabilir. Uzaktan silme komutları, Exchange kurumsal hizmetleri
kullanılmadığında bile MDM çözümleriyle veya iCloud'un iPhone'umu Bul özelliğini
kullanarak da başlatılabilir.
Yerel silme
Aygıtlar birkaç başarısız parola denemesinden sonra otomatik olarak bir yerel silme
işlemi başlatacak şekilde de yapılandırılabilir. Bu aygıta erişmek amaçlı brute-force
saldırılarına karşı koruma sağlar. Bir parola oluşturulduğunda, kullanıcılar doğrudan
ayarlar içinde yerel silmeyi etkinleştirebilirler. Varsayılan olarak, iOS aygıtı 10 başarısız
parola denemesinden sonra otomatik olarak siler. Diğer parola ilkelerinde olduğu
gibi, maksimum başarısız deneme sayısı bir yapılandırma profili aracılığıyla
oluşturulabilir, bir MDM sunucusu tarafından atanabilir veya Microsoft Exchange
ActiveSync ilkeleri aracılığıyla kablosuz zorlanabilir.
iPhone'umu Bul ve Etkinleştirme Kilidi
Bir aygıt kaybolduğunda veya çalındığında, aygıtı devreden çıkarmak ve silmek
önemlidir. iOS 7'de iPhone'umu Bul özelliği açıldığında, aygıt sahibinin iCloud
kullanıcı bilgileri girilmeden yeniden etkinleştirilemez. Kuruma ait aygıtları
denetlemek veya iPhone'umu Bul'un kuruluşun aygıtı başka bir kişi tarafından
kullanılmak üzere atamasını önlememek için bu özelliği devreden çıkarmak
amacıyla bir ilke kullanmak iyi bir fikirdir.
iOS 7.1 veya daha sonraki sürümlerde bir kullanıcı iPhone'umu Bul'u açtığında
Etkinleştirme Kilidini çalıştırmak için uyumlu bir Mobil Aygıt Yönetimi çözümü
kullanabilirsiniz. Mobil Aygıt Yönetimi çözümünüz Etkinleştirme Kilidi devreye
sokulduğunda bir geçiş kodu depolayabilir ve aygıtı silmeniz veya başka bir
kullanıcının kullanımına sunmanız gerektiğinde Etkinleştirme Kılavuzunu otomatik
olarak temizlemek için daha sonra bu kodu kullanabilir. Ayrıntılar için Mobil Aygıt
Yönetimi çözümünüzün belgelerine bakın.
iPhone'umu Bul ve Etkinleştirme Kilidi hakkında daha fazla bilgi için lütfen iCloud
Desteği ve Mobil Aygıt Yönetimi ve iPhone'umu Bul Etkinleştirme Kilidi belgelerine
başvurun.
!
19
iOS Dağıtımı Teknik Başvuru Kılavuzu
Ağ güvenliği
• Yerleşik Cisco IPSec, L2TP, PPTP VPN
• App Store uygulamaları aracılığıyla
SSL VPN
• SSL/TLS ve X.509 sertifikaları
• WPA/WPA2 Enterprise ve 802.1X
• Sertifika tabanlı kimlik doğrulama
• RSA SecurID, CRYPTOCard
Ağ Güvenliği
VPN protokolleri
• Cisco IPSec
• L2TP/IPSec
• PPTP
• SSL VPN
VPN
Kimlik doğrulama yöntemleri
• Parola (MSCHAPv2)
• RSA SecurID
• CryptoCard
• X.509 dijital sertifikaları
• Paylaşılan sır
802.1X kimlik doğrulama protokolleri
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Desteklenen sertifika formatları
iOS, RSA anahtarlı X.509 sertifikalarını
destekler. .cer, .crt ve .der dosya uzantıları tanınır.
Mobil kullanıcıların kurumsal bilgi ağlarına dünyanın her yerinden erişebilmeleri
gerekir. Bununla birlikte, kullanıcıların yetkili olması ve aktarım sırasında verilerinin
korunması sağlanmalıdır. iOS bu güvenlik hedeflerine hem Wi-Fi ağlarında hem
hücresel veri ağı bağlantılarında ulaşabilecek kanıtlanmış teknolojiler sağlamaktadır.
Mevcut altyapınıza ek olarak, her FaceTime oturumu ve iMessage sohbetleri uçtan
uca şifrelenir. iOS iletişimin şifrelenmesini, yönlendirilmesini ve doğru bir şekilde
bağlanmasını sağlayarak her kullanıcı için benzersiz bir kimlik oluşturur.
Çoğu kurumsal ortamda bir tür sanal özel ağ (VPN) kuruludur. Bu güvenli ağ
hizmetleri zaten dağıtılmıştır ve iOS ile birlikte çalışmak için tipik olarak en düşük
oranda ayar ve yapılandırma gerektirir. iOS kutudan çıkar çıkmaz çok sayıda yaygın
kullanılan VPN teknolojisine entegre olur. Daha fazla bilgi için Bölüm 1'deki “Sanal
Özel Ağlar” başlığına bakın.
SSL/TLS
iOS; SSL s3 ve Transport Layer Security (TLS s1.0, 1.1 ve 1.2) özelliklerini destekler.
Safari, Takvim, Mail ve diğer İnternet uygulamaları, iOS ve şirket hizmetleri arasında
şifreli bir iletişim kanalı oluşturmak için bu mekanizmaları otomatik olarak başlatır.
WPA/WPA2
iOS kurumsal kablosuz ağınıza kimlik doğrulamalı erişim sağlamak için WPA2
Enterprise'ı destekler. WPA2 Enterprise, 128-bit AES şifrelemeyle kullanıcılara, bir Wi-Fi ağı bağlantısı aracılığıyla iletişim kurduklarında verilerinin güvende
kalacağı konusunda en yüksek seviyede garantiyi verir. 802.1X desteğiyle, iPhone ve iPad çok çeşitli RADIUS kimlik doğrulama ortamlarına entegre edilebilir.
Uygulama Güvenliği
iOS güvenlik merkeze alınarak tasarlanmıştır. Uygulamaların değiştirilmemesini
sağlamak için uygulama çalışma zamanı korumasına ve uygulama imzalamaya bir
yalıtma yaklaşımı katar. iOS, uygulama ve ağ hizmeti kullanıcı bilgilerinin anahtar
zinciri adını taşıyan şifrelenmiş bir depoda güvenli bir şekilde depolanmasını
kolaylaştıran bir çerçeveye sahiptir. Geliştiriciler için, uygulama veri depolarını
kullanabilen bir Common Crypto mimarisi sağlar.
Çalışma zamanı koruması
Aygıttaki uygulamalar, depolanan verilere başka uygulamaların erişimini kısıtlamak
için yalıtılır. Ayrıca, sistem dosyaları, kaynaklar ve çekirdeği kullanıcının uygulama
alanından korunur. Bir uygulamanın başka uygulamaların verilerine erişmesi
gerekiyorsa, bunu iOS tarafından sağlanan API'leri ve hizmetleri kullanarak yapabilir.
Kod üretimi de önlenir.
Zorunlu kod imzalama
Tüm iOS uygulamaları imzalanmalıdır. Aygıtla birlikte sağlanan uygulamalar Apple tarafından imzalanır. Üçüncü taraf uygulamaları Apple tarafından üretilen bir sertifika kullanılarak geliştirici tarafından imzalanır. Bu, uygulamaların
değiştirilmemesini veya bozulmamasını sağlar. Ayrıca, bir uygulamanın son
kullanılmasından bu yana güvenilmez hale gelmediğinden emin olmak için çalışma zamanı kontrolleri yapılır.
!
20
iOS Dağıtımı Teknik Başvuru Kılavuzu
Özel geliştirilmiş şirket içi kurumsal uygulamaların kullanımı bir yapılandırma
profiliyle kontrol edilebilir. Kullanıcıların uygulamayı yürütebilmek için yapılandırma
profilini yüklemiş olması gerekir. Yapılandırma profilleri MDM çözümleri kullanılarak
kablosuz yüklenebilir. Yöneticiler bir uygulamanın kullanımını belirli aygıtlarla da
sınırlayabilir.
Güvenli kimlik doğrulama çerçevesi
iOS dijital kimlikler, kullanıcı adları ve parolaları için güvenli, şifreli bir anahtarlık
sağlar. Anahtar zinciri verileri bölümlenerek, üçüncü şahıs uygulamalarının sakladığı
kimlik bilgilerine kimliği farklı uygulamalar tarafından erişilmesi engellenir. Bu, iOS
aygıtlarında kurum içindeki çeşitli uygulamalar ve hizmetlerde kimlik doğrulama
bilgilerinin güvenliğini sağlayan mekanizmayı oluşturur.
Ortak şifreleme mimarisi
Uygulama geliştiricileri, uygulama verilerini daha fazla korumak için kullanabilecekleri şifreleme AP'lerine erişebilirler. Veriler, AES, RC4 veya 3DES gibi kanıtlanmış yöntemleri kullanarak simetrik olarak şifrelenir. Ayrıca, iOS aygıtları AES şifreleme ve SHA1 adresleme için donanım hızlandırması sağlayarak uygulama
performansını en yüksek düzeye çıkar.
Uygulama veri koruması
Uygulamalar hassas uygulama verilerini daha fazla korumak için iOS aygıtlarındaki yerleşik donanım şifrelemesinden yararlanır. Geliştiriciler veri koruması için belirli
dosyaları belirterek, sisteme bu dosyaların içeriklerini hem uygulama için hem aygıt
kilitlendiğinde potansiyel sızmalar için kriptografik olarak erişilemez yapma
talimatını verebilirler.
