Jednotné přihlašování k platformě pro macOS
Jednotné přihlášení na platformě umožňuje vývojářům vytvářet rozšíření, která se používají v přihlašovacím okně systému macOS a umožňují uživatelům synchronizovat přihlašovací údaje k místnímu účtu s poskytovatelem identit (IdP). Heslo místního účtu se automaticky synchronizuje, takže heslo v cloudu i místní hesla se shodují. Uživatelé také mohou svůj Mac odemykat pomocí Touch ID nebo Apple Watch.
Pro jednotné přihlášení na platformě platí následující požadavky:
macOS 13 nebo novější
Služba správy mobilních zařízení (MDM) s podporou datové části Extensible Single Sign-on, která zahrnuje podporu pro jednotné přihlášení na platformě
Podpora od IdP pro ověřovací protokol jednotného přihlášení na platformě
Jedna ze dvou podporovaných metod ověřování totožnosti:
Ověřování totožnosti pomocí klíče zajištěného modulem Secure Enclave: Pomocí této metody může uživatel, který se přihlásí ke svému Macu, použít k ověření u IdP bez hesla klíč s podporou Secure Enclave. Klíč Secure Enclave se u IdP nastaví během procesu registrace uživatele.
Ověřování totožnosti heslem: Při použití této metody se uživatel ověřuje pomocí místního hesla nebo hesla IdP.
Poznámka: Při zrušení registrace Macu ve službě MDM je zrušena také jeho registrace u IdP.
Federování protokolu WS-Trust
V systému macOS 13.3 a novějších je podporováno federování protokolu WS-Trust. Díky tomu může jednotné přihlašování na platformě úspěšně ověřovat uživatele, pokud jejich účet spravuje IdP federovaný pomocí Microsoft Entra ID.
Dodatečné funkce jednotného přihlášení na platformě v macOS 14
Registrace uživatelů a její stav v Nastavení systému: Uživatelé můžou registrovat svá zařízení nebo uživatelské účty pro použití s jednotným přihlášením na platformě v Nastavení systému. Příslušná položka nabídky také zobrazuje aktuální stav registrace a informuje o případných chybách a poskytuje tak uživatelům přehledné informace. Uživatel se díky tomu dozví, zda je nutné registraci provést znovu.
Uživatelské vytváření místních účtů: Snazší správa účtů ve sdílených nasazeních umožňuje uživatelům přihlášení k Macu s odemčeným FileVaultem a vytvoření místního účtu pomocí uživatelského jména a hesla od IdP nebo pomocí čipové karty. K určení, který atribut od IdP se použije k výběru místního uživatelského jména je možné použít nový klíč
TokenToUserMapping
. Pro použití této funkce musí být splněny následující požadavky:Je potřeba dokončit nastavení v Průvodci nastavením a vytvořit počáteční účet místního správce.
Zařízení musí být zaregistrována ve službě MDM, která podporuje bootstrapové tokeny.
V Macu uživatele musí být k dispozici datová část Extensible Single Sign-on s jednotným přihlášením na platformě a zapnutými volbami
UseSharedDeviceKeys
aEnableCreateUserAtLogin
.Podpora čipových karet vyžaduje, aby byla čipová karta zaregistrována u IdP a aby bylo v Macu nakonfigurováno mapování atributů čipových karet.
Použití jiných než místních uživatelských účtů od IdP ve výzvách k autorizaci: Jednotné přihlášení na platformě rozšiřuje použití přihlašovacích údajů od IdP na uživatele, kteří nemají pro účely autorizace na Macu místní uživatelský účet. Tyto účty používají stejné skupiny jako správa skupin. Pokud je uživatel například členem jedné ze skupin správců, lze účet použít při výzvách k autorizaci správce systému macOS. Tím jsou vyloučeny všechny výzvy k autorizaci, které vyžadují zabezpečený token, oprávnění vlastníka nebo ověření totožnosti provedené aktuálně přihlášeným uživatelem.
Aktualizace členství uživatelů ve skupinách při jejich ověřování totožnosti u IdP: Členství ve skupinách lze v systému macOS použít k podrobné správě oprávnění uživatelů IdP. Při každém ověření totožnosti uživatele u IdP se aktualizuje jeho členství ve skupině. Pro definování členství ve skupině jsou k dispozici tři pole klíčů:
AdministratorGroups: Pokud je uživatel součástí skupiny uvedené v tomto poli, bude mít přístup místního správce.
AuthorizationGroups: Specifické skupiny používané ke správě integrovaných nebo uživatelsky definovaných autorizačních oprávnění. Toto oprávnění je uděleno všem uživatelům, kteří jsou součástí dané skupiny. Například členství ve skupině přiřazené k autorizačnímu oprávnění
system.preferences.network
umožňuje uživatelům měnit nastavení sítě, členství ve skupiněsystem.preferences.printing
umožňuje uživatelům měnit nastavení tiskáren.AdditionalGroups: Může být použit operačním systémem – například k definování přístupového oprávnění
sudo
. Záznam v tomto poli vytvoří skupinu uvnitř místního adresáře (pokud daná skupina neexistuje).