Autentificare unică (SSO) platformă pentru macOS
Privire de ansamblu
Autentificarea unică (SSO) la nivel de platformă vă permite dvs. sau unui dezvoltator de gestionare a identităților să construiți extensii SSO care permit utilizatorilor să se autentifice folosind contul furnizorului de identitate (IdP) al organizației dvs. pe un Mac în timpul rulării aplicației Asistent de configurare. „SSO platformă” poate fi combinată cu alte extensii SSO ținând cont de următoarele aspecte:
Un domeniu specific poate fi gestionat doar de o singură extensie SSO.
syncLocalPasswordtrebuie să fie configurat lafalseîn configurația Kerberos SSO.
Funcționalități
Platforma SSO este compatibilă cu următoarele funcționalități:
Activați și impuneți „SSO platformă” în timpul înscrierii automate a dispozitivului pentru a autentifica înscrierea, conectați‑vă cu un cont Apple gestionat și creați un utilizator local.
Oferiți o experiență de autentificare unică pentru aplicațiile native și web.
Afișați starea și detaliile de înregistrare ale „SSO platformă” în Configurări sistem.
Sincronizați parolele conturilor de utilizator local cu IdP‑ul și definiți politicile de autentificare.
Definiți permisiunile de grup ale conturilor IdP și permiteți persoanelor să utilizeze conturi IdP numai la nivel de rețea la solicitările de autorizare.
Creați conturi de utilizator local la cerere, la efectuarea de login cu acreditările unui cont IdP.
Acceptați utilizatori oaspeți care se efectuează login temporar cu acreditările IdP proprii pe computerele Mac partajate.
Notă: majoritatea funcționalităților necesită asistență din extensia SSO. Pentru a afla mai multe despre implementarea „SSO platformă” în organizația dvs., consultați documentația furnizată de IdP.
Cerințe
Un Mac cu cip Apple sau un Mac cu procesor Intel cu Touch ID
Un serviciu de gestionare a dispozitivelor compatibil cu configurația Autentificare unică extensibilă, care include configurări pentru „SSO platformă”
O aplicație care conține o extensie „SSO platformă” compatibilă cu IdP
macOS 13 sau ulterior
Următoarele funcționalități au cerințe suplimentare legate de versiune:
Funcționalitate | Versiune minimă acceptată a sistemului de operare | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Mod Oaspete autentificat | macOS 26 | ||||||||||
Atingeți pentru a efectua login | macOS 26 | ||||||||||
„SSO platformă” în timpul înscrierii automate a dispozitivului | macOS 26 | ||||||||||
Prefix UPN ca nume de cont local | macOS 15.4 | ||||||||||
Atestare pentru identificatorii de dispozitiv | macOS 15.4 | ||||||||||
Politici de login | macOS 15 | ||||||||||
Creare cont la cerere | macOS 14 | ||||||||||
Gestionarea grupurilor și autorizarea rețelei | macOS 14 | ||||||||||
„SSO platformă” în Configurări sistem | macOS 14 | ||||||||||
Configurarea SSO platformă
Pentru a utiliza „SSO platformă”, Mac‑ul și fiecare utilizator trebuie să se înregistreze cu IdP. În funcție de compatibilitatea cu IdP și de configurația aplicată, Mac‑ul poate efectua înregistrarea dispozitivului în mod silențios pe fundal utilizând:
Un token de înregistrare al IdP-ului furnizat în configurația SSO extensibilă
O atestare, care oferă asigurări puternice că Mac‑ul este un dispozitiv Apple autentic și poate include opțional identificatorii dispozitivului (UDID și numărul serial).
Pentru a menține o conexiune de încredere cu IdP‑ul independent de utilizator, „SSO platformă” acceptă chei de dispozitiv partajate. Utilizați cheile de dispozitiv partajate ori de câte ori este posibil; acestea sunt necesare pentru înscrierea automată a dispozitivului, crearea la cerere a contului, autorizarea rețelei și modul Oaspete autentificat.