Uygulama hakları
Varsayılan olarak, bir iOS uygulamasının çok sınırlı ayrıcalığı vardır. Geliştiriciler,
iCloud, arka planda işleme veya paylaşılan anahtar zincirleri gibi çoğu özelliği
kullanmak için açık bir şekilde haklar ekleyebilir. Bu uygulamaların dağıtım sırasında
verilmeyen veri iletişim haklarını kendilerine verememelerini sağlar. Ayrıca, iOS
uygulamaları GPS konumu, kullanıcı bilgileri, kamera veya depolanan fotoğraflar
gibi pek çok iOS özelliğini kullanmadan önce açık kullanıcı izinini istemek
zorundadır.
İnternet Hizmetleri
Apple kullanıcıların aygıtlarından daha da fazla yararlılık ve üretkenlik elde etmek
için, iMessage, FaceTime, Siri, iCloud, iCloud Yedekleme ve iCloud Anahtar Zinciri
gibi sağlam bir hizmetler seti oluşturmuştur.
Bu İnternet hizmetleri iOS'un platformun tamamında sunduğu aynı güvenlik
hedefleriyle oluşturulmuştur. Bu hedefler arasında, verilerin aygıtta saklanırken veya
kablosuz ağlar arasında aktarılırken güvenli bir şekilde işlenmesi, kullanıcıların kişisel
bilgilerinin korunması ve bilgileri ve hizmetlere kötü niyetli veya yetkisiz erişime
göre tehdit koruması da bulunur. Her hizmet iOS'un genel kullanım kolaylığını
bozmadan kendi güçlü güvenlik mimarisini kullanır.
iMessage
iMessage1 iOS aygıtları ve Mac bilgisayarları için bir mesajlaşma hizmetleridir.
iMessage metin girişini ve fotoğraflar, kişiler ve konumlar gibi ekleri destekler.
Mesajlar bir kullanıcının kayıtlı tüm aygıtlarında bulunduğu için, bu kullanıcı
sohbete aygıtlarından herhangi birinden devam edebilir. iMessage Apple'ın Anında
Bildirim Hizmetini (APNs) yaygın olarak kullanır. iMessage yalnızca gönderen ve alan
aygıtların bildiği anahtarları kullanan uçtan uca şifrelemeyi kullanır. Apple
mesajların şifresini çözmez ve mesajlar kaydedilmez.
FaceTime
21
iOS Dağıtımı Teknik Başvuru Kılavuzu
FaceTime2 Apple'ın görüntülü ve sesli arama hizmetidir. FaceTime aramaları ilk
bağlantıyı oluşturmak için Apple Anında Bildirim Hizmetini, ardından şifreli bir yayın oluşturmak için Internet Connectivity Establishment (ICE) ve Session Initiation
Protocol (SIP) özelliklerini kullanır.
Siri
Kullanıcılar sadece doğal bir şekilde konuşarak,3 mesaj göndermek, toplantılar
düzenlemek, telefonla aramak ve daha fazlası için Siri'yi kullanabilirler. Siri çok çeşitli
istekleri yerine getirmek için konuşma tanıma, metin seslendirme ve bir istemcisunucu modelini seçer. Siri'nin desteklediği görevler yalnızca mutlak olarak en
düşük miktarda kişisel bilginin kullanılmasını ve bu bilgilerin tam olarak
kullanılmasını sağlayacak şekilde tasarlanmıştır. Siri istekleri ve ses kayıtları kişisel
olarak tanımlanmaz ve mümkün olan her durumda Siri işlevleri sunucuda değil
aygıtta yürütülür.
iCloud
iCloud4 müzikleri, fotoğrafları, uygulamaları, takvimleri, belgeleri ve daha fazlasını
depolar ve bir kullanıcının tüm aygıtlarına otomatik olarak anında aktarır. iCloud
aygıt ayarları, uygulama verileri ve SMS ve MMS mesajları dahil bilgileri de günlük
olarak Wi-Fi üzerinden yedekler. iCloud'da verileriniz, internet üzerinden
gönderildiklerinde şifrelenerek, sunucuda tutulduklarında şifreli biçimde saklanarak
ve kimlik doğrulaması için güvenli belirteçler kullanılarak korunur. Bunlara ek olarak,
iCloud'un Fotoğraf Yayını, Belgeler ve Veriler ve Yedekleme gibi özellikleri bir
yapılandırma profili kullanılarak devreden çıkarılabilir. iCloud güvenliği ve gizliliği
hakkında daha fazla bilgi için, lütfen iCloud güvenliği ve gizliliğine genel bakış
(İngilizce) sayfasına başvurun.
iCloud Yedekleme
iCloud ayrıca aygıt ayarları, uygulama verileri ve metin ve MMS mesajları gibi
bilgileri de Wi-Fi üzerinden günlük olarak yedekler. iCloud'da verileriniz, internet
üzerinden gönderildiklerinde şifrelenerek, sunucuda tutulduklarında şifreli biçimde
saklanarak ve kimlik doğrulaması için güvenli belirteçler kullanılarak korunur. iCloud
Yedekleme yalnızca aygıt kilitlendiğinde, bir güç kaynağına bağlandığında ve
internete Wi-Fi erişimi olduğunda gerçekleşir. iOS'ta şifreleme kullanıldığı için,
sistem kademeli ve kullanıcı gözetimi olmayan yedekleme ve geri yüklemelerin
gerçekleşmesini sağlarken verileri güvenli tutacak şekilde tasarlanmıştır.
iCloud Anahtar Zinciri
iCloud Anahtar Zinciri kullanıcıların parolalarını iOS aygıtlarını ve Mac bilgisayarlarını
bilgilerini Apple'a bilgi vermeden eşzamanlamalarını sağlar. Güçlü gizlilik ve güvenliğe
ek olarak, iCloud Anahtar Zincirinin tasarımını ve mimarisini büyük oranda etkileyen
diğer hedefler kullanım kolaylığı ve bir anahtar zincirini kurtarma yeteneğidir. iCloud
Anahtar Zinciri iki hizmetten oluşur; anahtar eşzamanlama ve anahtar zinciri kurtarma.
Anahtar zinciri eşzamanlamada, aygıtlarına katılmasına yalnızca kullanıcı onayı
alındıktan sonra izin verilir ve eşzamanlama için uygun olan her anahtar zinciri iCloud
anahtar değeri depolama aracılığıyla aygıt için şifreleme ile alınır ve verilir. Bu öğeler
geçicidir ve eşzamanlama tamamlandıktan sonra iCloud'da kalmaz. Anahtar zinciri
kurtarma kullanıcıların anahtar zincirlerini, Apple'a parolalarını ve içerdiği diğer verileri
okuma olanağını vermeden Apple'a emanet etmesi için bir yol sağlar. Kullanıcının tek
bir aygıtı olsa bile, anahtar zinciri kurtarma veri kaybına karşı bir güvenlik ağı
oluşturur. Bu, web hesapları için rastlantısal, güçlü parolalar üretmek için Safari
kullanıldığında özellikle önemlidir, çünkü bu parolalar sadece anahtar zincirine
kaydedilir. Anahtar zinciri kurtarmanın önemli bir bileşeni, Apple tarafından özel
olarak bu özelliği desteklemek için oluşturulan ikincil kimlik doğrulama ve güvenli bir
emanet hizmetidir. Kullanıcının anahtar zinciri güçlü bir parola kullanılarak şifrelenir ve
emanet hizmeti anahtar zincirinin bir kopyasını yalnızca katı bir koşullar kümesi
karşılandığında sağlar.
Güvenlikle ilgili ayrıntılar iOS Güvenlik Kılavuzu (İngilizce) belgesinde verilmektedir.
22
iOS Dağıtımı Teknik Başvuru Kılavuzu
Bölüm 3: Yapılandırma ve Yönetim
iOS dağıtımları hesap kurmayı, kurumsal ilkeleri yapılandırmayı, uygulama
dağıtmayı ve aygıt sınırlarını uygulamayı basitleştiren birden fazla yönetim tekniği
ile sorunsuz hale getirilebilir. Kullanıcılar yapılandırma işinin büyük bölümünü iOS'ta
yerleşik Kurma Yardımcısı'nı kullanarak yapabilirler. iOS aygıtları yapılandırıldıktan ve MDM'e kaydedildikten sonra IT tarafından kablosuz olarak yönetilebilir.
Bu bölümde iOS dağıtımınızı desteklemek yapılandırma profillerini ve mobil aygıt
yönetimini nasıl kullanabileceğiniz açıklanmaktadır.
Aygıt Kurulumu ve Etkinleştirme
iOS kullanıcıların aygıtlarını kutudan çıkarır çıkarmaz iOS'taki kurma yardımcıyla
etkinleştirmelerini, temel ayarlarını yapılandırmalarını ve hemen çalışmaya
başlamalarını sağlar. Kullanıcılar temel özelliklerin yanı sıra dil, yer, Siri, iCloud ve iPhone'umu Bul gibi kişisel tercihlerini de özelleştirebilirler. Kurma Yardımcısı Apple ID'si olmayan kullanıcıların kişisel bir Apple ID oluşturmalarını da sağlar.
Apple ID
Apple ID, FaceTime, iMessage, iTunes, App Store, iCloud ve iBooks Store gibi çeşitli
Apple hizmetlerinde oturum açmak için kullanılan bir kimliktir. Apple ID ile, her
kullanıcı iTunes Store, App Store veya iBooks Store'dan uygulamalar, kitaplar ve
içerikler indirebilir. Apple ID kullanıcıların birden fazla aygıttaki içeriklere erişmek ve bu aygıtlar arasında içerik paylaşmak için kullanabilecekleri bir iCloud hesabına
kaydolmalarını da sağlar.
Bu hizmetlerden en iyi şekilde yararlanabilmek için, kullanıcıların kendi kişisel Apple
ID'lerini kullanması gerekir. Apple ID'leri yoksa, yapılandırmanın olabildiğince hızlı
tamamlanmasını sağlamak için daha aygıtı almadan bir Apple ID oluşturabilirler.
