Jednotné přihlašování k platformě pro macOS
Pomocí jednotného přihlášení na platformě (SSO na platformě) můžete vy nebo vývojář specializující se na správu identit vytvářet rozšíření pro jednotné přihlašování, která uživatelům umožní používat na Macu účet vaší organizace ze služby IdP během úvodního nastavení.
Funkce
SSO na platformě podporuje následující funkce:
Aktivace a vynucení SSO na platformě během automatické registrace zařízení pro účely ověření registrace, přihlášení pomocí spravovaného účtu Apple a vytvoření místního uživatele.
Poskytování jednotného přihlašování pro nativní a webové aplikace.
Poskytování informací o SSO na platformě v Nastavení systému.
Synchronizace hesel k místním uživatelským účtům se službou IdP a definování zásad pro přihlašování.
Definování skupinových oprávnění účtů ve službě IdP a povolení uživatelům používat čistě síťové účty ve službě IdP při výzvách k autorizaci.
Vytváření místních uživatelských účtů na vyžádání při přihlašování pomocí přihlašovacích údajů z účtu ve službě IdP.
Podpora hostujících uživatelů, kteří se na sdílených Macích dočasně přihlašují pomocí přihlašovacích údajů ze své služby IdP.
Poznámka: Pro většinu funkcí je vyžadována podpora rozšíření SSO. Další informace o implementaci SSO na platformě ve vaší organizaci najdete v dokumentaci vašeho poskytovatele identity.
Požadavky
Mac s čipem Apple nebo Mac s procesorem Intel a Touch ID
Služba správy zařízení s podporou konfigurace pomocí datové části Extensible Single Sign‑on, která zahrnuje nastavení pro SSO na platformě
Aplikace obsahující rozšíření pro SSO na platformě kompatibilní se službou IdP
macOS 13 nebo novější
Pro následující funkce platí další požadavky na verzi:
Funkce | Minimální podporované verze operačních systémů | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Ověřený režim hosta | macOS 26 | ||||||||||
Přihlášení klepnutím | macOS 26 | ||||||||||
SSO na platformě během automatické registrace zařízení | macOS 26 | ||||||||||
Předpona UPN jako název místního účtu | macOS 15.4 | ||||||||||
Atestace identifikátorů zařízení | macOS 15.4 | ||||||||||
Zásady přihlašování | macOS 15 | ||||||||||
Vytváření účtů na vyžádání | macOS 14 | ||||||||||
Správa skupin a síťové ověřování | macOS 14 | ||||||||||
SSO na platformě v Nastavení systému | macOS 14 | ||||||||||
Nastavení SSO na platformě
Chcete‑li používat SSO na platformě, musí se Mac i každý uživatel zaregistrovat ve službě IdP. V závislosti na podpoře služby IdP a použité konfiguraci může Mac provést registraci zařízení na pozadí bez zásahu uživatele pomocí:
Registračního tokenu poskytnutého v konfiguraci správy zařízení
Atestace, která poskytuje silné ujištění o identifikátorech zařízení (UDID a sériové číslo)
SSO na platformě podporuje sdílené klíče zařízení, které umožňují udržovat důvěryhodné spojení se službou IdP nezávisle na jednotlivých uživatelích. Sdílené klíče zařízení používejte, kdykoli je to možné, protože jsou vyžadovány pro práci s funkcemi, jako je SSO na platformě při automatické registraci zařízení, vytváření uživatelských účtů na vyžádání na základě informací ze služby IdP, síťové ověřování a ověřený režim hosta.
Po úspěšné registraci zařízení se zaregistruje uživatel (pokud uživatelský účet nepoužívá ověřený režim hosta). Pokud to služba IdP vyžaduje, registrace uživatele může zahrnovat výzvu k potvrzení registrace. U místních uživatelských účtů, které SSO na platformě vytváří na vyžádání, probíhá registrace uživatele automaticky na pozadí.
Poznámka: Když zrušíte registraci Macu ve službě správy zařízení, zruší se také jeho registrace ve službě IdP.
