تسجيل الدخول الموحد للنظام الأساسي على macOS
من خلال تسجيل الدخول الموحد على النظام الأساسي (Platform SSO)، يمكن للمطورين إنشاء امتدادات لتسجيل الدخول الموحد تمتد إلى نافذة تسجيل الدخول في macOS، ما يسمح للمستخدمين بمزامنة بيانات اعتماد الحساب المحلي مع مزود خدمة بطاقة الهوية (IdP). يتم الاحتفاظ بكلمة سر الحساب المحلي تلقائيًا في وضع المزامنة، بحيث تتطابق كلمة سر السحابة وكلمات السر المحلية. يمكن كذلك للمستخدمين فتح قفل الـ Mac باستخدام بصمة الإصبع و Apple Watch.
يتطلب النظام الأساسي لتسجيل الدخول الموحد (SSO) الآتي:
macOS 13 أو أحدث
حل إدارة جهاز الجوال (MDM) الذي يدعم حمولة تسجيل الدخول الموحد القابلة للتوسعة والتي تتضمن دعم تسجيل الدخول الموحد على النظام الأساسي (Platform SSO)
دعم من مزود خدمة بطاقة الهوية (IdP) لبروتوكول مصادقة النظام الأساسي لتسجيل الدخول الموحد (SSO)
طريقة واحدة من طريقتين مدعومتين للمصادقة:
المصادقة باستخدام مفتاح مدعوم بـ Secure Enclave: باستخدام هذه الطريقة، يمكن للمستخدم الذي يسجل الدخول إلى الـ Mac استخدام مفتاح مدعوم بـ Secure Enclave للمصادقة مع مزود خدمة بطاقة الهوية (IdP) من دون كلمة سر. يتم إعداد مفتاح Secure Enclave باستخدام مزود خدمة بطاقة الهوية (IdP) أثناء عملية تسجيل المستخدم.
مصادقة كلمة السر: باستخدام هذه الطريقة، يقوم المستخدم بالمصادقة باستخدام كلمة سر محلية أو كلمة سر مزود خدمة بطاقة الهوية (IdP).
ملاحظة: إذا لم يكن الـ Mac مسجلاً من حل MDM، فهو كذلك غير مسجل من مزود خدمة بطاقة الهوية (IdP).
اتحاد WS-Trust
اتحاد WS-Trust مدعوم في macOS 13.3 أو أحدث. ويسمح هذا لتسجيل الدخول الموحد على النظام الأساسي بمصادقة المستخدمين بنجاح عندما تتم إدارة حسابهم بواسطة IdP موحد مع Microsoft Entra ID.
ميزات تسجيل الدخول الموحد للنظام الأساسي الإضافية في macOS 14 أو أحدث
تسجيل المستخدم وحالة التسجيل في إعدادات النظام: يمكن للمستخدمين تسجيل أجهزتهم أو حساب المستخدم الخاص بهم للاستخدام مع تسجيل الدخول الموحد (SSO) في إعدادات النظام. يعرض عنصر القائمة أيضًا حالة التسجيل الحالية ويشير إلى أي أخطاء قد تكون حدثت، ما يوفر شفافية مُحسَّنة للمستخدم. يتيح ذلك للمستخدم معرفة ما إذا كان التسجيل بحاجة إلى إكماله مرة أخرى.
إنشاء الحساب المحلي من قِبل المستخدمين: لتسهيل إدارة الحساب في عمليات النشر المشتركة، يمكن للمستخدمين استخدام اسم المستخدم وكلمة السر لمزود الهوية (IdP) أو بطاقة ذكية لتسجيل الدخول إلى Mac مع فتح قفل خزنة الملفات وإنشاء حساب محلي. يمكن استخدام المفتاح
TokenToUserMappingالجديد لتحديد السمة المُقدَّمة بواسطة مزود الهوية المستخدم لتحديد اسم المستخدم المحلي. لاستخدام هذه الميزة، يلزم ما يلي:يجب إكمال مساعد الإعداد وإنشاء حساب مسؤول محلي أولي.
يجب تسجيل الأجهزة في حل MDM يدعم رموز Bootstrap المميزة.
يجب أن يحتوي Mac الخاص بالمستخدم على حمولة تسجيل دخول موحد قابلة للتجديد مع تسجيل الدخول الموحد على النظام الأساسي ومع تمكين الخيارين
UseSharedDeviceKeysوEnableCreateUserAtLogin.يتطلب دعم البطاقة الذكية أن يتم تسجيل البطاقة الذكية مع مزود الهوية، وأن يكون هناك تعيين لسمات البطاقة الذكية تم تكوينه على جهاز Mac.
استخدام حسابات مستخدمين غير محلية تابعة لمزود الهوية (IdP) في مطالبات التخويل: تقوم حمولة تسجيل الدخول الموحد على النظام الأساسي بتوسيع استخدام بيانات اعتماد مزود الهوية ليشمل المستخدمين الذين ليس لديهم حساب مستخدم محلي على Mac لأغراض التخويل. تستخدم هذه الحسابات المجموعات نفسها التي تستخدمها إدارة المجموعة. على سبيل المثال، إذا كان المستخدم عضوًا في إحدى مجموعات المسؤولين، يمكن استخدام الحساب في مطالبات تخويل مسؤول macOS. يستثني ذلك أي مطالبات تخويل تتطلب رمزًا مميزًا آمنًا أو أذونات ملكية أو مصادقة من قِبل المستخدم الذي سجَّل الدخول حاليًا.
تحديث عضوية المجموعة للمستخدمين عند المصادقة مع مزود الهوية: يمكن استخدام عضوية المجموعة لإدارة أذونات مستخدمي مزود الهوية بدقة في macOS. في كل مرة يقوم فيها المستخدم بالمصادقة مع مزود الهوية، يتم تحديث عضوية المجموعة. توجد ثلاثة مفاتيح مصفوفة متاحة لتحديد عضوية المجموعة:
AdministratorGroups: إذا كان المستخدم جزءًا من مجموعة مدرجة في هذه المصفوفة، فستكون لديه صلاحية الوصول كمسؤول محلي.
AuthorizationGroups: مجموعات محددة تُستخدم لإدارة حقوق التخويل المضمنة أو المحددة بشكل مخصص. يتم منح الحق لجميع المستخدمين الذين يشكلون جزءًا من المجموعة المحددة. على سبيل المثال، العضوية في مجموعة مخصصة للتخويل الصحيح
system.preferences.networkتسمح للمستخدمين بتعديل إعدادات الشبكة أوsystem.preferences.printingتسمح للمستخدمين بتعديل إعدادات الطابعة.AdditionalGroups: يمكن استخدامه بواسطة نظام التشغيل، على سبيل المثال، لتحديد وصول
sudo. يقوم الإدخال في هذه المصفوفة بإنشاء مجموعة داخل الدليل المحلي إذا كانت المجموعة غير موجودة.