Apple ID edinme konusunda daha fazla bilgi için, lütfen Apple Kimliğim sayfasına bakın.
Aygıtları Apple Configurator ile hazırlama
IT tarafından merkezi olarak yönetilen ve bireysel kullanıcılar tarafından kurulmayan
uygulamalarda, uygulamaları hızla etkinleştirmek, yapılandırmalar tanımlamak ve
uygulamak, aygıtları denetlemek, uygulamalar kurmak ve aygıtları en son iOS
sürümüne güncellemek için Apple Configurator kullanılabilir. Apple Configurator
Mac App Store'dan indirilebilen ücretsiz bir OS X uygulamasıdır. Aygıtlar bu
görevlerini yerine getirmek için USB aracılığıyla bir Mac'e bağlanmalıdır. Aygıtlara,
aygıt ayarları ve Ana Ekran görünümü için de geçerli olan ve uygulama verilerini
kuran bir yedekleme de geri yükleyebilirsiniz.
!
23
iOS Dağıtımı Teknik Başvuru Kılavuzu
Yapılandırma Profilleri
Yapılandırma profilleri iOS aygıtlarının IT sistemlerinizle çalışmasını sağlayan aygıt güvenlik ilkeleri ve sınırlamalarını, VPN yapılandırma bilgilerini, Wi-Fi ayarlarını, e-posta ve takvim hesaplarını ve kimlik doğrulama bilgilerin içeren EML dosyalarıdır. Yapılandırma profilleri bir aygıta hızla yapılandırma ayarları ve
yetki bilgileri yükler. Bazı VPN ve Wi-Fi ayarları yalnızca bir yapılandırma profili
kullanılarak yapılabilir ve Microsoft Exchange kullanmıyorsanız, aygıt parola ilkelerini oluşturmak için bir yapılandırma profili kullanmanız gerekir.
Yapılandırma profilleri Over-the-Air Profile Delivery veya mobil aygıt yönetimi
(MDM) ile dağıtılabilir. Apple Configurator yardımcı programını kullanarak
yapılandırma profillerini USB aracılığıyla bir bilgisayara bağlanan aygıtlara
kurabilirsiniz veya yapılandırma profillerini e-postayla veya bir web sayfasında da
dağıtabilirsiniz. Kullanıcılar e-posta ekini açtığında veya profili Safari'yi kullanarak
aygıtlarına indirdiklerinde, yükleme işlemini başlatmaları istenir. Bir MDM sunucusu
kullanarak, sadece sunucu yapılandırma bilgilerini içerek bir ilk profil dağıtabilir ve
ardından aygıtın tüm diğer profilleri kablosuz olarak edinmesini sağlayabilirsiniz.
Yapılandırma profilleri şifrelenebilir ve imzalanabilir. Bu, yapılandırma profillerinin
kullanımı belirli bir aygıtla sınırlayabilir ve bir profilin içerdiği ayarların başkaları
tarafından önlemenizi sağlar. Bir profili aygıta kilitli olarak işaretleyerek, yalnızca
aygıttaki tüm veriler silinerek veya isteğe bağlı olarak, bir parolayla kaldırılabilir.
Kullanıcılar parolalar dışında bir yapılandırma profilinde sağlanan ayarları
değiştiremez. Ayrıca, Exchange hesapları gibi bir profil tarafından yapılandırılan hesaplar yalnızca profil silinerek kaldırılabilir.
Daha fazla bilgi için, lütfen iOS Geliştirici Arşivi sitesinde Yapılandırma Profili
Anahtarı Başvuru (İngilizce) belgesine başvurun.
Mobil Aygıt Yönetimi (MDM)
iOS'ta üçüncü taraf MDM çözümlerinin kablosuz olarak iOS aygıtlarıyla etkileşimde
bulunmasına olanak veren yerleşik bir MDM çerçevesi bulunur. Bu hafif çerçeve iOS
aygıtları için tamamen baştan tasarlanmıştır ve bir kuruluş içindeki tüm iOS aygıtları
tamamen yapılandırmak ve yönetmek için yeterince güçlü ve ölçeklenebilirdir.
IT yöneticileri bir MDM çözümünü uygulayarak kurumsal bir ortamdaki aygıtları
güvenli bir şekilde kaydedebilir, ayarları yapılandırabilir ve güncelleyebilir, kurumsal
ilkelerle uyumluluğu izleyebilir ve yönetilen aygıtları uzaktan silebilir veya
kilitleyebilir. iOS MDM, IT personeline kullanıcılara ağ hizmetlerine kullanıcı erişimini
etkinleştirmek ve kime ait olduklarından bağımsız olarak aygıtların doğru
yapılandırılmasını sağlamak için basit bit yol sağlar.
MDM çözümleri, hem genel hem özel ağlardaki aygıtlarla kalıcı iletişimi korumak
için Apple Anında İletilen Bildirim hizmetini (APNs) kullanır. MDM, istemcilerle
konuşmak için bir APNs sertifikası ve güvenli iletişim kurmak için bir SSL sertifikası
dahil olmak üzere, çalışma için birçok sertifika gerektirir. MDM çözümleri aynı
zamanda profilleri bir sertifika ile imzalayabilir.
APNs sertifikası da dahil çoğu sertifika her yıl yenilenmelidir. Bir sertifikanın süresi sona erdiğinde, sertifika güncellenene kadar bir MDM sunucusu istemcilerle
iletişim kuramaz. Süreleri sona ermeden önce tüm MDM sertifikalarını
güncellemeye hazır olun.
!
MDM sertifikaları hakkında daha fazla bilgi için Apple Push Sertifikaları Portalı'na
(İngilizce) başvurun.
24
iOS Dağıtımı Teknik Başvuru Kılavuzu
Kaydolma
Aygıtların kaydedilmesi, kataloglama ve varlık yönetimini etkinleştirir. Kayıt
işleminin, iOS aygıtlarının kurum hizmetlerine kimlik doğrulama için benzersiz
kimlik sertifikaları oluşturmalarını ve kaydetmelerini sağlayan Simple Certificate
Enrollment Protocol (SCEP) protokolünü kullanır.
Çoğu durumda, kullanıcılar aygıtlarını MDM'e kaydedip kaydetmemeye karar
verebilir ve MDM'den herhangi bir anda ayrılabilir. Kurumlar, kullanıcıların
yönetilmesini sürdürmek amacıyla, kullanıcılar için teşvikler düşünmelidir. Örneğin,
kablosuz kimlik bilgilerini otomatik olarak sağlamak üzere, MDM çözümünü
kullanarak Wi-Fi ağ erişimi için MDM kaydı yapılmasını gerekli hale getirin. Bir
kullanıcı MDM'den ayrılırsa, aygıt bunu MDM sunucusuna bildirmeyi dener.
!
Yapılandırma
Kaydedilen bir aygıt, aygıta aygıt tarafından otomatik ve sessiz olarak yüklenen
yapılandırma profillerini gönderen mobil aygıt yönetimi tarafından ayarlar ve
ilkelerle dinamik olarak yapılandırılır.
Yapılandırma profilleri (ayarların değiştirilmesini veya paylaşılmasını önlemek üzere)
imzalanarak, şifrelenerek ve kilitlenerek ağınıza ve hizmetlerinize yalnızca sizin
belirttiğiniz özelliklerle yapılandırılmış güvenilen kullanıcıların ve aygıtların erişmesi
sağlanır. Kullanıcı aygıtını MDM'den ayırdığı takdirde, MDM aracılığıyla yüklenen
tüm ayarlar kaldırılır.
Hesaplar
Mobil aygıt yönetimi kuruluşunuzun kullanıcılarının postalarını ve diğer hesaplarını
otomatik olarak kurarak hızla hazır ve çalışır duruma gelmelerini sağlar. MDM
ürününe ve iç sisteminize entegrasyon düzeyine bağlı olarak, hesap yükleri de bir
kullanıcı adı, e-posta adresi ve ilgili yerlerde, kimlik doğrulama ve imzalama için
sertifika kimlikleriyle önceden doldurulabilir. MDM aşağıdaki hesap türlerini
yapılandırabilir:
• Mail
• Takvim
• Abone Olunan Takvimler
• Kişiler
• Exchange ActiveSync
• LDAP
iOS 7'de yönetilen Mail ve Takvim hesapları yeni Açma Yönetimi sınırlamalarına
uyar.
Sorgular
Bir mobil aygıt yönetimi sunucusu, çeşitli bilgiler için aygıtları sorgulama özelliğine sahiptir. Bu sorgu, aygıtın seri numarası, aygıt UDID'si veya Wi-Fi MAC
adresi gibi donanım bilgileri ile iOS sürümü ve aygıtta yüklü tüm uygulamaların
ayrıntılı bir listesi gibi yazılım bilgilerini içerir. Bu bilgiler, kullanıcıların uygun
uygulamaları koruduklarından emin olmak için kullanılabilir.
Apple TV yazılımı veya daha yeni sürümüyle, MDM kayıtlı Apple TV aygıtlarında dil, yerel ayarlar ve kuruluş gibi varlık bilgilerini de sorgulayabilir.
!
25
iOS Dağıtımı Teknik Başvuru Kılavuzu
Komutlar
Bir aygıt yönetilirken, bir dizi özel eylemle mobil aygıt yönetim sunucusu aracılığıyla
yönetilebilir. Yönetim görevleri arasında aşağıdakiler de bulunur:
• Yapılandırma ayarlarını değiştirme. Bir aygıta yeni veya güncellenmiş bir yapılandırma profili yüklemek için bir komut gönderilebilir. Yapılandırma
değişiklikleri kullanıcı müdahalesi olmadan sessiz bir şekilde gerçekleşir.
• Aygıt kilitleme. Bir aygıtın anında kilitlenmesi gerekiyorsa, aygıtı halen atanmış
olan parolayla kilitlemek için bir komut gönderilir.