După o înregistrare reușită a dispozitivului, utilizatorul se înregistrează și el, cu excepția cazului în care contul utilizează modul Oaspete autentificat. Dacă IdP‑ul solicită acest lucru, utilizatorului i se poate solicita să confirme înregistrarea. Pentru conturile de utilizator local la cerere, „SSO platformă” înregistrează automat utilizatorul pe fundal.
Notă: dacă anulați înscrierea unui Mac dintr-un serviciu de gestionare a dispozitivelor, și înregistrarea acestuia în IdP este anulată.
Metode de autentificare
„SSO platformă” acceptă diferite metode de autentificare cu un IdP. Compatibilitatea pentru fiecare depinde de IdP și de extensia „SSO platformă”.
Parolă: cu această metodă, utilizatorul se autentifică folosind o parolă locală sau o parolă IdP. De asemenea, este compatibilă cu WS-Trust, care permite utilizatorului să se autentifice chiar și atunci când IdP‑ul care gestionează contul său este federativ.
Cheie bazată pe Secure Enclave: cu această metodă, un utilizator care efectuează login la Mac-ul său poate utiliza o cheie bazată pe Secure Enclave pentru a se autentifica la IdP fără o parolă. IdP configurează cheia Secure Enclave în timpul procesului de înregistrare a utilizatorului.
Smart card: cu această metodă, un utilizator se autentifică la IdP folosind un smart card. Pentru a utiliza această metodă, trebuie să:
Înregistrați smart cardul la IdP.
Configurați maparea atributelor smart cardului pe Mac.
Pentru detalii și un exemplu de configurare a mapării atributelor, consultați pagina de manual pentru proiectul Smart Card Services.
Cheie de acces: cu această metodă, utilizatorii folosesc un permis stocat în Portofel Apple pentru a se autentifica la IdP. Asemenea unui smart card, cheia de acces trebuie înregistrată la IdP.
Anumite funcționalități, precum crearea de conturi de utilizator la cerere, necesită utilizarea unei metode de autentificare specifice.
Funcționalitate | Parolă | Cheie bazată pe Secure Enclave | Smart card | Cheie de acces | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gestionare grup |  | | | | |||||||
Înscrierea automată a dispozitivului | | | |  | |||||||
Mod Oaspete autentificat | | | | | |||||||
Creare cont la cerere | | | | | |||||||
Sincronizare parole | | | | | |||||||
Notă: extensia SSO trebuie să accepte metoda solicitată pentru a finaliza înregistrarea. Puteți comuta și metodele; de exemplu, un cont creat cu un nume de utilizator și o parolă poate comuta la o cheie bazată pe Secure Enclave sau un smart card după realizarea cu succes a loginului.
„SSO platformă” cu Înscrierea automată a dispozitivului
Organizațiile pot activa și impune „SSO platformă” în timpul rulării aplicației Asistent de configurare cu înscrierea automată a dispozitivelor. Această opțiune este cea mai potrivită pentru dispozitivele cu un singur utilizator. macOS creează automat un cont local pentru utilizatorul care autentifică înscrierea, oferindu-i acces SSO imediat la aplicațiile native și web compatibile.
Dacă este configurat, macOS descarcă și instalează extensia și configurația „SSO platformă”. Acest lucru se poate întâmpla înainte de a efectua înscrierea propriu-zisă la serviciul de gestionare a dispozitivelor, care permite autentificarea înscrierii cu SSO, sau după înscriere, când Mac‑ul este menținut în starea de așteptare a configurării. În timpul acestui flux, Mac‑ul efectuează o înregistrare a dispozitivului fie în mod silențios, fie solicitând utilizatorului și îi solicită utilizatorului să se autentifice cu IdP‑ul său pentru a efectua înregistrarea utilizatorului. Utilizatorii nu pot continua dacă înregistrarea „SSO platformă” nu este efectuată cu succes.
