itextsharp mvc pdf : How to convert pdf to tiff image control software platform web page windows azure web browser iOS_Security_Guide2-part931

App Groups
Apps and extensions owned by a given developer account can share content 

when configured to be part of an App Group. It is up to the developer to create 

the appropriate groups on the Apple Developer Portal and include the desired set 

of apps and extensions. Once configured to be part of an App Group, apps have 

access to the following: 
A shared on-disk container for storage, which will stay on the device as long as 

at least one app from the group is installed 
Shared preferences 
• Shared keychain items 
The Apple Developer Portal guarantees that App Group IDs are unique across the 

app ecosystem. 
Data Protection in apps
The iOS Software Development Kit (SDK) offers a full suite of APIs that make it easy 
for third-party and in-house developers to adopt Data Protection and help ensure 
the highest level of protection in their apps. Data Protection is available for file and 
database APIs, including NSFileManager, CoreData, NSData, and SQLite. 
The Mail app (including attachments), managed books, Safari bookmarks, app launch 
images, and location data are also stored encrypted with keys protected by the user’s 
passcode on their device. Calendar (excluding attachments), Contacts, Reminders, 
Notes, Messages, and Photos implement Protected Until First User Authentication. 
User-installed apps that do not opt-in to a specific Data Protection class receive 
Protected Until First User Authentication by default. 
Accessories
The Made for iPhone, iPod touch, and iPad (MFi) licensing program provides vetted 
accessory manufacturers access to the iPod Accessories Protocol (iAP) and the 
necessary supporting hardware components. 
When an MFi accessory communicates with an iOS device using a Lightning connector 
or via Bluetooth, the device asks the accessory to prove it has been authorized by Apple 
by responding with an Apple-provided certificate, which is verified by the device. The 
device then sends a challenge, which the accessory must answer with a signed response. 
This process is entirely handled by a custom integrated circuit that Apple provides to 
approved accessory manufacturers and is transparent to the accessory itself. 
Accessories can request access to different transport methods and functionality; 

for example, access to digital audio streams over the Lightning cable, or location 
information provided over Bluetooth. An authentication IC ensures that only 

approved devices are granted full access to the device. If an accessory does not 

provide authentication, its access is limited to analog audio and a small subset 

of serial (UART) audio playback controls. 
iOS Security—White Paper  |  May 2016 
21
How to convert pdf to tiff image - control software platform:C# PDF Convert to Tiff SDK: Convert PDF to tiff images in C#.net, ASP.NET MVC, Ajax, WinForms, WPF
Online C# Tutorial for How to Convert PDF File to Tiff Image File
www.rasteredge.com
How to convert pdf to tiff image - control software platform:VB.NET PDF Convert to Tiff SDK: Convert PDF to tiff images in vb.net, ASP.NET MVC, Ajax, WinForms, WPF
Free VB.NET Guide to Render and Convert PDF Document to TIFF
www.rasteredge.com
AirPlay also utilizes the authentication IC to verify that receivers have been approved 
by Apple. AirPlay audio and CarPlay video streams utilize the MFi-SAP (Secure 
Association Protocol), which encrypts communication between the accessory and 
device using AES-128 in CTR mode. Ephemeral keys are exchanged using ECDH 
key exchange (Curve25519) and signed using the authentication IC’s 1024-bit RSA key 

as part of the Station-to-Station (STS) protocol. 
HomeKit
HomeKit provides a home automation infrastructure that utilizes iCloud and iOS 
security to protect and synchronize private data without exposing it to Apple.  
HomeKit identity 
HomeKit identity and security are based on Ed25519 public-private key pairs. An 
Ed25519 key pair is generated on the iOS device for each user for HomeKit, which 
becomes their HomeKit identity. It is used to authenticate communication between 

iOS devices, and between iOS devices and accessories. 
The keys are stored in Keychain and are included only in encrypted Keychain backups. 
The keys are synchronized between devices using iCloud Keychain.   
Communication with HomeKit accessories 
HomeKit accessories generate their own Ed25519 key pair for use in communicating 
with iOS devices. If the accessory is restored to factory settings, a new key pair 