• Bir aygıtı uzaktan silme. Kaybolan veya çalınan bir aygıttaki tüm verileri silmek
için bir komut gönderilebilir. Bir uzaktan silme komutu gönderildiğinde, artık geri
alınamaz.
• Parola kilidi temizleme. Parola temizleme aygıtı kullanıcıdan hemen yeni bir parola girmesini isteyecek şekilde ayarlamanızı sağlar. Bu özellik, kullanıcı parolasını
unuttuğunda ve IT personelinden parolasını sıfırlamasını istediğinde kullanılır.
• AirPlay Yansıtmayı İsteme ve AirPlay Yansıtmayı Durdurma. iOS 7 belirli bir
hedefte AirPlay yansıtmayı başlatmak veya mevcut bir AirPlay oturumunu
bitirmek için denetlenen bir iOS aygıtına bir komut gönderir.
Yönetilen uygulamalar
Kuruluşlar kullanıcılarının işte veya sınıfta üretken olmalarını sağlamak için çoğu
zaman yazılım dağıtma ihtiyacı duyar. Aynı zamanda, kuruluşların bu yazılımların iç kaynaklara nasıl bağlandığını veya bir kullanıcı kuruluşun dışına çıktığında,
kullanıcıların kişisel uygulamaları ve verileriyle yan yana bulunan verilerinin
güvenliğinin nasıl sağlandığını kontrol etmeleri de gerekir. iOS 7'de yönetilen
uygulamalar bir kuruluşun MDM kullanarak kurumsal uygulamaları kablosuz
dağıtmasını ve bunu kurumsal güvenlik ve kullanıcı kişiselleştirme arasında doğru dengeyi yakalayarak yapmasını sağlar.
MDM sunucuları, hem App Store uygulamalarını hem de şirket içi kurumsal
uygulamaları aygıtlara kablosuz olarak dağıtabilir.
Yönetimli uygulamalar MDM sunucusu tarafından uzaktan kaldırılabilir veya
kullanıcı kendi aygıtını MDM'den çıkardığında kalkar. Uygulamayı kaldırmak
kaldırılan uygulamayla ilgili verileri de kaldırır.
!
26
iOS Dağıtımı Teknik Başvuru Kılavuzu
Mobil aygıt yönetimi, daha yüksek bir güvenlik ve daha iyi bir kullanıcı deneyimi
sağlamak için iOS 7'de yönetimli uygulamalara bir dizi ek sınırlama ve özellik ekler.
• Açma Yönetimi. Bir kuruluşun uygulama verilerini korumak için iki yararlı işlev sağlar:
– Yönetilmeyen uygulamalarla oluşturulan belgelerin yönetilen uygulamalarda
açılmasını sağlar. Bu sınırlamanın zorlanması bir kullanıcının kişisel
uygulamalarının ve hesaplarının kuruluşun yönetilen uygulamalarındaki
belgeleri açmasını engeller. Örneğin, bu sınırlama bir kullanıcının Keynote
kopyasının bir kuruluşun PDF görüntüleme uygulamasındaki bir sunum PDF'ini
açmasını engelleyebilir. Bu sınırlama bir kullanıcının kişisel iCloud hesabının bir kuruluşun Pages kopyasındaki bir sözcük işleme belgesi ekini açmasını da önleyebilir.
– Yönetilen uygulamalarla oluşturulan belgelerin yönetilmeyen uygulamalarda
açılmasını sağlar. Bu sınırlamanın zorlanması bir kuruşun yönetilen
uygulamalarının ve hesaplarının bir kullanıcının kişisel uygulamalarındaki
belgeleri açmasını engeller. Bu sınırlama kuruluşun yönetilen posta hesabındaki
gizli bir ek-posta ekinin kullanıcının kişisel uygulamalarının herhangi birinde
açılmasını engelleyebilir.
• Uygulama Yapılandırma. Uygulama geliştiricileri bir yönetimli uygulama
kurulduğunda ayarlanabilecek uygulama ayarlarını belirleyebilir. Bu yapılandırma
ayarları yönetimli uygulama kurulduktan önce veya sonra kurulabilir.
• Uygulama Geri Bildirimi. Uygulamaları üreten uygulama geliştiricileri MDM
kullanarak bir yönetim uygulamasından okunabilecek ayarları tanımlayabilir.
Örneğin, bir geliştirici bir MDM sunucusunun uygulamanın başlatıldığını veya
kurulduğunu belirlemek için sorgulayabileceği bir “Kurulum Tamamlandı” anahtarı
belirtebilir.
• Yedekleme Önleme. Bu sınırlama yönetilen uygulamaların verileri iCloud'a veya
iTunes'a yedeklemesini önler. Yedeklemeye izin vermemek yönetilen uygulama
verilerinin, uygulama kullanıcı tarafından MDM'den kaldırılıp daha sonra yeniden
kurulması durumunda kurtarılmasını önler.
Aygıt Denetimi
Denetim kuruluşuna ait aygıtlar için, iMessage'ı veya Game Center'ı kapatma gibi ek sınırlamalara izin vererek daha yüksek bir aygıt yönetim düzeyi sağlar. Ayrıca,
web içeriği filtreleme veya uygulamaları sessiz yükleme gibi ek aygıt
yapılandırmaları ve özellikleri de sağlar.
Denetimli aygıtlarda etkinleştirilebilecek spesifik sınırlamalar için Ek B'ye bakın.
!
27
iOS Dağıtımı Teknik Başvuru Kılavuzu
Bölüm 4: Uygulama Dağıtımı
iOS kuruluşunuzdaki kişilerin her gün yapmaları gereken (e-posta, takvimleri yönetme, kişileri kaydetme veya web üzerinde içerik kullanma gibi) her şeyi
yapmalarını sağlayan uygulamalarla gelir. Kullanıcıların üretken olmak için ihtiyaç duyduğu işlevlerin çoğu App Store'da bulunan yüz binlerce üçüncü taraf uygulamasından veya özel olarak geliştirilen şirket için kurumsal
uygulamalardan gelir.
iOS Kurumsal Geliştirici Programı'na üyeyseniz kendi şirket içi uygulamalarınızı da oluşturabilir ve dağıtabilirsiniz.
!
Kuruluşunuz tarafından kullanılmak üzere kendi iOS uygulamalarınızı geliştirdiğiniz
takdirde, iOS Kurumsal Geliştirici Programı şirket içi uygulamaları dağıtmanızı sağlar.
Bir şirket içi uygulamayı dağıtma prosedürü şudur:
• iOS Kurumsal Geliştirici Programına kaydolun.
• Uygulamanızı dağıtım için hazırlayın.
• Aygıtlara imzaladığınız uygulamaları kullanma yetkisi veren bir kurumsal dağıtım
yapılandırma dosyası oluşturun.
• Uygulamayı bu yapılandırma dosyasını ekleyin.
• Uygulamayı kullanıcılara dağıtın.
!
!
28
iOS Dağıtımı Teknik Başvuru Kılavuzu
Uygulama geliştirme için kaydolma
iOS için şirket uygulamaları geliştirmek ve dağıtmak istiyorsanız, önce iOS Kurumsal
Geliştirici Programı'na (İngilizce) kaydolun.
Kaydolduktan sonra, bir geliştirici sertifikası ve geliştirici yapılandırma profili
isteyebilirsiniz. Bunlara geliştirme sırasında uygulamanızı oluşturmak ve test etmek
için kullanırsınız. Geliştirme yapılandırma profili uygulamaların kayıtlı aygıtlarda
çalışmaları için sizin geliştirici sertifikanızla imzalanmasını sağlar. Geliştirici
yapılandırma profilini iOS Provisioning Portalında oluşturabilirsiniz. Bu ad hoc profil üç ay içinde sona erer ve hangi aygıtların uygulamanızın geliştirme yapılarını çalıştırabileceğini (aygıt kimliğine göre) belirtir. Geliştirici imzalı yapınızı ve geliştirme yapılandırma profilinizi uygulama ekibinize ve test edecek kişiler dağıtırsınız.
Uygulamaları dağıtım için hazırlama
Geliştirme ve testleri tamamladıktan ve uygulamanızı dağıtmaya hazır hale geldikten sonra, uygulamanızı kendi dağıtım sertifikanızı kullanarak imzalarsınız ve bir yapılandırma dosyasıyla paket haline getirirsiniz. Program üyeliğiniz için
belirttiğiniz Ekip Temsilcisi veya Yönetici iOS Provisioning Portal'ında (İngilizce)
sertifikayı ve profili oluşturur.
Dağıtım sertifikası üretimi, bir Sertifika İmzalama İsteği (CSR) üretmek için (OS X
geliştirme sisteminizde Anahtar Zinciri Erişimi uygulamanızın bir parçası olan)
Certificate Assistant kullanılmasını gerektirir. CSR iOS Provisioning Portalına yüklenir
ve karşılığında bir dağıtım sertifikası alınır. Bu sertifikayı Kerberos'a yüklediğinizde,
uygulamanızı bu sertifikayla imzalamak için Xcode'u ayarlayabilirsiniz.
Şirket içi uygulamaların konfigürasyonu
Kurumsal dağıtım yapılandırma profili uygulamanızın sınırsız sayıda iOS aygıtına
kurulmasını sağlar. Belirli bir uygulama veya birden fazla uygulama için bir kurumsal
dağıtım konfigürasyon profili oluşturabilirsiniz.
Mac'inize kurumsal dağıtım sertifikası ve konfigürasyon profili kurulduktan sonra,
uygulamanızın çıkış/üretim sürümünü imzalamak ve oluşturmak için Xcode
kullanabilirsiniz. Kurumsal dağıtım sertifikanız üç yıl geçerlidir; bu sürenin sonunda
uygulamanızı yenilenmiş bir sertifikayla imzalamanız ve oluşturmanız gerekir.