După o autentificare reușită, macOS creează un cont local, iar parola fie se sincronizează cu IdP‑ul, fie utilizatorul stabilește o parolă locală (când „SSO platformă” utilizează o cheie bazată pe Secure Enclave). Dacă este necesar, puteți impune cerințe legate de complexitatea parolei pentru parola locală utilizând configurarea Cod de acces.
Dacă este configurat, macOS poate sincroniza apoi imaginea de profil de login a contului local de la IdP.
Puteți utiliza „SSO platformă” în timpul înscrierii automate a dispozitivului cu o actualizare software impusă. În acest caz, serviciul de gestionare a dispozitivelor trebuie să impună mai întâi actualizarea.
Dacă contul de utilizator creat de macOS este singurul de pe Mac, acesta devine cont de administrator. Dacă serviciul de gestionare a dispozitivelor a creat un cont de administrator utilizând comanda de configurare a contului, puteți aloca acestui cont de utilizator diferite privilegii utilizând gestionarea grupurilor „SSO platformă”.
Autentificarea unică
Deoarece „SSO platformă” face parte din „SSO extensibilă”, utilizatorii se autentifică o singură dată și utilizează acel token de autentificare pentru a accesa aplicațiile native și web acceptate.
Dacă tokenurile lipsesc, au expirat sau au o vechime mai mare de patru ore, „SSO platformă” încearcă să le reîmprospăteze sau să obțină altele noi de la IdP. În plus, puteți configura o durată în secunde (minimum o oră) până când „SSO platformă” necesită login complet în loc de reîmprospătarea tokenului. Valoarea implicită este de 18 ore.
„SSO platformă” în Configurări sistem
După înregistrarea cu „SSO platformă”, utilizatorii își pot verifica starea înregistrării în Configurări sistem > Utilizatori și grupuri > [nume utilizator]. Tot acolo, pot repara înregistrarea sau reîmprospăta tokenul de autentificare.
Starea de înregistrare a dispozitivului este vizibilă în Utilizatori și grupuri > Server cont de rețea și furnizează, de asemenea, o opțiune pentru efectuarea unei reparații.
Politici de sincronizare a parolelor și de autentificare
Dacă utilizați metoda de autentificare cu parolă, parola utilizatorului local se sincronizează automat cu IdP-ul de fiecare dată când un utilizator își schimbă parola, fie local, fie de la distanță. Dacă este necesar, macOS îi solicită utilizatorului parola anterioară.
În mod implicit, parola contului local este necesară pentru deblocarea FileVault, a ecranului de blocare și ferestrei de login. Dacă parola introdusă nu corespunde cu parola contului de utilizator local, macOS încearcă să contacteze IdP‑ul pentru a efectua o autentificare live. Dacă macOS nu poate contacta IdP‑ul sau parola introdusă nu corespunde cu parola stocată de IdP, autentificarea eșuează.
Cu politicile de login, puteți permite utilizarea parolei curente a contului de la IdP imediat la aceste trei solicitări. De asemenea, puteți configura individual următoarele politici pentru FileVault, ecranul de blocare și fereastra de login:
Încercare de autentificare.
Dacă este configurat, se încearcă autentificarea live cu IdP‑ul.
Dacă Mac‑ul este online, pentru a continua, este necesară o autentificare cu succes la IdP, chiar și atunci când Mac‑ul este offline după prima încercare.
Dacă autentificarea are succes, „SSO platformă” actualizează parola locală.
Dacă Mac‑ul este offline, utilizatorul poate folosi parola contului local.
Necesită autentificare.
Dacă este configurată, pentru a continua este necesară autentificarea live cu IdP‑ul.
Dacă Mac‑ul este online, pentru a continua, este necesară o autentificare reușită cu IdP‑ul indiferent de perioada de grație offline configurată.
Dacă autentificarea are succes, „SSO platformă” actualizează parola locală.
