Log ind i et trin på platform til macOS
Med Log ind i et trin på platform (Platform SSO) kan du (eller en udvikler, som er specialiseret i identitetsadministration) bygge SSO-udvidelser, der giver brugerne mulighed for at bruge organisationens konto fra en IdP på en Mac under den første indstilling.
Funktioner
Log ind i et trin på platform understøtter følgende funktioner:
Aktiver og gennemtving Log ind i et trin på platform under automatisk enhedstilmelding for at godkende tilmeldingen, logge ind med en administreret Apple-konto og oprette en lokal bruger.
Tilbyd en proces til Log ind i et trin for lokale apps og webapps.
Få oplysninger om Log ind i et trin på platform i Systemindstillinger.
Synkroniser adgangskoder til lokale brugerkonti med identitetsudbyderen, og definer loginregler.
Definer gruppetilladelser til IdP-konti, og tillad, at personer bruger IdP-konti, som kun er til netværk, ved anmodninger om godkendelse.
Opret lokale brugerkonti efter behov, når der logges ind med godkendelsesoplysninger fra en IdP-konto.
Hjælp til gæstebrugere, der midlertidigt logger ind med deres godkendelsesoplysninger fra identitetsudbyderen på delte Mac-computere.
Bemærk: De fleste funktioner kræver, at de understøttes af SSO-udvidelsen. Se dokumentationen fra din identitetsudbyder, hvis du vil læse mere om implementering af Log ind i et trin på platform i din organisation.
Krav
En Mac med Apple Silicon eller en Intel-baseret Mac med Touch ID
En tjeneste til enhedsadministration, der understøtter konfigurationen Extensible Single Sign-on (udbredt log ind i et trin), som inkluderer indstillinger til Log ind i et trin på platform
En app, som indeholder en udvidelse til Log ind i et trin på platform, der er kompatibel med identitetsudbyderen
macOS 13 og nyere versioner
Følgende funktioner har yderligere versionskrav:
Funktion | Min. understøttet operativsystemversion | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Godkendt gæstefunktion | macOS 26 | ||||||||||
Tryk for at logge ind | macOS 26 | ||||||||||
Log ind i et trin på platform under automatisk enhedstilmelding | macOS 26 | ||||||||||
UPN-præfiks som lokalt kontonavn | macOS 15.4 | ||||||||||
Attestering for enheds-id’er | macOS 15.4 | ||||||||||
Loginregler | macOS 15 | ||||||||||
Oprettelse af konto efter behov | macOS 14 | ||||||||||
Gruppeadministration og netværksgodkendelse | macOS 14 | ||||||||||
Log ind i et trin på platform i Systemindstillinger | macOS 14 | ||||||||||
Indstilling af Log ind i et trin på platform
Hvis du vil bruge Log ind i et trin på platform, skal Mac-computeren og hver bruger registrere sig hos identitetsudbyderen (IdP). Afhængigt af IdP-understøttelse og den anvendte konfiguration kan Mac udføre registrering af enheden i baggrunden vha.:
Et registreringstoken, der leveres i konfigurationen til enhedsadministration
En attestering, der giver stærk forsikring om enheds-id’er (UDID og serienummer)
Log ind i et trin på platform understøtter delte enhedsnøgler, så der kan opretholdes en godkendt forbindelse til identitetsudbyderen uafhængigt af brugeren. Sørg for at bruge delte enhedsnøgler, når det er muligt, da de kræves til funktioner som Log ind i et trin på platform under Automatisk enhedstilmelding, oprettelse af brugerkonti efter behov baseret på oplysninger fra identitetsudbyderen, netværksgodkendelse og Godkendt gæstefunktion.
Når registrering af enheden er gennemført, registrerer brugeren sig (medmindre brugerkontoen benytter Godkendt gæstefunktion). Hvis identitetsudbyderen kræver det, kan brugerregistrering indebære, at brugeren bliver bedt om at bekræfte sin registrering. Brugerregistrering udføres automatisk i baggrunden for lokale brugerkonti, som Log ind i et trin på platform opretter efter behov.
Bemærk: Hvis du framelder en Mac fra tjenesten til enhedsadministration, fjernes dens registrering hos identitetsudbyderen også.
Godkendelsesmetoder
Log ind i et trin på platform understøtter forskellige godkendelsesmetoder med en identitetsudbyder. Understøttelsen af hver af dem afhænger af identitetsudbyderen og udvidelsen til Log ind i et trin på platform.
Adgangskode: Med denne metode godkender en bruger med en lokal kode eller en identitetsudbyderadgangskode. Den understøtter også WS-Trust, som gør det muligt for brugeren at godkende, selv når brugerens konto administreres af en identitetsudbyder, der er placeret i organisationsnetværket.
