Autenticazione Single Sign-On su piattaforma per macOS
Panoramica
L’autenticazione Single Sign-On su piattaforma ti consente di creare estensioni SSO che consentono agli utenti di autenticarsi con l’account del provider di identità (IdP) della tua organizzazione su un Mac durante l’uso di Impostazione Assistita. L’autenticazione SSO su piattaforma può essere combinata con altre estensioni SSO tenendo conto dei seguenti aspetti:
Un dominio specifico può essere gestito solo da una singola estensione SSO.
syncLocalPassworddeve essere impostato sufalsenella configurazione Single Sign-On tramite Kerberos.
Funzionalità
L’autenticazione SSO su piattaforma consente:
Di attivare e applicare l’SSO della piattaforma durante la registrazione automatizzata dei dispositivi per autenticare la registrazione, accedere con un Apple Account gestito e creare un utente locale
Di offrire un’esperienza di autenticazione SSO per le app native e web
Visualizza lo stato del Single Sign-On sulla piattaforma e i dettagli di registrazione in Impostazioni di Sistema.
Di sincronizzare le password degli account utente locali con il provider di identità e di definire le politiche di accesso
Di definire permessi di gruppo per gli account del provider di identità e consentire alle persone di usare account IdP riservati alle reti negli avvisi di autorizzazione.
Di creare account utente locali su richiesta al momento dell’accesso con le credenziali di un account IdP
Di supportare gli utenti ospite che eseguono temporaneamente l’accesso con le proprie credenziali IdP su un Mac condiviso
Nota: la maggior parte delle funzionalità richiede il supporto per l’estensione SSO. Per ulteriori informazioni sull’implementazione dell’autenticazione SSO su piattaforma nella tua organizzazione, consulta la documentazione del provider di identità.
Requisiti
Un Mac con chip Apple o un Mac con chip Intel con Touch ID
Un servizio di gestione dei dispositivi che supporta la configurazione “Extensible Single Sign-on”, che include impostazioni per il Single Sign-On su piattaforma
Un’app che contiene un’estensione SSO piattaforma compatibile con il provider di identità
macOS 13 o versione successiva
Le funzionalità di seguito richiedono versioni specifiche.
Funzionalità | Versione minima dei sistemi operativi supportata | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Modalità ospite autenticata | macOS 26 | ||||||||||
Tocca per accedere | macOS 26 | ||||||||||
Autenticazione SSO su piattaforma durante la registrazione automatica dei dispositivi | macOS 26 | ||||||||||
Prefisso UPN come nome account locale | macOS 15.4 | ||||||||||
Attestazione per identificativi dispositivo | macOS 15.4 | ||||||||||
Politiche di login | macOS 15 | ||||||||||
Creazione di account on-demand | macOS 14 | ||||||||||
Gestione gruppi e autorizzazione di rete | macOS 14 | ||||||||||
Autenticazione SSO su piattaforma in Impostazioni di Sistema | macOS 14 | ||||||||||
Configurare il SSO su piattaforma
Per utilizzare il Single Sign-On su piattaforma, il Mac e ogni utente devono registrarsi presso il provider di identità. A seconda del supporto del provider di servizi e della configurazione applicata, il Mac può eseguire in autonomia la registrazione del dispositivo in background utilizzando:
Un token di registrazione del provider di identità fornito nella configurazione SSO estensibile
Un’attestazione, che fornisce la certezza che il Mac è effettivamente originale e che può includere facoltativamente informazioni che consentono di identificare il dispositivo Apple (come l’UDID e il numero di serie).
Per mantenere una connessione affidabile con il provider di identità indipendentemente dall’utente, l’autenticazione SSO su piattaforma supporta le chiavi dispositivo condivise. Usa le chiavi dispositivo condivise ogni volta che è possibile, poiché sono richieste per la registrazione automatizzata dei dispositivi, la creazione di account su richiesta, l’autorizzazione di rete e la modalità ospite autenticata
Dopo che la registrazione del dispositivo va a buon fine, l’utente si registra (a meno che l’account utente non stia utilizzando la modalità ospite autenticata). Se è un requisito del fornitore di identità, all’utente potrebbe essere richiesto di confermare la registrazione. Per gli account locali su richiesta, l’autenticazione SSO sulla piattaforma registra l’utente automaticamente in background.