Dacă Mac‑ul este offline, utilizatorii nu pot să facă login. În aceste situații, puteți activa o perioadă de grație offline și o puteți fixa la numărul de zile după o autentificare anterioară reușită, perioadă în care utilizatorul poate continua să utilizeze parola contului local.
Puteți defini dacă orice cont care efectuează login la Mac trebuie să fie gestionat de „SSO platformă” sau dacă este permis în continuare loginul cu conturi doar locale. De asemenea, puteți configura o perioadă de grație (în zile) după aplicarea politicii, înainte de începerea aplicării. Aceasta permite utilizarea temporară a conturilor locale. De exemplu, puteți utiliza temporar un cont de administrator creat de serviciul de gestionare a dispozitivelor pentru a efectua sau repara înregistrarea „SSO platformă” a dispozitivului.
În loc de autentificare live, puteți permite utilizatorilor să folosească și Touch ID sau Apple Watch pe ecranul de blocare.
Dacă este necesar, conturile locale (așa cum sunt definite de dvs.) pot fi exceptate de la politicile de login și nu li se va solicita să se înregistreze pentru „SSO platformă”.
Gestionarea grupurilor și autorizarea rețelei
„SSO platformă” poate oferi gestionarea granulară a drepturilor prin aplicarea următoarelor privilegii unui cont de fiecare dată când utilizatorul se autentifică:
Standard: contul primește privilegii de utilizator standard.
Administrator: adaugă contul în grupul de administratori locali.
Grupuri: definiți privilegiile pe baza apartenenței la grup, care se actualizează de fiecare dată când utilizatorul se autentifică la IdP.
Când utilizați grupuri, un cont primește privilegii pe baza apartenenței la următoarele:
Grupuri de administratori: în cazul în care contul face parte dintr‑un grup listat, acesta are acces de tip Administrator local.
Grupuri de autorizare: în cazul în care contul face parte dintr‑un grup căruia i‑a fost atribuit un drept de autorizare integrat sau definit în mod personalizat, contul are privilegii asociate cu acel grup. De exemplu, macOS utilizează următoarele drepturi de autorizare:
system.preferences.datetime, care permite contului să modifice configurările de oră.system.preferences.energysaver, care permite contului să modifice configurările de economisire a energiei.system.preferences.network, care permite contului să modifice configurările de rețea.system.preferences.printing, care permite contului să adauge sau să elimine imprimante.
Grupuri suplimentare: grupuri definite în mod personalizat pentru macOS sau aplicații specifice, pe care macOS le creează automat în directorul local (dacă nu există deja). De exemplu, puteți utiliza un grup suplimentar în configurația
sudopentru a defini accesulsudo.
Autorizare rețea
„SSO platformă” le permite utilizatorilor fără un cont local pe Mac să utilizeze acreditările IdP în scopuri de autorizare. Aceste conturi utilizează aceleași grupuri ca gestionarea grupurilor. De exemplu, dacă un cont este membru al unuia dintre grupurile de administratori, acesta poate efectua solicitări de autorizare de administrator. Pentru a utiliza această funcționalitate, configurați „SSO platformă” cu chei de dispozitiv partajate.
Autorizarea rețelei nu este posibilă cu solicitările de autorizare care necesită un token securizat, permisiuni de proprietate sau autentificare de către utilizatorul cu o sesiune de login curentă.
Creare cont la cerere
În implementările partajate, utilizatorii pot efectua login cu numele de utilizator și parola IdP sau un smart card pentru a crea automat un cont local.
Puteți realiza un proces de alocare complet automatizat utilizând înscrierea automată a dispozitivelor cu avansare automată. Trebuie să creați primul cont de administrator local utilizând un serviciu de gestionare a dispozitivelor și să efectuați silențios înregistrarea „SSO platformă”.
Pentru a utiliza crearea de conturi la cerere, sunt necesare următoarele:
Înscrieți Mac‑ul într‑un serviciu de gestionare a dispozitivelor care acceptă tokenuri de amorsare.
