Plattformübergreifende Gesamtauthentifizierung für macOS
Übersicht
Mit der plattformübergreifenden Gesamtauthentifizierung (Platform Single Sign-on, Platform SSO) kannst du (oder ein Entwicklungsteam, das sich auf Identitätsmanagement spezialisiert hat) SSO-Erweiterungen erstellen, die es Benutzer:innen ermöglichen, sich während des Einrichtungshilfsprogramms mit dem Konto des Identitätsanbieters (Identity Provider, IdP) deiner Organisation auf einem Mac zu authentifizieren. Die plattformübergreifende Gesamtauthentifizierung kann mit anderen SSO-Erweiterungen kombiniert werden, wobei Folgendes zu beachten ist:
Eine bestimmte Domain kann nur von einer einzigen SSO-Erweiterung verarbeitet werden.
syncLocalPasswordmuss in der Kerberos-SSO-Konfiguration auffalsegesetzt werden.
Funktionen
Die plattformübergreifende Gesamtauthentifizierung unterstützt die folgenden Funktionen:
Aktiviere und setze Plattform-SSO während der automatisierten Geräteregistrierung durch, um die Registrierung zu authentifizieren, die Anmeldung mit einem verwalteten Apple Account durchzuführen und einen lokalen Benutzeraccount zu erstellen.
Stelle eine Gesamtauthentifizierung für native und Web-Apps bereit.
Zeige den Status und die Registrierungsdetails für die plattformübergreifende Gesamtauthentifizierung in den Systemeinstellungen an.
Synchronisiere Passwörter lokaler Benutzeraccounts mit dem Identitätsanbieter und definiere Anmelderegeln.
Definiere Gruppenberechtigungen von Identitätsanbieter-Accounts und erlaube Personen, bei Bestätigungsaufforderungen nur netzwerkspezifische Identitätsanbieter-Accounts zu verwenden.
Erstelle lokale Benutzeraccounts auf Abruf, wenn die Anmeldung mit den Anmeldeinformationen eines Identitätsanbieter-Accounts erfolgt.
Unterstütze Gastbenutzeraccounts, die sich vorübergehend mit den Anmeldeinformationen ihres Identitätsanbieters auf geteilten Mac-Computern anmelden.
Hinweis: Die meisten Funktionen erfordern Unterstützung durch die SSO-Erweiterung. Weitere Informationen zur Implementierung der plattformübergreifenden Gesamtauthentifizierung (Platform SSO) in deiner Organisation findest du in der Dokumentation deines Identitätsanbieters.
Voraussetzungen
Ein Mac mit Apple Chips oder ein Intel-basierter Mac mit Touch ID
Ein Geräteverwaltungsdienst, der die Konfiguration „Erweiterbare Gesamtauthentifizierung“ unterstützt, die Einstellungen für Plattform-SSO enthält.
Eine App mit einer Plattform-SSO-Erweiterung, die mit dem Identitätsanbieter kompatibel ist
macOS 13 (oder neuer)
Für die folgenden Funktionen gelten zusätzliche Versionsanforderungen:
Funktionalität | Mindestens unterstützte Betriebssystemversion | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Authentifizierter Gastmodus | macOS 26 | ||||||||||
Zum Anmelden tippen | macOS 26 | ||||||||||
Platform-SSO während der automatischen Geräteregistrierung | macOS 26 | ||||||||||
UPN-Präfix als lokalen Accountnamen verwenden | macOS 15.4 | ||||||||||
Beglaubigung für Geräte-IDs | macOS 15.4 | ||||||||||
Anmelderichtlinien | macOS 15 | ||||||||||
Accounterstellung auf Abruf | macOS 14 | ||||||||||
Gruppenverwaltung und Netzwerkautorisierung | macOS 14 | ||||||||||
Plattform-SSO in den Systemeinstellungen | macOS 14 | ||||||||||
Plattform-SSO einrichten
Um Plattform-SSO zu verwenden, müssen sich der Mac und die entsprechende Person beim Identitätsanbieter registrieren. Abhängig von der Identitätsanbieter-Unterstützung und der angewendeten Konfiguration kann der Mac die Geräteregistrierung still im Hintergrund ausführen. Dafür ist Folgendes notwendig:
Ein Registrierungstoken des Identitätsanbieters, das in der erweiterbaren SSO-Konfiguration bereitgestellt wird
Eine Beglaubigung, die eine starke Bestätigung liefert, dass der Mac ein echtes Apple-Gerät ist, und optional Geräte-IDs (UDID und Seriennummer) enthalten kann.