is generated. 
To establish a relationship between an iOS device and a HomeKit accessory, keys are 
exchanged using Secure Remote Password (3072-bit) protocol, utilizing an 8-digit code 
provided by the accessory’s manufacturer and entered on the iOS device by the user, 
and then encrypted using ChaCha20-Poly1305 AEAD with HKDF-SHA-512-derived keys. 
The accessory’s MFi certification is also verified during setup. 
When the iOS device and the HomeKit accessory communicate during use, each 
authenticates the other utilizing the keys exchanged in the above process. Each session 
is established using the Station-to-Station protocol and is encrypted with HKDF-SHA-512 
derived keys based on per-session Curve25519 keys. This applies to both IP-based and 
Bluetooth Low Energy accessories. 
Local data storage 
HomeKit stores data about the homes, accessories, scenes, and users on a user’s iOS 
device. This stored data is encrypted using keys derived from the user’s HomeKit 
identity keys, plus a random nonce. Additionally, HomeKit data is stored using Data 
Protection class Protected Until First User Authentication. HomeKit data is only backed 
up in encrypted backups, so, for example, unencrypted iTunes backups do not contain 
HomeKit data. 
Data synchronization between devices and users 
HomeKit data can be synchronized between a user’s iOS devices using iCloud and 
iCloud Keychain. The HomeKit data is encrypted during the synchronization using keys 
derived from the user’s HomeKit identity and random nonce. This data is handled as an 
opaque blob during synchronization. The most recent blob is stored in iCloud to enable 
synchronization, but it is not used for any other purposes. Because it is encrypted using 
keys that are available only on the user’s iOS devices, its contents are inaccessible during 
transmission and iCloud storage. 
iOS Security—White Paper  |  May 2016 
22
control software platform:Online Convert PDF file to Word. Best free online PDF Conversion
it as easy as possible to convert your Tiff to PDF to Tiff conversion, our .NET PDF document imaging SDK also supports conversion from Tiff image to PDF
www.rasteredge.com
control software platform:C# Create PDF from images Library to convert Jpeg, png images to
Batch convert PDF documents from multiple image formats, including Jpg, Png, Bmp, Gif, Tiff, Bitmap, .NET Graphics, and REImage.
www.rasteredge.com
HomeKit data is also synchronized between multiple users of the same home. This 
process uses authentication and encryption that is the same as that used between an 
iOS device and a HomeKit accessory. The authentication is based on Ed25519 public 
keys that are exchanged between the devices when a user is added to a home. After 
a new user is added to a home, every further communication is authenticated and 
encrypted using Station-to-Station protocol and per-session keys. 
Only the user who initially created the home in HomeKit can add new users. His or 

her device configures the accessories with the public key of the new user so that the 
accessory can authenticate and accept commands from the new user. The process for 
configuring Apple TV for use with HomeKit uses the same authentication and encryption 
as when adding additional users, but is performed automatically if the user who created 
the home is signed in to iCloud on the Apple TV, and the Apple TV is in the home. 
If a user does not have multiple devices, and does not grant additional users access to 
their home, no HomeKit data is synchronized to iCloud. 
Home data and apps 
Access to home data by apps is controlled by the user’s Privacy settings. Users are 
asked to grant access when apps request home data, similar to Contacts, Photos, and 
other iOS data sources. If the user approves, apps have access to the names of rooms, 
names of accessories, and which room each accessory is in, and other information as 
detailed in the HomeKit developer documentation. 
Siri 
Siri can be used to query and control accessories, and to activate scenes. Minimal 
information about the configuration of the home is provided anonymously to Siri, as 
described in the Siri section of this paper, to provide names of rooms, accessories, and 
scenes that are necessary for command recognition.  
iCloud remote access for HomeKit accessories
HomeKit accessories can connect directly with iCloud to enable iOS devices to control 
the accessory when Bluetooth or Wi-Fi communication isn’t available.  
iCloud Remote access has been carefully designed so that accessories can be controlled 
and send notifications without revealing to Apple what the accessories are, or what 
commands and notifications are being sent. HomeKit does not send information about 
the home over iCloud Remote access. 
When a user sends a command using iCloud remote access, the accessory and iOS 
device are mutually authenticated and data is encrypted using the same procedure 
described for local connections. The contents of the communications are encrypted 
and not visible to Apple. The addressing through iCloud is based on the iCloud 
identifiers registered during the setup process. 
Accessories that support iCloud remote access are provisioned during the accessory’s 
setup process. The provisioning process begins with the user signing in to iCloud. Next, 
the iOS device asks the accessory to sign a challenge using the Apple Authentication 
Coprocessor that is built into all Built for HomeKit accessories. The accessory also 
generates prime256v1 elliptic curve keys, and the public key is sent to the iOS device 
along with the signed challenge and the X.509 certificate of the authentication 
coprocessor. These are used to request a certificate for the accessory from the iCloud 
provisioning server. The certificate is stored by the accessory, but it does not contain any 
identifying information about the accessory, other than it has been granted access to 
HomeKit iCloud remote access. The iOS device that is conducting the provisioning also