Nota: quando la registrazione di un Mac viene annullata dal servizio di gestione dei dispositivi, anche la registrazione al provider di identità viene annullata.
Metodi di autenticazione
L’autenticazione SSO su piattaforma supporta diversi metodi di autenticazione con il provider di identità. Il supporto per ciascuna opzione varia a seconda del provider di identità e dall’estensione SSO su piattaforma.
Password: con questo metodo, l’utente effettua l’autenticazione con una password locale o con una password di un provider di identità. Inoltre, supporta anche lo standard WS-Trust, che consente all’utente di eseguire l’autenticazione anche quando il provider di identità che gestisce l’account è federato.
Chiave basata su Secure Enclave: con questo metodo, l’utente che accede al Mac può usare una chiave basata su Secure Enclave per autenticarsi con un provider di identità, senza dover usare una password. Il provider di identità configura la chiave Secure Enclave durante il processo di registrazione dell’utente.
Smart card: con questo metodo, l’utente utilizza una smart card per effettuare l’autenticazione con un provider di identità. Per utilizzare questo metodo, occorre:
Registrare la smart card con il provider di identità
Configurare la mappatura degli attributi delle smart card sul Mac
Per scoprire di più e osservare un esempio di configurazione della mappatura degli attributi, consulta la pagina man per Smart Card Services project.
Tasto di accesso: con questo metodo, gli utenti utilizzano un biglietto salvato in Wallet per autenticarsi con il provider di identità. Essendo simile a una smart card, la chiave di accesso deve essere registrata con il provider di identità.
Alcune funzionalità, come la creazione di account su richiesta, richiedono un metodo di autenticazione specifico.
Funzionalità | Password | Chiave basata su Secure Enclave | Smart card | Tasto di accesso | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gestione gruppi |  | | | | |||||||
Registrazione automatica dei dispositivi | | | |  | |||||||
Modalità ospite autenticata | | | | | |||||||
Creazione di account on-demand | | | | | |||||||
Sincronizzazione password | | | | | |||||||
Nota: per completare la registrazione, l’estensione SSO deve supportare il metodo richiesto. È anche possibile passare da un metodo all’altro, ad esempio un account creato con un nome utente e una password può passare all’utilizzo di una chiave o di una smart card associata a Secure Enclave una volta completata correttamente la procedura di accesso.
Autenticazione SSO su piattaforma con registrazione automatica dei dispositivi
Le organizzazioni possono attivare e imporre l’autenticazione SSO della piattaforma durante Impostazione Assistita con la registrazione automatica dei dispositivi. L’opzione è disponibile per i dispositivi con un solo utente perché l’utente che autentica la registrazione ottiene automaticamente un account locale e può utilizzare immediatamente l’autenticazione SSO con le app native e web supportate.
Se configurato, macOS scarica e installa l’estensione e la configurazione dell’autenticazione SSO su piattaforma. Può verificarsi prima di eseguire la registrazione effettiva con il servizio di gestione dei dispositivi che consente di autenticare la registrazione con SSO o dopo la registrazione, quando il Mac viene mantenuto nello stato di attesa configurazione. Durante questo flusso, il Mac esegue la registrazione del dispositivo in autonomia o chiedendo all’utente di eseguire l’autenticazione con il provider di identità per eseguire la registrazione utente. Gli utenti non possono procedere senza aver completato con successo la registrazione SSO su piattaforma.
Dopo l’autenticazione, macOS crea un account locale. La relativa password può essere sincronizzata con il provider di identità oppure l’utente può impostare autonomamente una password locale (quando l’autenticazione SSO su piattaforma utilizza una chiave protetta da Secure Enclave). Se necessario, puoi applicare i requisiti di complessità della password per la password locale utilizzando la configurazione del codice.