Um eine vertrauenswürdige Verbindung zum Identitätsanbieter unabhängig von Benutzer:innen aufrechtzuerhalten, unterstützt Plattform-SSO geteilte Geräteschlüssel. Verwende geteilte Geräteschlüssel, wann immer dies möglich ist, da sie für Funktionen wie automatische Geräteregistrierung, die Erstellung von Benutzeraccounts auf Abruf, Netzwerkautorisierung und den authentifizierten Gastmodus erforderlich sind
Nachdem das Gerät erfolgreich registriert wurde, registriert sich auch die Person, es sei denn, der Benutzeraccount verwendet den authentifizierten Gastmodus. Wenn der Identitätsanbieter dies verlangt, kann die Person aufgefordert werden, die Registrierung zu bestätigen. Bei lokalen Accounts, die auf Abruf erstellt werden, registriert Plattform-SSO den Benutzer automatisch im Hintergrund.
Hinweis: Wenn ein Mac nicht mehr beim Geräteverwaltungsdienst registriert ist, ist er auch nicht mehr beim Identitätsanbieter registriert.
Authentifizierungsmethoden
Plattform-SSO unterstützt verschiedene Authentifizierungsmethoden mit einem Identitätsanbieter. Die Unterstützung der jeweiligen Methode hängt vom Identitätsanbieter und der Plattform-SSO-Erweiterung ab.
Passwort: Bei dieser Methode authentifiziert sich ein Benutzer mit einem lokalen Passwort oder einem Passwort des Identitätsanbieters. Sie unterstützt außerdem WS-Trust, wodurch sich Personen auch dann authentifizieren können, wenn der Identitätsanbieter, der ihren Account verwaltet, föderiert ist.
Secure Enclave-basierter Schlüssel: Bei dieser Methode kann ein Benutzer, der sich bei seinem Mac anmeldet, einen Secure Enclave–basierten Schlüssel verwenden, um sich mit dem Identitätsanbieter ohne Passwort zu authentifizieren. Der Identitätsanbieter richtet den Secure Enclave-Schlüssel während der Benutzerregistrierung ein.
Smart Card: Bei dieser Methode authentifizieren sich Benutzer:innen mit dem Identitätsanbieter, indem sie eine Smart Card verwenden. Um diese Methode zu verwenden, muss:
Die Smart Card beim Identitätsanbieter registriert sein
Die Smartcard-Attributzuordnung auf dem Mac konfiguriert sein
Weitere Informationen und eine Beispielkonfiguration der Attributzuordnung findest du in der man-Seite für das Smart Card Services-Projekt.
Zugriffsschlüssel: Bei dieser Methode verwenden Benutzer:innen eine Karte, die in Apple Wallet gespeichert ist, um sich beim Identitätsanbieter zu authentifizieren. Ähnlich wie bei einer Smart Card muss der Zugriffsschlüssel beim Identitätsanbieter registriert sein.
Für einige Funktionen wie das Erstellen von Benutzeraccounts auf Abruf muss eine bestimmte Authentifizierungsmethode verwendet werden.
Funktionalität | Passwort | Secure Enclave-basierter Schlüssel | Smart Card | Zugriffsschlüssel | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gruppenverwaltung |  | | | | |||||||
Automatische Geräteregistrierung | | | |  | |||||||
Authentifizierter Gastmodus | | | | | |||||||
Accounterstellung auf Abruf | | | | | |||||||
Passwortsynchronisierung | | | | | |||||||
Hinweis: Die Plattform-SSO-Erweiterung muss die angeforderte Methode unterstützen, um die Registrierung abzuschließen. Du kannst auch die Methode wechseln, beispielsweise kann ein Account, der mit einem Benutzernamen und Passwort erstellt wurde, nach erfolgreicher Anmeldung auf einen Secure Enclave-basierten Schlüssel oder eine Smart Card umstellen.