Metody ověřování
SSO na platformě podporuje různé metody ověřování pomocí služby IdP. Podpora pro každou z nich závisí na službě IdP a rozšíření pro SSO na platformě.
Heslo: Při použití této metody se uživatel ověřuje pomocí místního hesla nebo hesla ve službě IdP. Tato metoda také podporuje standard WS-Trust, což uživateli umožňuje provést ověření, i když je služba IdP spravující jeho účet federovaná.
Klíč chráněný modulem Secure Enclave: Pomocí této metody může uživatel, který se přihlásí ke svému Macu, použít k ověření ve službě IdP bez hesla klíč s podporou Secure Enclave. Klíč Secure Enclave nastavuje služba IdP během registrace uživatele.
Čipová karta: V případě této metody uživatel provádí ověření ve službě IdP pomocí čipové karty. Chcete‑li použít tuto metodu, musíte:
Zaregistrovat čipovou kartu u poskytovatele identity.
Nakonfigurovat mapování atributů čipové karty na Macu.
Podrobnosti a příklad konfigurace mapování atributů najdete na manuálové stránce projektu Smart Card Services.
Zpřístupňovací klíč: Při použití této metody uživatelé provádějí ověření ve službě IdP pomocí lístku uloženého v aplikaci Peněženka Apple. Podobně jako v případě čipové karty je třeba zpřístupňovací klíč zaregistrovat ve službě IdP.
Při práci s určitými funkcemi, jako je vytváření uživatelských účtů na vyžádání, musíte použít specifickou metodu ověření totožnosti.
Funkce | Heslo | Klíč chráněný modulem Secure Enclave | Čipová karta | Zpřístupňovací klíč | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Správa skupin |  | | | | |||||||
Automatická registrace zařízení | | | |  | |||||||
Ověřený režim hosta | | | | | |||||||
Vytváření účtů na vyžádání | | | | | |||||||
Synchronizace hesel | | | | | |||||||
Poznámka: Registraci lze provést jen tehdy, když rozšíření SSO podporuje požadovanou metodu. Podporováno je i přepínání metod. Když je například při přihlašování pomocí uživatelského jména a hesla vytvořen nový uživatelský účet, tento účet je možné po úspěšném přihlášení přepnout na používání klíče uloženého v Secure Enclave nebo na používání čipové karty.
SSO na platformě během automatické registrace zařízení
Organizace můžou aktivovat a vynutit SSO na platformě při nastavování v Průvodci nastavením pomocí automatické registrace zařízení. Tato volba je určena pro zařízení s jedním uživatelem, protože uživatel, který provádí ověření registrace, automaticky získá vytvořený místní účet a může ihned používat SSO s podporovanými nativními a webovými aplikacemi.
Proces funguje takto:
Systém macOS si vyžádá registraci a informuje službu správy zařízení, že pro účely registrace podporuje SSO na platformě.
Služba správy zařízení vrátí chybu 403, která obsahuje informace o tom, kde najít konfiguraci SSO a balíček obsahující aplikaci s rozšířením SSO.
Systém macOS stáhne a nainstaluje rozšíření a konfiguraci SSO na platformě.
Systém macOS nakonfiguruje SSO na platformě a provede registraci zařízení. Pokud je nakonfigurována atestace, registrace proběhne bez interakce s uživatelem na pozadí. Systém macOS pak uživatele vyzve k ověření totožnosti ve službě IdP pomocí jedné z dříve uvedených metod, aby se uživatel mohl zaregistrovat. Bez úspěšné registrace v SSO na platformě nemůžou uživatelé pokračovat.
Služba IdP zpracuje ověření totožnosti.
Po úspěšném ověření vrátí služba IdP systému macOS nosný token.
Systém macOS používá nosný token k ověření registrace ve službě správy zařízení a pokud je systém federován s toutéž službou IdP, může uživatele přihlásit k spravovanému účtu Apple, aniž by uživatel musel znovu zadávat své přihlašovací údaje. Tento postup funguje jen v případě, že má uživatel přístup k panelu iCloud Setup Assistant.