iOS Security—White Paper  |  May 2016 
23
control software platform:C# PDF Image Extract Library: Select, copy, paste PDF images in C#
Scan image to PDF, tiff and various image formats. Get image information, such as its location, zonal information, metadata, and so on.
www.rasteredge.com
control software platform:C# PDF insert image Library: insert images into PDF in C#.net, ASP
Support various image formats, like Jpeg or Jpg, Png, Gif, Bmp, Tiff and other bitmap images. Powerful .NET PDF image edit control, enable users to insert
www.rasteredge.com
sends a bag to the accessory, which contains the URLs and other information needed 
to connect to the iCloud remote access server. This information is not specific to any 
user or accessory. 
Each accessory registers a list of allowed users with the iCloud remote access server. 
These users have been granted the ability to control the accessory by the person who 
added the accessory to the home. Users are granted an identifier by the iCloud server 
and can be mapped to an iCloud account for the purpose of delivering notification 
messages and responses from the accessories. Similarly, accessories have iCloud-issued 
identifiers, but these identifiers are opaque and don’t reveal any information about the 
accessory itself. 
When an accessory connects to the HomeKit iCloud remote access server, it presents its 
certificate and a pass. The pass is obtained from a different iCloud server and it is not 
unique for each accessory. When an accessory requests a pass, it includes its manufacturer, 
model, and firmware version in its request. No user-identifying or home-identifying 
information is sent in this request. The connection to the pass server is not authenticated, 
in order to help protect privacy. 
Accessories connect to the iCloud remote access server using HTTP/2, secured using 
TLS 1.2 with AES-128-GCM and SHA-256. The accessory keeps its connection to the 
iCloud remote access server open so that it can receive incoming messages and send 
responses and outgoing notifications to iOS devices. 
HealthKit
HealthKit stores and aggregates data from health and fitness apps with permission 

of the user. HealthKit also works directly with health and fitness devices, such as 
compatible Bluetooth LE heart rate monitors and the motion coprocessor built into 
many iOS devices.  
Health data 
HealthKit stores and aggregates the user’s health data, such as height, weight, distance 
walked, blood pressure, and so on. This data is stored in Data Protection class Complete 
Protection, which means it is accessible only after a user enters their passcode or uses 
Touch ID to unlock the device. 
HealthKit also aggregates management data, such as access permissions for apps, 
names of devices connected to HealthKit, and scheduling information used to launch 
apps when new data is available. This data is stored in Data Protection class Protected 
Until First User Authentication. 
Temporary journal files store health records that are generated when the device is 
locked, such as when the user is exercising. These are stored in Data Protection class 
Protected Unless Open. When the device is unlocked, they are imported into the 
primary health databases, then deleted when the merge is completed. 
Health data is not synced between devices. Health data is included in device backups 
to iCloud and encrypted iTunes backups. Health data is not included in unencrypted 
iTunes backups. 
iOS Security—White Paper  |  May 2016 
24
control software platform:Online Convert PDF file to Tiff. Best free online PDF Tif
Using this .NET PDF to TIFF conversion control, C# developers can render and convert PDF document to TIFF image file with no loss in original file quality.
www.rasteredge.com
control software platform:VB.NET PDF Image Extract Library: Select, copy, paste PDF images
DotNetNuke), SharePoint. Scan high quality image to PDF, tiff and various image formats, including JPG, JPEG, PNG, GIF, TIFF, etc. Able to
www.rasteredge.com
Data integrity 
Data stored in the database includes metadata to track the provenance of each data 
record. This metadata includes an application identifier that identifies which app stored 
the record. Additionally, an optional metadata item can contain a digitally signed copy 
of the record. This is intended to provide data integrity for records generated by a 
trusted device. The format used for the digital signature is the Cryptographic Message 
Syntax (CMS) specified in IETF RFC 5652.  
Access by third-party apps 
Access to the HealthKit API is controlled with entitlements, and apps must conform to 
restrictions about how the data is used. For example, apps are not allowed to utilize 
health data for advertising. Apps are also required to provide users with a privacy 
policy that details its use of health data.  
Access to health data by apps is controlled by the user’s Privacy settings. Users are 
asked to grant access when apps request access to health data, similar to Contacts, 
Photos, and other iOS data sources. However, with health data, apps are granted 
separate access for reading and writing data, as well as separate access for each type 
of health data. Users can view, and revoke, permissions they’ve granted for accessing 
health data in the Sources tab of the Health app. 
If granted permission to write data, apps can also read the data they write. If granted 
the permission to read data, they can read data written by all sources. However, apps 
can’t determine access granted to other apps. In addition, apps can’t conclusively tell 
if they have been granted read access to health data. When an app does not have read 
access, all queries return no data—the same response as an empty database would 
return. This prevents apps from inferring the user’s health status by learning which 
types of data the user is tracking. 
Medical ID 
The Health app gives users the option of filling out a Medical ID form with information 
that could be important during a medical emergency. The information is entered or 
updated manually and is not synchronized with the information in the health databases. 
The Medical ID information is viewed by tapping the Emergency button on the 