Platform-SSO mit der automatischen Geräteregistrierung
Organisationen können Plattform-SSO während des Systemassistenten mit der automatischen Geräteregistrierung aktivieren und durchsetzen. Diese Option eignet sich am besten für Geräte, die nur von einer Person verwendet werden. macOS erstellt automatisch einen lokalen Account für die Person, die die Registrierung authentifiziert, und ermöglicht ihr sofortigen SSO-Zugriff auf unterstützte native Apps und Web-Apps.
Wenn konfiguriert, lädt macOS die Plattform-SSO-Erweiterung und -Konfiguration herunter und installiert sie. Dies kann vor der Durchführung der eigentlichen Registrierung mit dem Geräteverwaltungsdienst erfolgen, der die Authentifizierung der Registrierung mit SSO ermöglicht, oder nach der Registrierung, wenn der Mac im Status „Konfiguration wird erwartet“ belassen wird. Während dieses Ablaufs führt der Mac eine Geräteregistrierung entweder still im Hintergrund oder durch Aufforderung der Person durch und fordert die Person auf, sich mit ihrem Identitätsanbieter zu authentifizieren, um die Benutzerregistrierung durchzuführen. Ohne erfolgreiche Plattform-SSO-Registrierung können Benutzer:innen nicht fortfahren.
Nach einer erfolgreichen Authentifizierung erstellt macOS einen lokalen Account und das Passwort wird entweder mit dem Identitätsanbieter synchronisiert oder die Person legt ein lokales Passwort fest (wenn Plattform-SSO einen Secure Enclave–basierten Schlüssel verwendet). Bei Bedarf kannst du mit der Code-Konfiguration Anforderungen an die Komplexität des lokalen Passworts festlegen.
Wenn dies konfiguriert ist, kann macOS dann das lokale Anmeldeprofilbild vom Identitätsanbieter synchronisieren.
Du kannst Plattform-SSO während der automatischen Geräteregistrierung mit einem erzwungenen Softwareupdate verwenden. In diesem Fall muss der Geräteverwaltungsdienst zuerst das Update durchsetzen.
Wenn der Benutzeraccount, den macOS erstellt, der einzige auf dem Mac ist, wird er zu einem Administratoraccount. Wenn der Geräteverwaltungsdienst einen Administratoraccount mithilfe des Befehls zur Accountkonfiguration erstellt hat, kannst du dem Benutzeraccount mithilfe der Plattform-SSO-Gruppenverwaltung andere Privilegien zuweisen.
Gesamtauthentifizierung
Da Platform-SSO Teil von erweiterbares SSO ist, melden sich Benutzer:innen einmal an und verwenden dieses Authentifizierungstoken, um auf unterstützte native und Web-Apps zuzugreifen.
Wenn Token fehlen, abgelaufen oder älter als vier Stunden sind, versucht Plattform-SSO, sie zu aktualisieren oder neue vom Identitätsanbieter abzurufen. Du kannst auch konfigurieren, wie lange (mindestens eine Stunde, in Sekunden) vor der Anforderung einer vollständigen Anmeldung anstelle einer Token-Aktualisierung durch Plattform-SSO. Der Standardwert beträgt 18 Stunden.
Plattform-SSO in den Systemeinstellungen
Nachdem sich Benutzer:innen bei Plattform-SSO registriert haben, können sie den Registrierungsstatus unter „Systemeinstellungen“ > „Benutzer:innen & Gruppen“ > „[Benutzername]“ überprüfen. Von dort aus können sie die Registrierung reparieren oder ihr Authentifizierungstoken aktualisieren.
Der Registrierungsstatus des Geräts wird in „Benutzer:innen & Gruppen“ > „Netzwerkaccount-Server“ angezeigt und es besteht auch die Möglichkeit, eine Reparatur durchzuführen.