Uygulamanın konfigürasyon profili bir yıl geçerli kalır, bu nedenle her yıl yeni
konfigürasyon profilleri çıkarmanız gerekir. Daha fazla ayrıntı için, “Güncellenmiş
Uygulamalar Sağlama” (Ek C) bölümüne bakın.
Dağıtım sertifikanıza ve özel anahtarına erişimi sınırlamanız çok önemlidir. Bu
öğeleri p12 formatında dışa aktarmak ve yedeklemek için OS X'te Anahtar Zinciri
Erişimini kullanın. Özel anahtar kaybolduğu takdirde, kurtarılamaz ve ikinci kez
indirilemez. Sertifikayı ve özel anahtarı güvende tutmak için, erişimi uygulamanın
nihai kabulünden sorumlu personelle sınırlamanız gerekir. Bir uygulamayı dağıtım
sertifikanızla imzalamanız şirketinizin uygulamanın içeriğini, işlevlerini ve Kurumsal
Geliştirici Sözleşmesi lisans koşullarına uygun olduğunu onayladığı anlamına gelir.
!
29
iOS Dağıtımı Teknik Başvuru Kılavuzu
Uygulamaları Dağıtma
Bir uygulamayı dağıtmanın dört yolu vardır:
• Uygulamaları kullanıcılarınıza iTune kullanarak kurmaları için dağıtma.
• IT kullanıcılarının uygulamayı aygıtlara Apple Configurator kullanarak yüklemesi.
• Uygulamayı güvenli bir web sunucusuna yükleme; kullanıcılar uygulamaya
kablosuz erişerek yükleyebilirler. Bkz., "Ek C: Şirket İçi Uygulamaları Kablosuz
Yükleme"
• Yönetimli aygıtlara şirket içi veya ücretsiz App Store uygulamasını yüklemek için
(MDM sunucunuz bunu kullanıyorsa) MDM sunucunuzu kullanın.
Uygulamaları iTunes kullanarak kurma
Kullanıcılarınızı uygulamaları aygıtlarına iTunes kullanarak kuruyorsa, uygulamayı
kullanıcılara güvenli bir şekilde dağıtın ve aşağıdaki işlemleri yapmalarını isteyin:
1. iTunes'da, Dosya>Kitaplığa Ekle'yi ve ardından dosyayı (.app, .ipa veya .mobileprovision) seçin. Kullanıcı dosyayı iTunes uygulama penceresine de sürükleyebilir.
2. Bilgisayara bir aygıt bağlayın ve iTunes'da Aygıtlar listesinde bu aygıtı seçin.
3. Uygulamalar sekmesine tıklayın ve listedeki uygulamayı seçin.
4. Uygula düğmesine tıklayın.
Kullanıcılarınızın bilgisayarları yönetimliyse, dosyaları iTunes'a eklemelerin istemek yerine, dosyaları bilgisayarlara dağıtabilir ve aygıtlarını eşzamanlamalarını
isteyebilirsiniz. iTunes, iTunes Mobil Uygulamalar ve Konfigürasyon Profilleri
klasörlerinde bulunan dosyaları otomatik olarak yükler.
Uygulamaları Apple Configurator ile yükleme
Mac App Store'dan indirilebilen ücretsiz bir OS X uygulaması olan Apple
Configurator IT yöneticileri tarafından şirketi içi (veya App Store) uygulamalarını
yüklemek için kullanılabilir.
App Store'daki ücretsiz uygulamalar veya şirket içi uygulamalar doğrudan Apple
Configurator'a aktarılabilir ve istediğiniz sayıda aygıta yüklenebilir.
Uygulamaları MDM kullanarak yükleme
Bir MDM sunucusu App Store'daki ücretsiz uygulamaları olduğu gibi şirket içi
uygulamalarını da yönetebilir. MDM kullanarak yüklenen uygulamalar ”yönetimli
uygulamalar” olarak adlandırılır. MDM sunucusu, kullanıcı MDM'den ayrıldığında
yönetimli uygulamaların ve verilerinin korunup korunmayacağını belirtir. Ayrıca, sunucu yönetimli uygulamanın iTunes'a veya
iCloud'a yedeklenmesini de önleyebilir. Bu IT departmanını hassas şirket bilgileri
içeren belgeleri doğrudan kullanıcı tarafından indirilen uygulamalara göre daha
fazla kontrol ederek yönetmesini sağlar.
Yönetimli bir uygulamayı kurmak için, MDM sunucusu aygıta bir kurulum komutu
gönderir. Denetimli aygıtlardan, yönetilen uygulamaların kurulmasından önce bir
kullanıcı onayı gerekir.
Yönetimli uygulamalar iOS 7'deki ek kontrollerden yararlanır. VPN bağlantıları artık
uygulama düzeyinde belirtilebilir, bu durumda korunan VPN tünelinde yalnızca bu uygulamanın ağ trafiği bulunur. Bu özel verilerin gizli kalmasını ve herkese açık
verilerin bu bu verilerle karışmamasını sağlar.
Yönetimli uygulamalar iOS 7'de Açma Yönetimini de destekler. Bu, yönetimli
uygulamaların kullanıcının kişisel uygulamalarına/uygulamalarından veri aktarımını
sınırlayabileceği ve böylece kurumların hassas verileri olmaları gereken yerde
tutmalarını sağlayabileceği anlamına gelir.
30
iOS Dağıtımı Teknik Başvuru Kılavuzu
Önbellek Sunucusu
iOS kullanıcıların dijital içeriklere erişmesini ve bu içerikleri kullanmasını kolaylaştırır
ve bazı kullanıcılar bir kuruluşun kablosuz ağına bağlandıklarında gigabaytlarca
uygulama, kitap ve yazılım güncellemeleri isteyebilir. Bu varlıklara talep, ilk aygıt
kurulumunda ve daha sonra zaman içinde kullanıcılar yeni uygulamalar
keşfettiklerinde veya içerik güncellendiğinde aniden artar. Bunun sonucunda, içerik indirmeleri internet bant genişliğinde taşmalara neden olabilir.
OS X Server'ın Caching Server özelliği istenen içeriklerin önbelleğe alınan
kopyalarını yerel alan ağında saklayarak özel ağlarda (RFC1918) internet çıkış bant
genişliğini azaltır. Büyük ağlar birden fazla Caching Server kullanma avantajından
yararlanır. Çoğu dağıtımda, Caching Server'ı yapılandırmak hizmet açmak kadar
basittir. Sunuccu ve sunucuyu kullanan tüm aygıtlar için bir NAT ortamı zorunludur.
Daha fazla bilgi için lütfen OS X Server: Gelişmiş Yönetim belgesine başvurun.
iOS 7 kurulu iOS aygıtları ek bir aygıt yapılandırması gerekmeksizin otomatik olarak
yakındaki bir Caching Server ile iletişim kurar. Caching Server iş akışı iOS aygıtına
aşağıda belirtildiği gibi saydam bir şekilde davranır:
1. Bir veya daha fazla Caching Server bulunan bir ağa bağlı bir iOS aygıtı iTunes
Store veya Yazılım Güncelleme sunucusundan içerik istediğinde, iOS aygıtı bir
Caching Server'a yöneltilir.
2. Caching Server ilk olarak istenen içeriğin yerel önbellekte olup olmadığını kontrol
eder. Varsa, içeriği hemen iOS aygıtına aktarmaya başlar.
3. Caching Server istenen içeriğe sahip değilse, içeriği başka bir kaynaktan
indirmeyi dener. OS X Mavericks için Caching Server 2 ağdaki istenen içeriği daha önce indirmiş diğer Caching Sunucularını kullanan bir eşler arası kopyalama
özelliğine sahiptir.
4. Caching Sunucusu indirilen verileri alır ve bu verileri derhal istekte bulunan
istemcilere aktarır ve aynı zamanda bir kopyasını diske önbellekler.
iOS 7 aşağıdaki önbelleklenen içerik türlerini destekler:
• iOS Yazılım Güncellemeleri
• App Store uygulamaları
• App Store güncellemeleri
• iBooks Store'dan kitaplar
iTunes, Caching Server 2'yi de destekler. Aşağıdaki içerik türleri (hem Mac'te hem
Windows'ta) iTunes 11.0.4 ve daha yeni sürümleri tarafından desteklenir:
• App Store uygulamaları
• App Store güncellemeleri
• iBooks Store'dan kitaplar
!
31
iOS Dağıtımı Teknik Başvuru Kılavuzu
Ek A: Wi-Fi Altyapısı
Bir iOS dağıtımı için Wi-Fi altyapısını hazırlarken, dikkat edilmesi gereken birkaç
unsur vardır:
• Gereken kapsama alanı
• Wi-Fi ağını kullanan aygıtların sayısı ve yoğunluğu
• Aygıtların türleri ve Wi-Fi özellikleri
• Aktarılan verilerin türleri ve miktarı
• Kablosuz ağa erişmek için güvenlik gereksinimleri
• Şifreleme gereksinimleri
Bu liste bütün öğeleri içermez, ancak en uygun Wi-Fi ağ tasarımı unsurlarından
bazılarını sunar.
Anımsatma: Bu bölüm, Amerika Birleşik Devletleri'ndeki Wi-Fi ağ tasarımına
odaklanır. Bu tasarım diğer ülkelerde farklılık gösterebilir.
Kapsama ve yoğunluk planlaması
iOS aygıtlarının kullanıldığı yerde Wi-Fi kapsaması sağlamak kritik olsa da, belirtilen
alandaki aygıt yoğunluğunu planlamak da bir o kadar önemlidir.