Systém macOS vytvoří místní účet a heslo se buď synchronizuje se službou IdP, nebo si uživatel nastaví místní heslo (pokud SSO na platformě používá klíč uložený v Secure Enclave). V případě potřeby lze pomocí konfigurace přístupového kódu (Passcode) vynutit požadavky na složitost místního hesla.
Pokud byla tato funkce nakonfigurována, může systém macOS následně ze služby IdP sesynchronizovat profilový obrázek pro přihlašování k místnímu účtu.
SSO na platformě lze použít během procesu automatické registrace s vynucenou aktualizací softwaru. V takovém případě musí služba správy zařízení nejprve vynutit aktualizaci.
Pokud je uživatelský účet vytvořený systémem macOS jediným účtem na Macu, stává se účtem správce. Pokud služba správy zařízení vytvořila účet správce pomocí příkazu pro nakonfigurování účtu, můžete pomocí správy skupin SSO na platformě přiřadit uživatelskému účtu jiná oprávnění.
Jednotné přihlášení
Protože je SSO na platformě součástí systému Extensible SSO, nabízí tytéž možnosti jednotného přihlašování a umožňuje uživatelům přihlásit se jednou a potom používat token poskytnutý při prvním ověření totožnosti k ověřování totožnosti v podporovaných nativních a webových aplikacích.
Pokud tokeny chybí, vypršela jim platnost nebo jsou starší než čtyři hodiny, SSO na platformě se pokusí je obnovit nebo získat nové ze služby IdP. Kromě toho můžete nastavit dobu v sekundách (minimálně 1 hodina), po jejímž uplynutí bude SSO na platformě vyžadovat namísto obnovení tokenu plnohodnotné přihlášení. Ve výchozím nastavení je plnohodnotné přihlášení vyžadováno každých 18 hodin.
SSO na platformě v Nastavení systému
Po registraci SSO na platformě může uživatel zkontrolovat stav registrace v Nastavení systému > Uživatelé a skupiny > [uživatelské jméno]. V případě potřeby může iniciovat opravu registrace a vynutit obnovení svého ověřovacího tokenu.
Stav registrace zařízení je viditelný v oddílu Uživatelé a skupiny > Server síťového účtu, kde je také možné provést opravu.
Synchronizace hesel a zásady přihlašování
Pokud používáte metodu ověřování totožnosti heslem, heslo místního uživatele se automaticky synchronizuje se službou IdP, kdykoli uživatel své heslo změní, ať už místně nebo na dálku. V případě potřeby systém macOS uživatele vyzve k zadání předchozího hesla.
Ve výchozím nastavení je heslo místního účtu vyžadováno k odemknutí FileVaultu a zamknuté obrazovky a také v přihlašovacím okně. Pokud zadané heslo neodpovídá heslu místního uživatelského účtu, systém macOS se pokusí připojit ke službě IdP a provést ověření naživo. V případě, že systém macOS nedokáže službu IdP kontaktovat nebo zadané heslo neodpovídá heslu uloženému ve službě IdP, ověření selže.
Zásady přihlašování umožňují v těchto třech výzvách povolit použití aktuálního hesla k účtu poskytnutého ze služby IdP okamžitě. Pro FileVault, zamknutou obrazovku a přihlašovací okno můžete také nastavit následující zásady jednotlivě:
Pokus o ověření totožnosti.
Pokud byla tato funkce nakonfigurována, proběhne pokus o ověření naživo ve službě IdP.
Pokud je Mac online, je požadováno úspěšné ověření totožnosti prostřednictvím služby IdP, i když Mac po prvním pokusu přejde do offline režimu.
Pokud ověření totožnosti proběhne úspěšně, SSO na platformě aktualizuje místní heslo.
Pokud je Mac v offline režimu, může uživatel použít své heslo k místnímu účtu.
Požadavek na ověření totožnosti.
Pokud byla tato funkce nakonfigurována, lze pokračovat jen po ověření naživo provedeném prostřednictvím služby IdP.
Pokud je Mac online, lze pokračovat jen po úspěšném ověření provedeném prostřednictvím služby IdP bez ohledu na nastavené období odkladu pro offline režim.
Pokud ověření totožnosti proběhne úspěšně, SSO na platformě aktualizuje místní heslo.