Richtlinien für Passwortsynchronisierung und Anmeldung
Wenn du die Authentifizierungsmethode mit Passwort verwendest, wird das lokale Benutzerpasswort automatisch mit dem Identitätsanbieter synchronisiert, wenn eine Person ihr Passwort lokal oder remote ändert. Bei Bedarf fordert macOS die Person auf, ihr vorheriges Passwort einzugeben.
Standardmäßig wird das lokale Accountpasswort zum Entsperren von FileVault, dem Sperrbildschirm und dem Anmeldefenster benötigt. Wenn das eingegebene Passwort nicht mit dem Passwort des lokalen Benutzeraccounts übereinstimmt, versucht macOS, den Identitätsanbieter zu erreichen, um eine Live-Authentifizierung durchzuführen. Wenn macOS den Identitätsanbieter nicht erreichen kann oder das eingegebene Passwort nicht mit dem vom Identitätsanbieter gespeicherten Passwort übereinstimmt, schlägt die Authentifizierung fehl.
Mit Anmelderegeln kannst du die Verwendung des aktuellen Accountpassworts vom Identitätsanbieter bei den folgenden drei Abfragen sofort erlauben. Du kannst auch die folgenden Richtlinien einzeln für FileVault, den Sperrbildschirm und das Anmeldefenster festlegen:
Authentifizierung versuchen.
Wenn dies konfiguriert ist, wird versucht, eine Live-Authentifizierung mit dem Identitätsanbieter durchzuführen.
Wenn der Mac online ist, ist eine erfolgreiche Authentifizierung beim Identitätsanbieter erforderlich, um fortzufahren, selbst wenn der Mac nach dem ersten Versuch offline ist.
Wenn die Authentifizierung erfolgreich ist, aktualisiert Plattform-SSO das lokale Passwort.
Wenn der Mac offline ist, kann die Person ihr lokales Accountpasswort verwenden.
Authentifizierung anfordern.
Wenn dies konfiguriert ist, ist zum Fortfahren eine Live-Authentifizierung mit dem Identitätsanbieter erforderlich.
Wenn der Mac online ist, ist zum Fortfahren eine erfolgreiche Authentifizierung beim Identitätsanbieter erforderlich, unabhängig davon, ob eine Offline-Schonfrist konfiguriert ist.
Wenn die Authentifizierung erfolgreich ist, aktualisiert Plattform-SSO das lokale Passwort.
Wenn der Mac offline ist, können sich Benutzer:innen nicht anmelden. In solchen Situationen kannst du eine Offline-Schonfrist aktivieren und sie auf die Anzahl der Tage nach einer vorherigen erfolgreichen Anmeldung festlegen, während der Benutzer:innen das lokale Accountpasswort weiterhin verwenden können.
Du kannst festlegen, ob jede Anmeldung am Mac von Plattform-SSO verwaltet werden muss oder ob die Anmeldung mit lokalen Accounts weiterhin erlaubt ist. Du kannst auch eine Gnadenfrist (in Tagen) nach dem Anwenden der Richtlinie festlegen, bevor die Durchsetzung beginnt. Dadurch wird die temporäre Verwendung lokaler Accounts erlaubt. Du kannst beispielsweise vorübergehend einen vom Geräteverwaltungsdienst erstellten Administratoraccount verwenden, um die Plattform-SSO-Geräteanmeldung durchzuführen oder zu reparieren.
Anstelle der Live-Authentifizierung kannst du auch erlauben, dass auf dem Sperrbildschirm Touch ID oder die Apple Watch verwendet werden kann.
Lokale Accounts (wie von dir definiert) können bei Bedarf von Anmelderichtlinien ausgenommen werden und müssen sich nicht für Plattform-SSO registrieren.
Gruppenverwaltung und Netzwerkautorisierung
Plattform-SSO bietet ein detailliertes Rechtemanagement, indem es bei jeder Benutzeranmeldung die folgenden Berechtigungen auf einen Account anwendet:
Standard: Der Account erhält Standardbenutzerprivilegien.