Birçok yeni, kurumsal sınıf erişim noktası aygıtı 50'ye kadar Wi-Fi istemcisini
yönetebilir; ancak bu kadar çok aygıt tek bir erişim noktasına bağlıysa, kullanıcı
deneyimi tatmin edici olmayabilir. Her aygıttaki deneyim, kullanılan kanaldaki
kablosuz bant genişliğine ve tüm bant genişliğini paylaşan aygıt sayısına bağlıdır.
Aynı erişim noktasını daha da fazla aygıt kullandıkça, bu aygıtların ilgili ağ hızı da
azalır. iOS aygıtlarının beklenen kullanım düzenini Wi-Fi ağ tasarımınızın bir bölümü
olarak değerlendirmelisiniz.
2.4 GHz ve 5 GHz karşılaştırması
2.4 GHz frekansında çalışan Wi-Fi ağları Amerika Birleşik Devletleri'nde 11 kanala izin verir. Ancak, kanal paraziti etkenleri nedeniyle, bir ağ tasarımında yalnızca 1, 6 ve 11 kanalları kullanılmalıdır.
5 GHz sinyaller, 2.4 GHz sinyaller gibi duvarları ve diğer engelleri geçemez, bu da
daha küçük bir kapsama alanıyla sonuçlanır. Bu nedenle, sınıf gibi kapalı bir alanda
yüksek aygıt yoğunluğu için tasarım yaparken 5 GHz ağlar tercih edilebilir. 5 GHz
bandındaki kanal sayısı, erişim noktası satıcıları arasında ve ülkeye göre değişir,
ancak her zaman en az sekiz kanal kullanılabilir durumdadır.
5 GHz frekansındaki hiç bir kanal diğerleri ile örtüşmez, bu da birbirleriyle
örtüşmeye üç kanal içeren 2.4 GHz bandı ile arasındaki önemli bir farklılıktır. Yüksek
iOS aygıtı yoğunluğu için bir Wi-Fi ağı tasarlarken, 5 GHz frekansında sağlanan ek
kanallar, strateji planlamasında dikkate alınmalıdır.
!
32
iOS Dağıtımı Teknik Başvuru Kılavuzu
Kapsama Tasarımı
Binanızın fiziksel yapısı Wi-Fi ağ tasarımınızı etkileyebilir. Örneğin, bir iş ortamında
kullanıcılar diğer çalışanlara konferans odalarında veya ofislerde buluşabilir. Bunun
sonucunda, kullanıcılar gün boyunca bina içinde hareket ederler. Bu senaryoda, eğ erişiminin çoğu e-postaları, takvimleri kontrol etme ve internette gezinme ile
bağlantılıdır ve bu nedenle Wi-Fi kapsama alanı en yüksek önceliktir. Senaryodaki
Wi-Fi tasarımı, ofisler için kapsama alanı sağlamak amacıyla her katta iki veya üç
erişim noktasını, her konferans salonunda da bir erişim noktasını içerebilir.
Yoğunluk tasarımı
Yukarıdaki senaryoyu, iki katlı bir binada 1000 öğrencisi ve 30 öğretmeni olan bir
okulla karşılaştırın. Her öğrenciye bir iPad, her öğretmene de hem bir Macbook Air,
hem de bir iPad verilmiştir. Her sınıfta yaklaşık 35 öğrenci bulunur ve sınıflar
birbirine bitişiktir. Gün boyunca, öğrenciler internette araştırma yapar, eğitim
programı ile ilgili videoları izler ve yerel ağda bulunan bir dosya sunucusunda dosya
kopyalama işlemleri yaparlar.
Bu senaryonun Wi-Fi ağ tasarımı, daha yüksek mobil aygıt yoğunluğu nedeniyle
daha karmaşıktır. Her sınıfta yaklaşık 35 öğrenci olduğu için, her sınıfa bir erişim
noktası dağıtılmalıdır. Yeterli kapsama sağlamak için ortak alanlarda birden fazla
erişim noktası kullanılmalıdır. Ortak alanlardaki erişim noktalarının gerçek sayısı, bu
alanlardaki Wi-Fi yoğunluğuna göre değişebilir.
Ağa yalnızca 802.11b veya 802.11g standartlarını destekleyen aygıtların katılması
gerektiği takdirde, çift bantlı erişim noktaları dağıtılmışsa bir seçenek sadece
802.11b/g'yi etkinleştirmektir. Bir diğer seçenek ise, daha yeni aygıtlar için 5 GHz
hızında 802.11n kullanarak bir SSID ve 802.11b ve 802.11g aygıtlara destek vermek
için 2.4 GHz hızında ikinci bir SSID sağlamaktır. Ancak, çok fazla SSID oluşturmamaya
dikkat edilmelidir.
Her iki tasarım senaryosunda da gizli SSID'lerin kullanımından kaçınılmalıdır. Bir Wi-Fi aygıtının, yayınlanan SSID'ye göre adı gizlenmiş bir SSID'ye yeniden katılması
daha zordur ve SSID'yi gizlemenin güvenlik avantajı çok azdır. Kullanıcılar, iOS
aygıtlarıyla birlikte konumlarını sık sık değiştirmeye eğilimlidir, bu nedenle gizli
SSID'lerin kullanılması ağ ilişkilendirme süresini artırabilir.
Apple ürünlerindeki Wi-Fi standartları
Apple ürünlerinde farklı Wi-Fi spesifikasyonları için verilen destek, bu bilgileri içeren
aşağıdaki listede ayrıntılı olarak belirtilmektedir:
• 802.11 uyumluluğu. 802.11b/g, 802.11a, 802.11n
• Frekans bandı. 2.4 GHz veya 5 GHz
• MCS dizini. Modülasyon ve Kodlama Şeması (MCS) dizini, 802.11n aygıtlarının
iletişim kurabileceği en yüksek aktarım hızını tanımlar.
• Kanal birleştirme. HD20 veya HD40
!
33
iOS Dağıtımı Teknik Başvuru Kılavuzu
• Koruma aralığı (GI): Koruma aralığı, bir aygıttan diğerine aktarılan semboller
arasındaki boşluktur (zaman olarak). 802.11n standardı, daha hızlı genel çıkışa izin
veren 400 ns'lik kısa bir koruma aralığını tanımlar, ancak aygıtlar 800 ns'lik uzun bir
koruma aralığı kullanabilir.
iPhone 5s
802.11n @ 2.4GHz ve 5GHz
802.11a/b/g
MCS Dizin 7 / HT40 / 400ns GI
iPhone 5c
802.11n @ 2.4GHz ve 5GHz
802.11a/b/g
MCS Dizin 7 / HT40 / 400ns GI
iPhone 5
802.11n @ 2.4GHz ve 5GHz
802.11a/b/g
MCS Dizin 7 / HD40 / 400ns GI
iPhone 4s
802.11n @ 2.4GHz
802.11b/g
MCS Dizin 7 / HD20 / 800ns GI
iPhone 4
802.11n @ 2.4GHz
802.11b/g
MCS Dizin 7 / HD20 / 800ns GI
iPad Air ve Retina ekranlı iPad mini
2.4 GHz ve 5 GHz frekanslarında 802.11n
802.11 a/b/g
MCS Dizin 15 / HD40 / 400ns GI
iPad (4. Nesil) ve iPad mini
802.11n @ 2.4GHz ve 5GHz
802.11a/b/g
MCS Dizin 7 / HD40 / 400ns GI
iPad (1., 2. ve 3. Nesil)
802.11n @ 2.4GHz ve 5GHz
802.11a/b/g
MCS Dizin 7 / HD20 / 800ns GI
iPod touch (5. Nesil)
802.11n @ 2.4GHz ve 5GHz
802.11a/b/g
MCS Dizin 7 / HD40 / 400ns GI
iPod touch (4. Nesil)
802.11n @ 2.4GHz
802.11b/g
MCS Dizin 7 / HD20 / 800ns GI
!
34
iOS Dağıtımı Teknik Başvuru Kılavuzu
Ek B: Sınırlamalar
iOS, hepsi kuruluşunuzun ihtiyaçlarını karşılamak için yapılandırılabilen aşağıdaki
ilkeleri ve sınırlamaları destekler.
Aygıt işlevleri
• Uygulama kurmaya izin verme
• Siri'ye izin verme
• Kilitliyken Siri'ye izin verme
• Kamera kullanımına izin verme
• FaceTime'a izin verme
• Ekran resmi çekmeye izin verme
• Dolaşım sırasında otomatik eşzamanlamaya izin verme
• Son Mail iletilerinin eşzamanlanmasına izin verme
• Sesli aramaya izin verme
• Uygulama içinden satın almaya izin verme
• Tüm satın alma işlemleri için mağaza parolası gereklidir
• Çok oyunculu oyunlara izin verme
• Game Center arkadaşları eklemeye izin verme
• İzin verilen derecelendirmeleri ayarlama
• Touch ID'ye izin verme
• Kilit Ekranından Denetim Merkezine erişmeye izin verme
• Kilit Ekranından Bildirim Merkezine erişmeye izin verme
• Kilit ekranından Bugün görünümüne izin verme
• Kilit ekranında Passbook bildirimlerine izin verme
Uygulamalar
• iTunes Store kullanımına izin verme
• Safari kullanımına izin verme
• Safari güvenlik tercihlerini ayarlama
iCloud
• Yedeklemeye izin verme
• Belge ve anahtar zinciri eşzamanlamasına izin verme
• Fotoğraf Yayınım'a izin verme
• iCloud fotoğraf paylaşımına izin verme
!