Pokud je Mac v offline režimu, uživatelé se nemůžou přihlásit. V těchto situacích můžete aktivovat období odkladu pro offline režim a nastavit ho na počet dní uplynulých od předchozího úspěšného přihlášení. Během tohoto období může uživatel dál používat heslo k místnímu účtu.
Můžete určit, zda musí být všechny účty, které se k Macu přihlašují, spravovány pomocí SSO na platformě, nebo zda je nadále povoleno přihlašování pomocí výhradně lokálních účtů. Je také možné definovat, za kolik dní po použití nebo aktualizaci zásady bude toto nastavení vynuceno. Toto opatření umožňuje dočasné používání místních účtů. Můžete například dočasně použít účet správce vytvořený službou správy zařízení k provedení nebo opravě registrace zařízení v SSO na platformě.
Na zamknuté obrazovce můžete uživatelům místo ověřování naživo povolit používání Touch ID nebo Apple Watch.
V případě potřeby můžou být místní účty (definované vámi) z pravidel přihlašování vyloučeny a nemusí se v SSO na platformě registrovat.
Správa skupin a autorizace sítě
SSO na platformě nabízí podrobnou správu práv, jejímž prostřednictvím je možné poskytnout uživatelům Macu odpovídající úroveň oprávnění. Za tímto účelem může SSO na platformě při každém ověření uživatele nastavit pro účet následující oprávnění:
Standardní: Účet získá standardní uživatelská oprávnění.
Správcovský: Účet bude přidán do místní skupiny správců.
Skupiny: Oprávnění jsou určena na základě členství ve skupině a aktualizují se při každém ověření totožnosti uživatele prostřednictvím služby IdP.
Když používáte skupiny, účet získává oprávnění na základě členství v následujících skupinách:
Správcovské skupiny: Pokud je účet součástí uvedené skupiny, disponuje přístupem místního správce.
Oprávněné skupiny: Pokud je účet součástí skupiny přiřazené k vestavěnému nebo uživatelsky definovanému oprávnění, disponuje oprávněními spojenými s touto skupinou. Systém macOS například používá následující oprávnění:
system.preferences.datetime, které účtu umožňuje měnit nastavení času.system.preferences.energysaver, které účtu umožňuje měnit nastavení spořiče energie.system.preferences.network, které účtu umožňuje měnit nastavení sítě.system.preferences.printing, které účtu umožňuje přidávat a odebírat tiskárny.
Další skupiny: Uživatelsky definované skupiny pro systém macOS nebo určité aplikace. Tyto skupiny macOS automaticky vytváří v místním adresáři (pokud ještě neexistují). Další skupinu můžete například použít v konfiguraci
sudok určení přístupu k příkazusudo.
Síťové ověřování
SSO na platformě rozšiřuje použití přihlašovacích údajů ze služby IdP na uživatele, kteří nemají na Macu místní účty. Tyto účty používají tytéž skupiny jako správa skupin. Pokud je například účet součástí jedné ze skupin administrátorů, lze ho použít k provádění autorizačních výzev správce. Chcete‑li tuto funkci používat, nakonfigurujte SSO na platformě s užitím sdílených klíčů zařízení.
Síťové ověření není možné u výzev k ověření, které vyžadují zabezpečený token, vlastnické oprávnění nebo ověření aktuálně přihlášeným uživatelem.
Vytváření účtů na vyžádání
Snazší správa účtů ve sdílených nasazeních umožňuje uživatelům přihlášení k Macu a vytvoření místního účtu pomocí uživatelského jména a hesla ze služby IdP nebo pomocí čipové karty.
Proces zřizování lze plně automatizovat pomocí automatické registrace zařízení s automatickým postupem. Musíte vytvořit první místní účet správce pomocí služby správy zařízení a provést registraci SSO na platformě bez interakce s uživatelem.
Požadavky na vytváření účtů na vyžádání:
Zaregistrujte Mac ve službě správy zařízení podporující bootstrapové tokeny.
Přidejte následující položku: konfigurace rozšíření SSO s funkcí SSO na platformě, sdílenými klíči zařízení a možností vytvoření uživatele při přihlášení.