Lock screen. The information is stored on the device using Data Protection class No 
Protection so that it is accessible without having to enter the device passcode. Medical 
ID is an optional feature that enables users to decide how to balance both safety and 
privacy concerns. 
Secure Notes
The Notes app includes a Secure Notes feature that allows users to protect the 
contents of specific notes. Secure notes are encrypted using a user-provided 
passphrase that is required to view the notes on iOS, OS X, and the iCloud website.  
When a user secures a note, a 16-byte key is derived from the user’s passphrase using 
PBKDF2 and SHA256. The note’s contents are encrypted using AES-GCM. New records 
are created in Core Data and CloudKit to store the encrypted note, tag, and initialization 
vector, and the original note records are deleted; the encrypted data is not written in 
place. Attachments are also encrypted in the same way. Supported attachments 
include images, sketches, maps, and websites. Notes containing other types of 
attachments cannot be encrypted, and unsupported attachments cannot be added 

to secure notes. 
iOS Security—White Paper  |  May 2016 
25
control software platform:C# Create PDF from Tiff Library to convert tif images to PDF in C#
Similarly, Tiff image with single page or multiple pages is supported. Description: Convert to PDF/TIFF with specified zoom value and save it on the disk.
www.rasteredge.com
control software platform:VB.NET PDF insert image library: insert images into PDF in vb.net
to provide users the most individualized PDF page image inserting function of specific format, such as Png, Gif and TIFF, to any selected PDF page with your
www.rasteredge.com
When a user successfully enters the passphrase, whether to view or create a secure 
note, Notes opens a secure session. While open, the user is not required to enter the 
passphrase, or use Touch ID, to view or secure other notes. However, if some notes have 
a different passphrase, the secure session applies only to notes protected with the 
current passphrase. The secure session is closed when the user taps the Lock Now 
button in Notes, when Notes is switched to the background for more than three 
minutes, or when the device locks. 
Users who forget their passphrase can still view secure notes or secure additional notes 
if they enabled Touch ID on their devices. In addition, Notes will show a user-supplied 
hint after three failed attempts to enter the passphrase. The user must know the 
current passphrase in order to change it. 
Users can reset the passphrase if they have forgotten the current one. This feature 
allows users to create new secure notes with a new passphrase, but it will not allow 
them to see previously secured notes. The previously secured notes can still be viewed 
if the old passphrase is remembered. Resetting the passphrase requires the user’s 
iCloud account passphrase.   
Apple Watch
Apple Watch uses the security features and technology built for iOS to help protect 
data on the device, as well as communications with its paired iPhone and the Internet. 
This includes technologies such as Data Protection and keychain access control. The 
user’s passcode is also entangled with the device UID to create encryption keys. 
Pairing Apple Watch with iPhone is secured using an out-of-band (OOB) process to 
exchange public keys, followed by the BTLE link shared secret. Apple Watch displays 
an animated pattern, which is captured by the camera on iPhone. The pattern contains 
an encoded secret that is used for BTLE 4.1 out-of-band pairing. Standard BTLE Passkey 
Entry is used as a fallback pairing method, if necessary. 
Once the BTLE session is established, Apple Watch and iPhone exchange keys using a 
process adapted from IDS, as described in the iMessage section of this paper. Once keys 
have been exchanged, the Bluetooth session key is discarded, and all communications 
between Apple Watch and iPhone are encrypted using IDS, with the encrypted 

BTLE and Wi-Fi links providing a secondary encryption layer. Key rolling is utilized at 