35
iOS Dağıtımı Teknik Başvuru Kılavuzu
Güvenlik ve gizlilik
• Tanılama verilerinin Apple'a gönderilmesine izin verme
• Kullanıcının güvenilmeyen sertifikaları kabul etmesine izin verme
• Şifreli yedeklemelere zorlama
• Yönetimsiz Uygulamalardan Yönetimli Uygulamalara Açmaya İzin Verme
• Yönetimli Uygulamalardan Yönetimsiz Uygulamalara Açmaya İzin Verme
• İlk AirPlay eşleştirmesinde parola isteme
• Kablosuz PKI güncellemelerine izin verme
• Limit Ad Tracking'i zorunlu tutma
Yalnızca denetlenen uygulamalar için sınırlamalar
• Yalnızca Tek Uygulama Modu
• Erişilebilirlik ayarları
• iMessage'e izin verme
• Game Center'a izin verme
• Uygylamaların kaldırılmasına izin verme
• iBooks Store'a izin verme
• iBooks Store'dan erotik kitaplara izin verme
• Siri Profanity Filter'i etkinleştirme
• Yapılandırma profillerinin elle yüklenmesine izin verme
• HTTP için global ağ proxy'si
• İçerik eşzamanlamak için bilgisayar eşleştirmeye izin verme
• AirPlay bağlantılarını güvenli adresler listesi ve isteğe bağlı bağlantı parolalarıyla
sınırlama
• AirDrop'a izin verme
• Hesap değiştirmeye izin verme
• Hücresel veri ayarlarının değiştirilmesine izin verme
• Arkadaşlarımı Bul'a izin verme
• Ana makine eşleştirmeye izin verme (iTunes)
• Etkinleştirme Kilidine İzin Verme
!
!
36
iOS Dağıtımı Teknik Başvuru Kılavuzu
Ek C: Şirket İçi Uygulamaları
Kablosuz Yükleme
iOS özel geliştirilen şirket içi uygulamaların iTunes veya App Store kullanmadan
kablosuz yüklenmesini destekler.
Gereksinimler:
• Kimliği doğrulanan kullanıcıların erişebileceği güvenli bir web sunucusu
• Çıkış/üretim için oluşturulmuş .ipa formatında bir iOS uygulaması ve bir kurumsal
konfigürasyon profili
• Bu ekte açıklanan, bir XML içerik dosyası
• Aygıtların Apple'da bir iTunes sunucusuna erişmesini sağlayan bir ağ yapılandırması
Uygulama kurmak basittir. Kullanıcılar içerik dosyasını web sitesinden iOS aygıtlarına
indirir. İçerik dosyası aygıta içerik dosyasında belirtilen uygulamaları indirme ve
kurma talimatını verir.
İçerik dosyasının indirileceği URL adresini SMS veya e-posta ile veya
oluşturduğunuz başka bir uygulamaya gömerek dağıtabilirsiniz.
Uygulamaları dağıtmak için web sitesi tasarlamaya ve barındırmaya karar
verebilirsiniz. Kullanıcıların belki basit kimlik doğrulamasını veya dizin tabanlı kimlik
doğrulamayı kullanarak kimliklerini doğruladıklarından ve web sitesine dahili ağınız
veya internet aracılığıyla erişilebildiğinden emin olun. Uygulamayı ve içerik
dosyasını gizli bir dizine veya HTTP veya HTTPS kullanılarak okunabilecek herhangi
bir diğer konuma yerleştirebilirsiniz.
Bir self servis portalı oluşturuyorsanız, kullanıcının Ana ekranında bir Web Klibi
ekleyerek, yeni yapılandırma profilleri, önerilen App Store uygulamaları ve bir mobil
aygıt yönetimi çözümüne kayıt gibi gelecekteki dağıtım bilgileri içine portala
yönlendirilmelerini kolaylaştırmayı düşünebilirsiniz.
Şirket içi bir uygulamayı kablosuz dağıtım için hazırlama
Şirket içi uygulamanızı kablosuz dağıtıma hazırlamak için, arşivlenmiş bir sürümünü
(bir .ipa dosyası) ve uygulamanın kablosuz dağıtılmasını ve kurulmasını sağlayan
bir manifest dosyası oluşturmanız gerekir.
Bir uygulama arşivi oluşturmak için Xcode kullanın. Uygulamayı dağıtım sertifikanızı
kullanarak imzalayın ve arşive kurumsal dağıtım konfigürasyon profilini ekleyin.
Uygulama oluşturma ve arşivleme konusunda daha fazla bilgi için, iOS Dev Center'ı
ziyaret edin veya Xcode Yardım menüsünde bulunan Xcode Kullanıcı Kılavuzu'na
başvurun.
Kablosuz manifest dosyası hakkında
Manifest dosyası bir XML plist dosyasıdır. iOS aygıtı tarafından web sunucunuzdan
uygulamalar bulmak, indirmek ve kurmak için kullanılır. Manifest dosyası arşivlenmiş
bir uygulamayı kurumsal dağıtım için ilettiğinizde sağladığınız bilgiler kullanılarak
Xcode tarafından oluşturulur. Uygulamaları dağıtım için hazırlama konusunda
aşağıdaki bölümlere bakın.
37
iOS Dağıtımı Teknik Başvuru Kılavuzu
Aşağıdaki alanlar zorunludur:
Ürün
Tanım
URL
Uygulama (.ipa) dosyasının tam olarak
uygun HTTPS URL adresi.
ekran resmi
İndirme ve yükleme sırasında gösterilen
57x57-piksel çözünürlüğünde bir PNG resmi.
Resmin tam olarak uygun URL adresini
belirtin.
tam boy resim
iTunes'da uygulamayı temsil eden 512x512
piksel çözünürlüğünde bir PNG resmi.
paket tanımlayıcı
Uygulamanızın, tam olarak Xcode projesinde
belirtilen paket tanımlayıcısı.
paket sürümü
Uygulamanızın, Xcode projesinde belirtilen
paket sürümü.
başlık
Uygulamanızın indirme ve yükleme sırasında
gösterilen adı.
!
Yalnızca Gazetelik uygulaması için, aşağıdaki alanlar zorunludur:
Ürün
Tanım
gazetelik resmi
Gazetelik rafında gösterilecek tam boy PNG resim.
UINewsstandBindingEdge
UINewsstandBindingType
Bu anahtarlar Gazetelik uygulamanızın
info.plist'inde belirtilenlerle aynı olmalıdır.
UINewsstandApp
Uygulamanın bir Gazetelik uygulaması
olduğunu belirtir.
Kullanabileceğiniz isteğe bağlı anahtarla örnek manifest dosyasında tamınlanır.
Örneğin, dosyanız büyükse ve TCP iletişimleri içinde normalde yapılan hata
denetiminin ötesinde bir indirme güvenliği sağlamak istiyorsanız, MD5 anahtarlarını
kullanabilirsiniz.
Bir manifest dosyasıyla öğe disizinden başka öğeler belirterek birden fazla
uygulama kurabilirsiniz.
Bu ekin sonunda bir örnek manifest dosyası bulunmaktadır.
Web sitenizin kurulması
Web sitenizin kimliği doğrulanan kullanıcıların erişebileceği bir bölgesine bu öğeleri yükleyin:
• app (.ipa) dosyası
• Manifest (.plist) dosyası
Web sitesi tasarımını manifest dosyasına bağlanan bir sayfa kadar kolaydır. Kullanıcı
bir web bağlantısına tıkladığında, tanımladığı uygulamaların indirilmesini ve
kurulmasını tetikleyen manifest dosyası indirilir.
Bir örnek bağlant: <a href=”itms-services://?action=download-manifest&url=http://
example.com/manifest.plist”>Uygulamayı Yükle</a>
Arşivlenmiş uygulamaya (.ipa) web bağlantısı eklemeyin. .ipa dosyası aygıt
tarafından manifest dosyası yüklendiğinde indirilir. URL'nin protokol bölümü itms hizmetleri olmasına rağmen, iTunes Store bu sürece katılmaz.
38
iOS Dağıtımı Teknik Başvuru Kılavuzu
.ipa dosyanıza HTTPS üzerinden erişilmeli ve sitenizin iOS'un güvendiği bir
sertifikayla imzalanmalıdır. Kendisi imzalı bir sertifikanın güvenilir sunucusu yoksa
ve iOS aygıtı tarafından onaylanamıyorsa kurulum başarısız olur.
Sunucu MIME türlerini ayarlama
Manifest dosyasının ve uygulama dosyasının doğu aktarılması için web sunucunuzu
yapılandırmanız gerekebilir.
OS X Server için, web hizmetinin MIME Türleri ayarlarıan aşağıdaki MIME türlerini
ekleyin:
application/octet-stream ipa text/xml plist
IIS için, sunucunun Özellikler sayfasına MIME türünü eklemek için IIS Manager'ı kullanın:
.ipa application/octet-stream .plist text/xml
Kablosuz uygulama dağıtımı sorunlarını giderme
Kablosuz uygulama dağıtımı “indirilemiyor” mesajıyla başarısız olduğu takdirde,
aşağıdakileri kontrol edin:
• Uygulamanın doğru imzaladığından emin olun. Apple Configurator kullanarak bir
aygıta kurarak test edin ve hata oluşup oluşmadığını görün.
• Manifest dosyasına verilen bağlantının doğru olduğundan ve manifest dosyasının
web kullanıcılarının erişimine açık olduğundan emin olun.
• (Manifest dosyasındaki) .ipa dosyasına verilen bağlantının doğru olduğundan
ve .ipa dosyasının HTTPS üzerinden web kullanıcılarının erişimine açık
olduğundan emin olun.
Ağ yapılandırma gereksinimleri
Aygıtlar kapalı bir ağa bağlanıyorsa, iOS aygıtlarının aşağıdakilere erişmesini
sağlayabilirsiniz:
URL
Neden
ax.init.itunes.apple.com
Aygıt hücresel ağ üzerinden uygulama indirmek
için geçerli dosya boyutu limitini alır. Bu siteye erişilemezse, yükleme başarısız olabilir.
ocsp.apple.com
Aygıt yapılandırma dosyasını imzalamak için kullanılan dağıtım sertifikasının durumunu kontrol etmek için
bu siteyle iletişim kurar. Aşağıda “Sertifika Onayı”
bölümüne bakın.