Admin: Fügt den Account zur lokalen Administratorgruppe hinzu.
Gruppen: Definiere Privilegien nach Gruppenmitgliedschaft, die bei jeder Authentifizierung der Benutzer:innen mit dem Identitätsanbieter aktualisiert werden.
Wenn du Gruppen verwendest, erhält ein Account Zugriffsrechte basierend auf der Zugehörigkeit zu folgenden Gruppen:
Administratorgruppen: Wenn der Account zu einer aufgelisteten Gruppe gehört, verfügt er über lokalen Adminzugriff.
Autorisierungsgruppen: Wenn der Account zu einer Gruppe gehört, die einem integrierten oder selbst definierten Zugriffsrecht zugewiesen ist, hat der Account die mit dieser Gruppe verknüpften Zugriffsrechte. macOS verwendet beispielsweise die folgende Autorisierungsrechte:
system.preferences.datetime– erlaubt dem Account, die Zeiteinstellungen zu ändern.system.preferences.energysaver– erlaubt dem Account, die Einstellungen zum Energiesparen zu ändern.system.preferences.network– erlaubt dem Account, Netzwerkeinstellungen zu ändern.system.preferences.printing– erlaubt dem Account, Drucker hinzuzufügen oder zu entfernen.
Zusätzliche Gruppen: Eigene Gruppen für macOS oder bestimmte Apps, die von macOS automatisch im lokalen Verzeichnis erstellt werden (sofern sie noch nicht existieren). Du kannst beispielsweise eine zusätzliche Gruppe in der
sudo-Konfiguration verwenden, um densudo-Zugriff zu definieren.
Netzwerkautorisierung
Mit der plattformübergreifenden Gesamtauthentifizierung können Benutzer ohne lokalen Mac-Account ihre IdP-Anmeldedaten für die Autorisierung verwenden. Diese Accounts verwenden dieselben Gruppen wie die Gruppenverwaltung. Wenn der Account beispielsweise Mitglied einer der Administratorgruppen ist, kann er in Dialogen für die macOS-Administratorautorisierung verwendet werden. Um diese Funktion zu verwenden, konfiguriere Plattform-SSO mit geteilten Geräteschlüsseln.
Die Netzwerkautorisierung ist nicht möglich, wenn für die Autorisierungsdialoge ein sicheres Token, Eigentümerberechtigungen oder eine Authentifizierung durch die aktuell angemeldete Person erforderlich sind.
Accounterstellung auf Abruf
Benutzer:innen können sich bei Implementierungen mit geteilten Geräten mit dem Benutzernamen und dem Passwort ihres Identitätsanbieters oder mit einer Smart Card anmelden, um automatisch einen lokalen Account zu erstellen.
Mit der automatischen Geräteregistrierung und der Funktion „Automatisch fortfahren“ kannst du einen vollständig automatisierten Bereitstellungsprozess erzielen. Du musst den ersten lokalen Administratoraccount mithilfe eines Geräteverwaltungsdienstes erstellen und eine stille Plattform-SSO-Registrierung durchführen.
Für die Accounterstellung auf Abruf müssen folgende Voraussetzungen erfüllt sein:
Registriere den Mac bei einem Geräteverwaltungsdienst, der Bootstrap Tokens unterstützt.
Füge Folgendes hinzu: eine SSO-Erweiterungskonfiguration mit Plattform-SSO, geteilte Geräteschlüssel und die Option, beim Anmelden einen Benutzeraccount zu erstellen.
Schließe den Systemassistenten ab und erstelle einen lokalen Administratoraccount.
Der Mac muss sich im Anmeldefenster befinden, FileVault muss entsperrt sein und eine Netzwerkverbindung muss bestehen.
Mit einer optionalen Konfiguration kannst du festlegen, welches Attribut des Identitätsanbieters für den lokalen Accountnamen (Kurzname) und den vollständigen Namen verwendet werden soll. Admins können den Schlüssel für den Accountnamen auch auf com.apple.PlatformSSO.AccountShortName setzen, um das UPN-Präfix zu verwenden.