15-minute intervals to limit the exposure window, should traffic be compromised. 
To support apps that need streaming data, encryption is provided using methods 
described in the FaceTime section of this paper, utilizing the IDS service provided 

by the paired iPhone. 
Apple Watch implements hardware-encrypted storage and class-based protection 
of files and keychain items, as described in the Data Protection section of this paper. 
Access-controlled keybags for keychain items are also used. Keys used for communication 
between the watch and iPhone are also secured using class-based protection.   
When Apple Watch is not within Bluetooth range, Wi-Fi can be used instead. Apple 
Watch will not join Wi-Fi networks unless the credentials to do so are present on the 
paired iPhone, which provides the list of known networks to the watch automatically.  
iOS Security—White Paper  |  May 2016 
26
Apple Watch can be manually locked by holding down the side button. Additionally, 
motion heuristics are used to attempt to automatically lock the device shortly after 
it’s removed from the wrist. When locked, Apple Pay can’t be used. If the automatic 
locking provided by wrist detection is turned off in settings, Apple Pay is disabled. 

Wrist detection is turned off using the Apple Watch app on iPhone. This setting can 
also be enforced using mobile device management. 
The paired iPhone can also unlock the watch, provided the watch is being worn. 
This is accomplished by establishing a connection authenticated by the keys established 
during pairing. iPhone sends the key, which the watch uses to unlock its Data Protection 
keys. The watch passcode is not known to iPhone nor is it transmitted. This feature can 
be turned off using the Apple Watch app on iPhone. 
Apple Watch can be paired with only one iPhone at a time. Pairing with a new iPhone 
automatically erases all content and data from Apple Watch. 
Enabling Find My Phone on the paired iPhone also enables Activation Lock on Apple 
Watch. Activation Lock makes it harder for anyone to use or sell an Apple Watch that 
has been lost or stolen. Activation Lock requires the user’s Apple ID and password to 
unpair, erase, or reactivate an Apple Watch.

iOS Security—White Paper  |  May 2016 
27
Network Security
In addition to the built-in safeguards Apple uses to protect data stored on iOS devices, 
there are many network security measures that organizations can take to keep 
information secure as it travels to and from an iOS device. 
Mobile users must be able to access corporate networks from anywhere in the world, 

so it’s important to ensure that they are authorized and their data is protected during 
transmission. iOS uses—and provides developer access to—standard networking 
protocols for authenticated, authorized, and encrypted communications. To accomplish 
these security objectives, iOS integrates proven technologies and the latest standards

for both Wi-Fi and cellular data network connections. 
On other platforms, firewall software is needed to protect open communication ports 
against intrusion. Because iOS achieves a reduced attack surface by limiting listening 
ports and removing unnecessary network utilities such as telnet, shells, or a web server, 
no additional firewall software is needed on iOS devices. 
TLS
iOS supports Transport Layer Security (TLS v1.0, TLS v1.1, TLS v1.2) and DTLS. Safari, 
Calendar, Mail, and other Internet apps automatically use these mechanisms to enable 
an encrypted communication channel between the device and network services. 

High-level APIs (such as CFNetwork) make it easy for developers to adopt TLS in their 
apps, while low-level APIs (SecureTransport) provide fine-grained control. CFNetwork 
disallows SSLv3, and apps that use WebKit (such as Safari) are prohibited from making 
an SSLv3 connection. 
App Transport Security 
App Transport Security provides default connection requirements so that apps adhere 
to best practices for secure connections when using NSURLConnection, CFURL, or 
NSURLSession APIs.  
Servers must support a minimum of TLS 1.2, forward secrecy, and certificates must be 
valid and signed using SHA-256 or better with a minimum of a 2048-bit RSA key or 
256-bit elliptic curve key.  
Network connections that don’t meet these requirements will fail, unless the app 
overrides App Transport Security. Invalid certificates always result in a hard failure 

and no connection. App Transport Security is automatically applied to apps that are 
compiled for iOS 9. 
iOS Security—White Paper  |  May 2016 
28
VPN
Secure network services like virtual private networking typically require minimal setup 
and configuration to work with iOS devices. iOS devices work with VPN servers that 
support the following protocols and authentication methods: 
IKEv2/IPSec with authentication by shared secret, RSA Certificates, ECDSA Certificates, 
EAP-MSCHAPv2, or EAP-TLS. 
SSL-VPN using the appropriate client app from the App Store. 
• Cisco IPSec with user authentication by Password, RSA SecurID or CRYPTOCard, and 
machine authentication by shared secret and certificates. 
L2TP/IPSec with user authentication by MS-CHAPV2 Password, RSA SecurID or 
CRYPTOCard, and machine authentication by shared secret. 
PPTP is supported, but not recommended. 
iOS supports VPN On Demand for networks that use certificate-based authentication. 