Se l’opzione è configurata, macOS può sincronizzare l'immagine del profilo di login dell’account locale dal provider di identità.
Puoi utilizzare l’autenticazione SSO su piattaforma durante la registrazione automatica dei dispositivi con un aggiornamento software obbligatorio. In questo caso, il servizio di gestione dei dispositivi deve prima imporre l’aggiornamento.
Se l’account utente che macOS crea è l’unico account presente sul Mac, allora diventa un account amministratore. Se il servizio di gestione dei dispositivi ha creato un account amministratore utilizzando il comando di configurazione degli account, puoi assegnare all’account utente privilegi diversi utilizzando la gestione dei gruppi SSO sulla piattaforma.
Single Sign-On
Facendo parte dell’autenticazione SSO estensibile, l’autenticazione SSO su piattaforma consente agli utenti di accedere una sola volta, quindi di utilizzare il token fornito mediante autenticazione iniziale per accedere alle app native e web supportate.
Se i token risultano mancanti, sono scaduti o hanno più di quattro ore, l’autenticazione SSO su piattaforma tenta di aggiornarli o di recuperarne di nuovi dal provider di identità. Puoi anche configurare il tempo che trascorre (minimo un’ora, in secondi) prima che l’autenticazione SSO su piattaforma richieda di effettuare l’accesso completo invece di aggiornare il token. Il valore predefinito è 18 ore.
SSO sulla piattaforma in Impostazioni di Sistema
Dopo aver effettuato la registrazione con Single Sign‑On su piattaforma, gli utenti possono controllare lo stato della registrazione in Impostazioni di Sistema > Utenti e gruppi > [nome utente]. Da lì, è possibile avviare la riparazione della registrazione o richiedere l’aggiornamento del token di autenticazione.
Lo stato della registrazione del dispositivo è visibile in Utenti e gruppi > Server account di rete, e fornisce inoltre un’opzione per eseguire la riparazione.
Sincronizzare password e politiche di accesso
Se utilizzi il metodo di autenticazione con password, la password dell’utente locale viene automaticamente sincronizzata con il provider di identità ogni volta che un utente modifica la password, sia localmente sia da remoto. Se necessario, macOS richiede all’utente la password precedente.
Di default, per sbloccare FileVault, la schermata di blocco e la finestra di login, è richiesta la password dell’account locale. Quando la password inserita non corrisponde alla password dell’account utente locale, macOS tenta di raggiungere il provider di identità per eseguire un’autenticazione in tempo reale. Se macOS non riesce a raggiungere il provider d’identità o se la password inserita non corrisponde a quella salvata dal provider di identità, l’autenticazione non va a buon fine.
Con le politiche di login, in queste tre situazioni, puoi consentire immediatamente l’uso della password dell’account attuale del provider di identità. Puoi anche impostare le seguenti politiche individualmente per FileVault, la schermata di blocco e la finestra di accesso:
Tenta di eseguire l’autenticazione.
Se l’opzione è configurata, viene effettuato un tentativo di autenticazione in tempo reale con il provider di identità.
Se il Mac è in online, per procedere è necessario che l’autenticazione con il provider di identità venga eseguita con successo, anche quando il Mac è offline dopo il primo tentativo.
Se l’autenticazione ha successo, l’autenticazione SSO su piattaforma aggiorna la password locale.
Se il Mac è offline, l’utente può utilizzare la password del proprio account locale.
Richiede l’autenticazione.
Se l’opzione è configurata, per procedere è richiesta l’autenticazione in tempo reale con il provider di identità.
Se il Mac è online, per procedere è richiesta l’autenticazione con il provider di identità, indipendentemente dal periodo di grazia configurato per l’accesso offline.
Se l’autenticazione ha successo, l’autenticazione SSO su piattaforma aggiorna la password locale.
Se il Mac è offline, gli utenti non possono eseguire il login. In tali situazioni, è possibile abilitare un periodo di tolleranza offline e impostare tale finestra in base al numero di giorni successivi a un precedente accesso riuscito (durante tale lasso di tempo l’utente potrà continuare a utilizzare la password dell’account locale).