Zusätzlich kann festgelegt werden, welche Zugriffsrechte bei der Anmeldung auf neu erstellte Accounts angewendet werden sollen. Die gleichen Optionen für die Gruppenverwaltung sind verfügbar:
Standard: Der Account erhält Standardbenutzerprivilegien.
Admin: Fügt den Account zur lokalen Administratorgruppe hinzu.
Gruppen: Definiere Privilegien nach Gruppenmitgliedschaft, die bei jeder Authentifizierung der Benutzer:innen mit dem Identitätsanbieter aktualisiert werden.
Authentifizierter Gastmodus
Der authentifizierte Gastmodus bietet eine beschleunigte Anmeldeerlebnis für Implementierungen mit geteilten Geräten, wie z. B. Arztpraxen oder Schulen, bei denen sich Benutzer:innen nur für einen kurzen Zeitraum mit den Anmeldeinformationen ihres Identitätsanbieters anmelden müssen und kein lokaler Account erstellt werden muss. Die Person erhält standardmäßig Standardbenutzerprivilegien, die du aber mit der Plattform-SSO-Gruppenverwaltung ändern kannst.
Die Voraussetzungen sind die gleichen wie für die Accounterstellung auf Abruf. Du verwendest aber nicht die Option, bei der Anmeldung einen Benutzeraccount zu erstellen, sondern du konfigurierst den authentifizierten Gastmodus.
Wenn sich eine Person abmeldet, löscht macOS alle lokalen Daten für diesen Account und der geteilte Mac ist bereit für die Anmeldung der nächsten Person.
Zum Anmelden tippen
Mit „Tippen zum Anmelden“ wird die Unterstützung für digitale Ausweise in Apple Wallet auch in macOS verfügbar. Organisationen, die bereits digitale Ausweise in Apple Wallet verwenden (und es so ermöglichen, dass Benutzer:innen Türen durch Tippen auf einem iPhone oder einer Apple Watch entsperren können), können diese Erfahrung nun auch auf die Anmeldung am Mac ausweiten.
Diese Authentifizierungsmethode ist besonders wertvoll für Organisationen, die einen Mac mit mehreren Personen teilen, einschließlich Bildungseinrichtungen, Einzelhandelsumgebungen und Gesundheitseinrichtungen.
Mit der Funktion zum Anmelden durch Tippen können sich Benutzer:innen auf einem Mac authentifizieren, der für den authentifizierten Gastmodus konfiguriert ist, indem sie ihr iPhone oder ihre Apple Watch an ein angeschlossenes NFC-Lesegerät halten. Hiermit wird ein sicherer, einmaliger Anmeldeprozess gestartet, der Benutzer:innen automatisch bei ihren Apps und Websites authentifiziert, sodass sie sich schnell anmelden und mit der Arbeit beginnen können.
Benutzeranmeldeinformationen werden als Zugriffsschlüssel als Apple Wallet-Karte über eine iPhone-App oder einen Browser bereitgestellt. Diese Zugriffsschlüssel werden in der Secure Enclave des Geräts gespeichert, wodurch sie hardwaregebunden, verschlüsselt und vor Manipulations- oder Extraktionsversuchen geschützt sind. Der Expressmodus ermöglicht eine sofortige Authentifizierung, ohne dass das Gerät aktiviert oder entsperrt werden muss, ähnlich wie bei ÖPNV-Karten in Apple Wallet.
Damit die Funktion „Zum Anmelden tippen“ verwendet werden kann, muss der Mac:
Für den authentifizierten Gastmodus konfiguriert sein
Mit einem unterstützten externen NFC-Lesegerät ausgestattet sein
Für die Erstellung und Verwaltung von Zugriffsschlüsseln ist die Teilnahme am Apple Wallet-Zugriffsprogramm erforderlich. Weitere Informationen zum Erstellen eines Zugriffsschlüssels findest du unter Provisioning im Apple Wallet Access Program Guide.