IT policies specify which domains require a VPN connection by using a configuration profile. 
iOS also supports Per App VPN support, facilitating VPN connections on a much more 
granular basis. Mobile device management (MDM) can specify a connection for each 
managed app and/or specific domains in Safari. This helps ensure that secure data always 
goes to and from the corporate network—and that a user’s personal data does not. 
iOS supports Always-on VPN, which can be configured for devices managed via MDM 
and supervised using Apple Configurator or the Device Enrollment Program. This 
eliminates the need for users to turn on VPN to enable protection when connecting 

to cellular and Wi-Fi networks. Always-on VPN gives an organization full control over 
device traffic by tunneling all IP traffic back to the organization. The default tunneling 
protocol, IKEv2, secures traffic transmission with data encryption. The organization can 
now monitor and filter traffic to and from its devices, secure data within its network, 
and restrict device access to the Internet. 
Wi-Fi 
iOS supports industry-standard Wi-Fi protocols, including WPA2 Enterprise, to provide 
authenticated access to wireless corporate networks. WPA2 Enterprise uses 128-bit AES 
encryption, giving users the highest level of assurance that their data remains protected 
when sending and receiving communications over a Wi-Fi network connection. With 
support for 802.1X, iOS devices can be integrated into a broad range of RADIUS 
authentication environments. 802.1X wireless authentication methods supported 
on iPhone and iPad include EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1, 
and LEAP. 
iOS uses a randomized Media Access Control (MAC) address when conducting 
Preferred Network Offload (PNO) scans when a device is not associated with a Wi-Fi 
network and its processor is asleep. A device’s processor goes to sleep shortly after 
the screen is turned off. PNO scans are run to determine if a user can connect to a 
preferred Wi-Fi network to conduct activity such as wirelessly syncing with iTunes. 
iOS also uses a randomized MAC address when conducting enhanced Preferred 
Network Offload (ePNO) scans when a device is not associated with a Wi-Fi network or 
its processor is asleep. ePNO scans are run when a device uses Location Services for 
apps which use geofences, such as location-based reminders that determine whether 
the device is near a specific location. 
Because a device’s MAC address now changes when it’s not connected to a Wi-Fi 
network, it can’t be used to persistently track a device by passive observers of Wi-Fi 
traffic, even when the device is connected to a cellular network.  
iOS Security—White Paper  |  May 2016 
29
We’ve worked with Wi-Fi manufacturers to let them know that background scans use 

a randomized MAC address, and that neither Apple nor manufacturers can predict 
these randomized MAC addresses. 
Wi-Fi MAC address randomization is not supported on iPhone 4s. 
Bluetooth
Bluetooth support in iOS has been designed to provide useful functionality without 
unnecessary increased access to private data. iOS devices support Encryption Mode 3, 
Security Mode 4, and Service Level 1 connections. iOS supports the following 

Bluetooth profiles: 
• Hands-Free Profile (HFP 1.5) 
• Phone Book Access Profile (PBAP) 
Advanced Audio Distribution Profile (A2DP) 
• Audio/Video Remote Control Profile (AVRCP) 
Personal Area Network Profile (PAN) 
• Human Interface Device Profile (HID)  
Support for these profiles varies by device. For more information, see 

https://support.apple.com/kb/ht3647
Single Sign-on
iOS supports authentication to enterprise networks through Single Sign-on (SSO). 

SSO works with Kerberos-based networks to authenticate users to services they are 
authorized to access. SSO can be used for a range of network activities, from secure 
Safari sessions to third-party apps. 
iOS SSO utilizes SPNEGO tokens and the HTTP Negotiate protocol to work with 
Kerberos-based authentication gateways and Windows Integrated Authentication 
systems that support Kerberos tickets. SSO support is based on the open source 
Heimdal project. 
The following encryption types are supported: 
• AES128-CTS-HMAC-SHA1-96 
AES256-CTS-HMAC-SHA1-96 
• DES3-CBC-SHA1 
• ARCFOUR-HMAC-MD5 
Safari supports SSO, and third-party apps that use standard iOS networking APIs can 
also be configured to use it. To configure SSO, iOS supports a configuration profile 
payload that allows MDM servers to push down the necessary settings. This includes 
setting the user principal name (that is, the Active Directory user account) and 
Kerberos realm settings, as well as configuring which apps and/or Safari web URLs 
should be allowed to use SSO. 
iOS Security—White Paper  |  May 2016 
30
Documents you may be interested
Documents you may be interested