Log ind i et trin på platform til macOS
Med Log ind i et trin på platform (Platform SSO) kan udviklere bygge SSO-udvidelser, der inkluderer macOS-loginvinduet, så brugerne kan synkronisere lokale kontooplysninger med en identitetsudbyder (IdP). Adgangskoden til en lokal konto synkroniseres automatisk, så adgangskoden i skyen og lokale adgangskoder stemmer overens. Brugere kan også låse deres Mac op med Touch ID og Apple Watch.
Platform SSO kræver følgende:
macOS 13 eller nyere
En løsning til administration af mobile enheder (MDM), der understøtter Data i Extensible Single Sign-on (udbredt log ind i et trin), som inkluderer understøttelse af Log ind i et trin på platform
Understøttelse fra identitetsudbyderen af Platform SSO-godkendelsesprotokollen
En af disse to understøttede godkendelsesmetoder:
Godkendelse med en Secure Enclave-baseret nøgle: Med denne metode kan en bruger, der logger ind på deres Mac, bruge en Secure Enclave-baseret nøgle til at godkende med identitetsudbyder uden en adgangskode. Secure Enclave-nøglen indstilles hos identitetsudbyderen under processen med brugerregistrering.
Godkendelse med adgangskode: Med denne metode godkender en bruger med en lokal kode eller en identitetsudbyderadgangskode.
Bemærk: Hvis Mac-computeren frameldes MDM-løsningen, fjernes registreringen af den hos identitetsudbyderen også.
WS-Trust federation
WS-Trust federation understøttes i macOS 13.3 og nyere versioner. Det gør det muligt for Platform SSO (Log ind i et trin på platform) at godkende brugere, når deres konto administreres af en identitetsudbyder, som er forenet med Microsoft Entra ID.
Yderligere funktioner til Platform SSO i macOS 14 eller nyere versioner
Brugertilmelding og registreringsstatus i Systemindstillinger: Brugerne kan registrere deres enhed eller deres brugerkonto til brug med Log ind i et trin i Systemindstillinger. Menuemnet viser også den aktuelle registreringsstatus og angiver eventuelle fejl, som kan være opstået, og det giver brugerne større gennemsigtighed. Dermed kan brugeren se, om registreringen skal udføres igen.
Oprettelse af lokal konto af brugerne: For at forenkle kontoadministration i delte implementeringer kan brugerne bruge deres brugernavn og adgangskode fra identitetsudbyderen eller et Smart Card til at logge ind på en Mac, hvor FileVault er låst op, og oprette en lokal konto. Den nye nøgle
TokenToUserMapping
kan bruges til at definere, hvilken attribut fra identitetsudbyderen der skal bruges til at vælge det lokale brugernavn. Brug af denne funktion kræver følgende:Indstillingsassistent skal gennemfføres, og en første lokal administratorkonto skal oprettes.
Enhederne skal tilmeldes en MDM-løsning, der understøtter Bootstrap Tokens.
Brugerens Mac skal have data i Extensible Single Sign-on med Log ind i et trin på platform, og valgmulighederne
UseSharedDeviceKeys
ogEnableCreateUserAtLogin
skal være slået til.Understøttelse af Smart Card kræver, at Smart Card registreres med identitetsudbyderen, og at der er en Smart Card-attributoverførsel konfigureret på Mac-computeren.
Brug af ikke-lokale brugerkonti fra identitetsudbyderen ved anmodninger om godkendelse: Log ind i et trin på platform udvider brugen af godkendelsesoplysninger fra identitetsudbyderen til brugere, der ikke har en lokal brugerkonto på Mac-computeren, med henblik på godkendelse. Disse konti bruger de samme grupper som Gruppeadministration. Hvis en bruger f.eks. er medlem af en af administratorgrupperne, kan kontoen bruges, når der kræves godkendelse fra en macOS-administrator. Det ekskluderer eventuelle anmodninger om godkendelse, der kræver et sikkert token, ejerskabstilladelser eller godkendelse fra den bruger, der er logget ind.
Opdatering af brugeres gruppemedlemskab, når de godkender med deres identitetsudbyder: Gruppemedlemskabet kan bruges til detaljeret administration af tilladelser fra identitetsudbyderens brugere i macOS. Hver gang brugere godkender med identitetsudbyderen, opdateres deres gruppemedlemskab. Der findes tre rækkenøgler til at definere gruppemedlemskabet:
AdministratorGroups: Hvis brugerne er en del af en gruppe, som er anført i denne række, har de lokal administratoradgang.
AuthorizationGroups: Specifikke grupper brugt til at administrere indbyggede eller specialdefinerede godkendelsesrettighederne. Retten tildeles til alle brugere, som er en del af den specificerede gruppe. F.eks. vil medlemskab af en gruppe, der får tildelt godkendelsesrettigheden
system.preferences.network
, give brugerne mulighed for at ændre netværksindstillingerne, ogsystem.preferences.printing
vil give brugerne mulighed for at ændre printerindstillingerne.AdditionalGroups: Kan bruges af operativsystemet – f.eks. til at definere
sudo
-adgang. En optegnelse i denne række opretter en gruppe i det lokale bibliotek, hvis gruppen ikke findes.