Güncellenmiş uygulamalar sağlama
Kendiniz dağıttığınız uygulamalar otomatik olarak güncellenmez. Kullanıcıların
kurması için yeni bir sürümünüz olduğunda, kullanıcılara güncellemeleri bildirin ve
uygulamayı kurmalarını söyleyin. Uygulamanın açıldığında güncellemeleri kontrol
etmesini ve kullanıcıya bildirim göndermesini ayarlamayı düşünün. Kablosuz
uygulama dağıtımını kullanıyorsanız, bildirim güncellenen dosyanın manifest
dosyasına bir bağlantı içerebilir.
Kullanıcıların uygulama verilerini aygıtlarında depolamalarını istiyorsanız, yeni
sürümün yerini aldığı sürümle aynı paket tanımlayıcısını kullandığından emin olun
ve kullanıcılara yeni sürümü kurmadan eskisini silmemelerini söyleyin. Yeni sürüm
eskisinin yerini alacak ve paket tanımlayıcıları eşleşirse aygıtta saklanan verileri
koruyacaktır.
Dağıtım konfigürasyon profilleri çıkarıldıktan 12 ay sonra sona erer. Sona erme
tarihinden sonra, profil kaldırılır ve uygulama başlamaz.
!
39
iOS Dağıtımı Teknik Başvuru Kılavuzu
Bir konfigürasyon profili sona ermeden önce, uygulama için yeni bir profil
oluşturmak amacıyla iOS Development Portalını kullanın. Uygulamayı ilk kez kuran
kullanıcılar için, yeni konfigürasyon profilini içeren yeni bir uygulama arşivi (.ipa)
oluşturun.
Uygulamayı daha önce edinen kullanıcıların yeni konfigürasyon profiline sahip
olması için sonraki sürümün zamanlamasını ayarlamak isteyebilirsiniz. Bunu
istemiyorsanız, kullanıcıların uygulamayı yeniden kullanmak zorunda kalmaması için
sadece yeni .mobileprovision dosyasını dağıtabilirsiniz. Yeni konfigürasyon dosyası
uygulama arşivindeki dosyayı geçersizleştirir.
Konfigürasyon profilleri MDM aracılığıyla yüklenebilir, sağladığınız bir web
sitesinden kullanıcılar tarafından yüklenebilir veya kullanıcılara açmaları ve
kurmaları için bir e-posta eki olarak dağıtabilir.
Dağıtım sertifikanızın süresi sona erdiğinde, uygulama başlamaz. Dağıtım
sertifikanız çıkarıldığı tarihten itibaren üç yıl boyunca veya Kurumsal Geliştirici
Programı üyeliğiniz sona erdiğinde (hangisi daha önce gerçekleşirse) sona erer.
Sertifikanızın erken sona ermesini önlemek için, üyeliğinizi sona ermeden
yenilemeyi unutmayın. Dağıtım sertifikasının nasıl kontrol edildiği konusunda bilgi
için, aşağıda “Sertifika Onayı” bölümüne bakın.
Aynı anda birbirinden bağımsız iki dağıtım sertifikasını etkinleştirebilirsiniz. İkinci sertifikanın amacı, ilk sertifikanın sona ermesinden önce hemen ardından
uygulamalarınızı güncelleyebileceğiniz bir ek süre sağlamaktır. iOS Dev Center'dan
ikinci bir dağıtım sertifikası isterken, ilk sertifikayı iptal etmediğinizden emin olun.
Sertifika onayı
Bir kullanıcı ilk kez bir uygulama açtığında, dağıtım sertifikası Apple’ın OCSP
sunucusu ile iletişim kurularak onaylanır. Sertifika iptal edilmediği sürece,
uygulamanın çalışmasına izin verilir. OCSP sunucusuyla iletişim kurulamaması veya
sunucudan yanıt alınamaması iptal olarak yorumlanmaz. Durumu kontrol etmek
için, aygıt ocsp.apple.com'a erişebiliyor olmalıdır. Bu bölümün başlarındaki “Ağ
Yapılandırma Gereksinimleri” başlığına bakın.
OCSP yanıtı OCSP sunucusu tarafından belirtilen süre boyunca aygıtta önbelleklenir. Bu süre halen üç ile yedi gün arasındadır. Sertifikanın geçerliliği aygıt yeniden
başlatılana ve önbelleklenen yanıtın süresi dolana kadar yeniden kontrol edilmez.
Bu süre içinde bir iptal isteği alınırsa, uygulamanın çalışması engellenir.
Bir dağıtım sertifikasının iptal edilmesi bu aygıtla imzaladığınız tüm uygulamaları
geçersizleştirir. Bir sertifikayı (özel anahtarın kaybolduğundan eminseniz veya
sertifikanın bozulduğundan eminseniz) yalnızca son çare olarak iptal etmelisiniz.
!
40
iOS Dağıtımı Teknik Başvuru Kılavuzu
Uygulama manifest dosyası örneği
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/
DTDs/PropertyList-1.0.dtd”>
<plist version=”1.0”>
<dict>
<!-- array of downloads. -->
<key>items</key>
<array>
<dict>
<!-- an array of assets to download -->
<key>assets</key>
<array>
<!-- software-package: the ipa to install. -->
<dict>
<!-- required. the asset kind. -->
<key>kind</key>
<string>software-package</string>
<!-- optional. md5 every n bytes. will restart a chunk if md5 fails. -->
<key>md5-size</key>
<integer>10485760</integer>
<!-- optional. array of md5 hashes for each “md5-size” sized chunk. -->
<key>md5s</key>
<array>
<string>41fa64bb7a7cae5a46bfb45821ac8bba</string>
<string>51fa64bb7a7cae5a46bfb45821ac8bba</string>
</array>
<!-- required. the URL of the file to download. -->
<key>url</key>
<string>http://www.example.com/apps/foo.ipa</string>
</dict>
<!-- display-image: the icon to display during download.-->
<dict>
<key>kind</key>
<string>display-image</string>
<!-- optional. indicates if icon needs shine effect applied. -->
<key>needs-shine</key>
<true/>
<key>url</key>
<string>http://www.example.com/image.57x57.png</string>
</dict>
<!-- full-size-image: the large 512x512 icon used by iTunes. -->
<dict>
<key>kind</key>
<string>full-size-image</string>
<!-- optional. one md5 hash for the entire file. -->
<key>md5</key>
<string>61fa64bb7a7cae5a46bfb45821ac8bba</string>
<key>needs-shine</key>
<true/>
<key>url</key><string>http://www.example.com/image.512x512.jpg</string>
</dict>
</array><key>metadata</key>
<dict>
<!-- required -->
<key>bundle-identifier</key>
<string>com.example.fooapp</string>
<!-- optional (software only) -->
<key>bundle-version</key>
<string>1.0</string>
41
iOS Dağıtımı Teknik Başvuru Kılavuzu
!
<!-- required. the download kind. -->
<key>kind</key>
<string>software</string>
<!-- optional. displayed during download; typically company name -->
<key>subtitle</key>
<string>Apple</string>
<!-- required. the title to display during the download. -->
<key>title</key>
<string>Example Corporate App</string>
</dict>
</dict>
</array>
</dict>
</plist>
!
1Normal
operatör veri ücretleri uygulanabilir. Mesajlar, iMessage'ın kullanılamadığı durumlarda SMS olarak gönderilebilir;
iletişim operatörünün mesaj ücretleri geçerlidir. 2FaceTime arama, arayan için FaceTime özellikli bir aygıt, alıcı ve Wi-Fi
bağlantısı gerektirir. Hücresel ağ üzerinden FaceTime uygulaması için iPhone 4s veya sonraki modeller, Retina ekranlı iPad
veya hücresel veri özellikli iPad mini gerekir. Hücresel ağ üzerinden kullanılabilirlik, iletişim operatörünün politikalarına
bağlıdır; veri ücretleri uygulanabilir. 3Siri her dilde veya bölgede kullanılamayabilir ve özellikler bölgeye göre değişebilir.
İnternet erişimi gerekir. Hücresel veri ücretleri uygulanabilir. 4Bazı özellikler için Wi-Fi bağlantısı gerekir. Bazı özellikler her
ülkede bulunmaz. Bazı hizmetlere erişim 10 aygıtla sınırlandırılmıştır.
© 2014 Apple Inc. Tüm hakları saklıdır. Apple, Apple logosu, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks, iMessage,
iPad, iPhone, iPod touch, iTunes, Anahtar Zinciri, Keynote, Mac, Mac logosu, MacBook Air, OS X, Pages, Passbook, Retina,
Safari, Siri ve Xcode Apple Inc. şirketinin, ABD ve diğer ülkelerde tescilli ticari markalarıdır. AirPrint, iPad Air ve iPad mini
Apple Inc.'in ticari markalarıdır. iCloud ve iTunes Store, Apple Inc.'in ABD ve diğer ülkelerde tescilli hizmet markalarıdır. App
Store ve iBooks Store Apple Inc.'in ticari markalarıdır, IOS; Cisco'unun bir ticari markasıdır veya ABD'de veya başka
ülkelerde tescilli bir ticari markası ve lisansla kullanılır. Burada belirtilen diğer ürün ve şirket adları ilgili şirketlere ait ticari
markalar olabilir.
42

Kılavuzu indirin

Çok turlu aktüatörler SA 07.2 – SA 16.2/SAR 07.2 – SAR 16.2

BlackBerry Internet Service

Kullanma Kılavuzu - Pegasus Teknoloji

Synology DS414Slim DSM 5.0 Kullanım Kılavuzu

Komsu Kapi pdf free - PDF eBooks Free | Page 1

Kurtarma talimatı

(VPP). - Apple

TMS VE TTK NIN GETİRDİĞİ UYGULAMALARIN MUHASEBE

User Manual