Puoi definire se tutti i login sul Mac con qualsiasi account devono essere gestiti tramite Single Sign-On su piattaforma o se continuare a consentire l’accesso con account solo locali. È possibile anche impostare un periodo di tolleranza (in giorni) dopo l’applicazione della politica prima che l’applicazione delle regole abbia inizio. In questo modo, è possibile usare temporaneamente gli account locali. Ad esempio, puoi utilizzare temporaneamente un account amministratore creato dal servizio di gestione dei dispositivi per eseguire o riparare la registrazione del dispositivo per l’autenticazione SSO della piattaforma.
In alternativa all’autenticazione in tempo reale, puoi anche consentire agli utenti di utilizzare Touch ID o Apple Watch sulla schermata di blocco.
Se necessario, gli account locali (come definiti da te) possono essere esentati dalle politiche di accesso e non prevedere la registrazione per il Single Sign-On su piattaforma.
Gestione gruppi e autorizzazione di rete
L’autenticazione SSO su piattaforma consente di gestire i privilegi in modo granulare applicando i seguenti privilegi all’account ogni volta che l’utente esegue l’autenticazione:
Standard: l’account ottiene privilegi utente standard.
Amministratore: l’account viene aggiunto al gruppo di amministratori locali.
Gruppi: definisce i privilegi in base all’appartenenza a un gruppo, che viene aggiornata ogni volta che l’utente esegue l’autenticazione con il proprio provider di identità.
Quando utilizzi i gruppi, gli account ottengono privilegi in base all’appartenenza alle categorie di seguito.
Gruppi amministratore: se l’account fa parte di un gruppo elencato, avrà accesso come amministratore locale.
Gruppi di autorizzazione: se l’account fa parte di un gruppo assegnato a un diritto di autorizzazione integrato o definito in modo personalizzato, allora tale account dispone dei privilegi associati a quel gruppo specifico. Ad esempio, macOS utilizza i seguenti diritti di autorizzazione:
system.preferences.datetime, che consente all’account di modificare le impostazioni dell’ora.system.preferences.energysaver, che consente all’account di modificare le impostazioni del risparmio energetico.system.preferences.network, che consente all’account di modificare le impostazioni di rete.system.preferences.printing, che consente all’account di aggiungere o rimuovere stampanti.
Gruppi aggiuntivi: gruppi definiti in modo personalizzato per macOS o app specifiche, che macOS crea automaticamente all’interno della directory locale (se non esistono già). Ad esempio, puoi utilizzare un gruppo aggiuntivo nella configurazione
sudoper definire l’accessosudo.
Autorizzazione di rete
l’autenticazione Single Sign-On su piattaforma consente agli utenti che non hanno un account utente locale sul Mac di utilizzare le credenziali del provider di identità per l’autorizzazione. Questi account utilizzano gli stessi gruppi che si trovano nella gestione dei gruppi. Ad esempio, se l’account fa parte di uno dei gruppi amministratore può eseguire le richieste di autorizzazione per amministratori. Per utilizzare questa funzionalità, configura il Single Sign-On su piattaforma con le chiavi dispositivo condivise.
L’autorizzazione di rete non è possibile con i messaggi di richiesta di autorizzazione che richiedono un token sicuro, permessi di proprietà o l’autenticazione da parte dell’utente attualmente connesso.
Creazione di account on-demand
Nelle distribuzioni condivise, gli utenti possono accedere con il nome utente e la password forniti dal loro fornitore di identità o con una smart card per creare automaticamente un account locale.
Puoi ottenere un processo di provisioning completamente automatizzato utilizzando la registrazione automatica dei dispositivi con l’opzione “Avanzamento automatico”. Per farlo, è necessario creare il primo account amministratore locale utilizzando un servizio di gestione dei dispositivi ed eseguire la registrazione Single Sign-On su piattaforma silenziosa.