Dokončete proces nastavení v Průvodci nastavením a vytvořte místní účet správce.
Spusťte Mac tak, aby se na něm zobrazilo přihlašovací okno, byl na něm odemknutý FileVault a byl připojený k síti.
Nepovinná konfigurační volba vám umožňuje určit, který atribut ze služby IdP se použije pro název místního účtu (obvykle zkrácené jméno uživatele) a úplné jméno uživatele. Správci také můžou nastavit klíč pro název účtu na hodnotu com.apple.PlatformSSO.AccountShortName, aby bylo možné použít předponu UPN.
Navíc můžete určit, jaká oprávnění se mají při přihlášení použít pro nově vytvořené účty. K dispozici jsou tytéž možnosti správy skupin:
Standardní: Účet získá standardní uživatelská oprávnění.
Správcovský: Účet bude přidán do místní skupiny správců.
Skupiny: Oprávnění jsou určena na základě členství ve skupině a aktualizují se při každém ověření totožnosti uživatele prostřednictvím služby IdP.
Ověřený režim hosta
Ověřený režim hosta poskytuje zrychlené přihlašování pro sdílená nasazení, například v lékařských ordinacích nebo ve školách, kde uživatelé nepotřebují místní účet, protože se přihlašují pomocí přihlašovacích údajů ze služby IdP jen na krátkou dobu. Uživatel má standardní uživatelská oprávnění, která můžete změnit pomocí správy skupin poskytované službou SSO na platformě.
Chcete‑li tuto funkci používat, musíte splňovat stejné požadavky jako při vytváření účtu na vyžádání, ale namísto možnosti vytvořit uživatele při přihlášení nakonfigurujete režim ověřeného hosta.
Když se uživatel odhlásí, systém macOS vymaže všechna místní data použitého účtu, čímž sdílený Mac připraví k přihlášení dalšího uživatele.
Přihlášení klepnutím
Funkce Přihlášení klepnutím rozšiřuje funkce digitálních ověřovacích údajů z Peněženky Apple na systém macOS. V posledních letech začaly organizace používat v aplikaci Peněženka Apple digitální přístupové karty, takže uživatelé můžou odemykat dveře pouhým přiložením iPhonu nebo Apple Watch k čtečce a nemusí už s sebou nosit fyzický přístupový čip. Tato funkce je k dispozici i na Macu.
Tato metoda ověřování totožnosti je obzvlášť užitečná pro organizace, které poskytují přístup k počítačům Mac více uživatelům, například vzdělávací instituce, maloobchodní prodejny a zdravotnická zařízení.
Funkce Přihlášení klepnutím umožňuje uživatelům ověřit totožnost na Macu nakonfigurovaném pro ověřený režim hosta přiložením iPhonu nebo Apple Watch k připojené NFC čtečce. Tím se spustí zabezpečený proces jednotného přihlášení, který uživatele automaticky ověří v aplikacích a na webových stránkách, takže se můžou rychle přihlásit a pustit se do práce.
Přihlašovací údaje uživatele jsou k dispozici jako přístupové klíče v lístku Peněženky Apple prostřednictvím aplikace pro iPhone nebo prohlížeče. Tyto přístupové klíče jsou v zařízení uložené v Secure Enclave, takže jsou hardwarově zabezpečené a šifrované, což napomáhá jejich ochraně před pokusy o manipulaci nebo extrakci. Funkce Expresní režim zvyšuje pohodlí tím, že umožňuje okamžité ověření totožnosti bez nutnosti probudit nebo odemknout zařízení podobně jako při použití jízdenkových karet v Peněžence Apple.
Aby bylo možné funkci Přihlášením klepnutím implementovat, Mac musí být:
Nakonfigurovaný pro ověřený režim hosta
Vybavený podporovanou externí NFC čtečkou
Chcete‑li vytvářet a spravovat přístupové klíče, musíte se zapojit do programu Apple Wallet Access. Další informace o vytváření přístupových klíčů najdete v části Provisioning v příručce k programu Apple Wallet Access.