Adăugați următoarele: o configurare a extensiei SSO cu „SSO platformă”, chei de dispozitiv partajate și opțiunea de a crea un utilizator la login.
Finalizați Asistent configurare și creați un cont de administrator local.
Mac-ul trebuie să fie la fereastra de login, cu FileVault deblocat și cu o conexiune la rețea.
Utilizând o configurare opțională, puteți defini ce atribut IdP se utilizează pentru numele contului local (nume scurt) și numele complet. Administratorii pot configura, de asemenea, cheia pentru numele contului la com.apple.PlatformSSO.AccountShortName pentru a utiliza prefixul UPN.
În plus, puteți defini ce privilegii să se aplice conturilor nou create când se efectuează login. Sunt disponibile aceleași opțiuni pentru gestionarea grupurilor:
Standard: contul primește privilegii de utilizator standard.
Administrator: adaugă contul în grupul de administratori locali.
Grupuri: definiți privilegiile pe baza apartenenței la grup, care se actualizează de fiecare dată când utilizatorul se autentifică la IdP.
Mod Oaspete autentificat
Modul Oaspete autentificat oferă o experiență de login simplificată pentru implementările partajate, cum ar fi cabinetele medicale sau școlile, unde utilizatorii efectuează login temporar utilizând acreditările IdP și nu au nevoie de un cont local permanent. În mod implicit, utilizatorul primește privilegii de utilizator standard, dar puteți modifica aceste privilegii utilizând gestionarea grupurilor „SSO platformă”.
Cerințele sunt aceleași ca pentru crearea de conturi la cerere, dar în locul opțiunii de a crea un utilizator la login, configurați modul Oaspete autentificat.
Când un utilizator face logout, macOS șterge toate datele locale pentru acel cont, iar Mac‑ul partajat este pregătit pentru ca următorul utilizator să facă login.
Apăsați pentru login
„Apăsați pentru login” oferă compatibilitate cu acreditările digitale de la Portofel Apple la macOS. Organizațiile care utilizează deja ecusoane digitale în Portofel Apple (permițând utilizatorilor să deblocheze uși prin simpla apăsare a unui iPhone sau a unui Apple Watch) pot acum să extindă aceeași experiență la autentificarea pe Mac.
Această metodă de autentificare este deosebit de utilă pentru organizațiile care partajează un Mac între mai mulți utilizatori, inclusiv instituțiile de învățământ, mediile de vânzare cu amănuntul și unitățile medicale.
Cu „Apăsați pentru login”, utilizatorii se pot autentifica pe un Mac configurat pentru modul Oaspete autentificat când apasă pe iPhone sau Apple Watch la un cititor NFC conectat. Această acțiune inițiază un proces de autentificare unică securizată care autentifică automat utilizatorii în aplicațiile și site‑urile lor web, permițându‑le să se conecteze rapid și să înceapă lucrul.
Acreditările utilizatorului sunt furnizate sub formă de chei de acces într‑un tichet Portofel Apple printr‑o aplicație iPhone sau un browser. Aceste chei de acces sunt stocate în Secure Enclave pe dispozitiv, fiind astfel bazate pe hardware, criptate și contribuind la protejarea împotriva tentativelor de alterare sau extragere. Modul expres permite autentificarea imediată fără a solicita utilizatorilor să trezească sau să deblocheze dispozitivul, asemenea modului în care funcționează cardurile de transport în Portofel Apple.
Pentru a implementa funcționalitatea „Apăsați pentru login”, Mac-ul trebuie să fie:
Configurat pentru modul Oaspete autentificat
Echipat cu un cititor NFC extern compatibil
Crearea și gestionarea cheii de acces necesită participarea la Programul de acces Apple Wallet. Pentru informații suplimentare despre crearea unei chei de acces, consultați secțiunea Provisioning în Ghidul Programul de acces Portofel Apple.