Per utilizzare la creazione di account su richiesta, occorre:
Registrare il Mac in un servizio di gestione dei dispositivi che supporta i token Bootstrap.
Aggiungere una configurazione dell’estensione SSO con il Single Sign-On su piattaforma, chiavi del dispositivo condivise e l’opzione per creare l’utente al login.
Completare la procedura di Impostazione Assistita e creare un account amministratore locale.
Assicurarsi che il Mac si trovi nella finestra di accesso con FileVault sbloccato e una connessione di rete disponibile.
Utilizzando una configurazione opzionale, puoi specificare quale attributo IdP utilizzare per il nome dell’account locale (nome abbreviato) e il nome completo. Le persone con ruolo di amministratore possono anche impostare la chiave per il nome dell’account su com.apple.PlatformSSO.AccountShortName in modo da utilizzare il prefisso UPN.
Inoltre, puoi definire quali privilegi applicare ai nuovi account creati al momento del login. Sono disponibili le stesse opzioni per la gestione dei gruppi:
Standard: l’account ottiene privilegi utente standard.
Amministratore: l’account viene aggiunto al gruppo di amministratori locali.
Gruppi: definisce i privilegi in base all’appartenenza a un gruppo, che viene aggiornata ogni volta che l’utente esegue l’autenticazione con il proprio provider di identità.
Modalità ospite autenticata
La modalità ospite autenticata offre unʼesperienza di accesso semplificata per le distribuzioni condivise, ad esempio, nel caso di studi medici o scuole, dove gli utenti effettuano l’accesso temporaneamente con le credenziali fornite dal proprio provider di identità e non necessitano di un account locale persistente. L’utente ottiene di default i privilegi utente standard, ma possono essere modificati utilizzando la gestione del gruppo SSO della piattaforma.
I requisiti sono gli stessi richiesti per la creazione degli account on-demand. Tuttavia, al posto dell’opzione per creare un utente al momento del login, è necessario configurare la modalità ospite autenticata.
Quando un utente esegue il logout, macOS elimina tutti i dati locali per quel determinato account e il Mac condiviso è pronto per il login dell’utente successivo.
Tocca per accedere
“Tocca per accedere” offre supporto per le credenziali digitali di Wallet a macOS. Le organizzazioni che già utilizzano badge digitali in Wallet (consentendo agli utenti di aprire le porte con iPhone o Apple Watch) possono ora estendere la stessa esperienza al login del Mac.
Questo metodo di autenticazione è particolarmente utile per le organizzazioni che condividono un Mac tra più utenti, ad esempio, istituti scolastici, ambienti commerciali e strutture sanitarie.
Con “Avvicina per accedere”, gli utenti possono eseguire l’autenticazione su un Mac configurato per la modalità ospite autenticata avvicinando iPhone o Apple Watch a un lettore NFC collegato. L’operazione avvia un processo di autenticazione SSO sicura che autentica automaticamente gli utenti sulle app e sui siti web, consentendo loro di accedere rapidamente e iniziare a lavorare.
Le credenziali utente vengono fornite come chiavi di accesso in un biglietto Apple Wallet tramite un’app o un browser di iPhone. Queste chiavi di accesso sono archiviate nella Secure Enclave del dispositivo, il che le rende protette dall’hardware e crittografate, e contribuisce a proteggerle da eventuali tentativi di manomissione o estrazione. La modalità rapida consente l’autenticazione immediata senza richiedere agli utenti di attivare o sbloccare il dispositivo, in un modo simile a come funzionano le carte dei mezzi di trasporto in Wallet.
Per implementare la funzionalità “Tocca per accedere”, il Mac deve soddisfare i seguenti requisiti:
Deve essere configurato per la modalità ospite autenticata
Deve essere dotato di un lettore NFC esterno supportato
Per creare e gestire le chiavi di accesso, è necessario partecipare al Programma di accesso di Apple Wallet. Per ulteriori informazioni su come creare una chiave di accesso, consulta Provisioning nella guida al Programma di accesso di Wallet.