Secure Enclave-baseret nøgle: Med denne metode kan en bruger, der logger ind på deres Mac, bruge en Secure Enclave-baseret nøgle til at godkende med identitetsudbyder uden en adgangskode. Identitetsudbyderen indstiller Secure Enclave-nøglen under processen med brugerregistrering.
Smart card: Med denne metode godkender en bruger med identitetsudbyderen vha. et Smart Card. Hvis du vil bruge denne metode, skal du:
Registrere det relevante Smart Card hos identitetsudbyderen.
Konfigurere Smart Card-attributoverførsel på Mac-computeren.
Du kan få flere oplysninger og se et eksempel på konfiguration af attributoverførsel på man-siden til Smart Card Services-projektet.
Adgangsnøgle: Med denne metode benytter brugerne et kort, der opbevares i Apple Wallet, til at godkende med identitetsudbyderen. Ligesom et Smart Card skal adgangsnøglen registreres hos identitetsudbyderen.
Nogle funktioner, f.eks. oprettelse af brugerkonti efter behov, kræver, at du bruger en bestemt godkendelsesmetode.
Funktion | Adgangskode | Secure Enclave-baseret nøgle | Smart Card | Adgangsnøgle | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gruppeadministration |  | | | | |||||||
Automatisk enhedstilmelding | | | |  | |||||||
Godkendt gæstefunktion | | | | | |||||||
Oprettelse af konto efter behov | | | | | |||||||
Synkronisering af adgangskode | | | | | |||||||
Bemærk: SSO-udvidelsen skal understøtte den ønskede metode for at kunne udføre registreringen. Skift til andre metoder understøttes også. Når der f.eks. oprettes en ny brugerkonto under login med et brugernavn og en adgangskode, kan denne konto derefter skifte til at bruge en Secure Enclave–baseret nøgle eller et Smart Card, når login er gennemført.
Log ind i et trin på platform under automatisk enhedstilmelding
Organisationer kan aktivere og gennemtvinge Log ind i et trin på platform under brug af Indstillingsassistent med Automatisk enhedstilmelding. Dette er en mulighed for enheder med en enkelt bruger, fordi brugeren, der godkender tilmeldingen, automatisk får oprettet en lokal konto og kan bruge Log ind i et trin med understøttede lokale apps og webapps med det samme.
Sådan fungerer processen:
macOS anmoder om tilmelding og informerer tjenesten til enhedsadministration om, at Log ind i et trin på platform under tilmelding understøttes.
Tjenesten til enhedsadministration returnerer en 403-fejl, der indeholder oplysninger om, hvor du kan finde konfigurationen til Log ind i et trin og pakken, der indeholder en app med SSO-udvidelsen.
macOS henter og installerer udvidelsen og konfigurationen til Log ind i et trin på platform.
macOS konfigurerer Log ind i et trin på platform og udfører en enhedsregistrering. Hvis attestering er konfigureret, udføres registreringen i baggrunden. Derefter beder macOS brugeren om at godkende med sin identitetsudbyder vha. en af de metoder, der er nævnt tidligere, for at udføre brugerregistreringen. Brugere kan ikke fortsætte, før registrering til Log ind i et trin på platform er gennemført.
Identitetsudbyderen håndterer godkendelsen.
Når godkendelsen er færdig, returnerer identitetsudbyderen et bearer-token til macOS.
macOS bruger bearer-tokenet til at godkende tilmelding til tjenesten til enhedsadministration. Hvis den er placeret i organisationsnetværket med den samme identitetsudbyder, kan macOS sørge for, at brugeren logges ind på sin administrerede Apple-konto, uden at brugeren skal skrive sine godkendelsesoplysninger igen. Dette fungerer kun, hvis vinduet Indstillingsassistent til iCloud er synligt for brugeren.
macOS opretter en lokal konto, og enten synkroniseres adgangskoden med identitetsudbyderen, eller også indstiller brugeren en lokal adgangskode (når Log ind i et trin på platform bruger en Secure Enclave-baseret nøgle). Hvis det er nødvendigt, kan du håndhæve krav til den lokale adgangskodes kompleksitet vha. kodekonfigurationen.
Hvis det er konfigureret, kan macOS derefter synkronisere profilbilledet, den lokale konto viser ved login, fra identitetsudbyderen.
Du kan bruge Log ind i et trin på platform under Automatisk enhedstilmelding med en gennemtvunget softwareopdatering. I så fald skal tjenesten til enhedsadministration først gennemtvinge opdateringen.
Hvis den brugerkonto, som macOS opretter, er den eneste på Mac-computeren, bliver den en administratorkonto. Hvis tjenesten til enhedsadministration oprettede en administratorkonto vha. kommandoen til kontokonfiguration, kan du tildele brugerkontoen forskellige rettigheder vha. gruppeadministration til Log ind i et trin på platform.
Log ind i et trin
Eftersom Log ind i et trin på platform er en del af Extensible SSO, har den de samme funktioner til Log ind i et trin og giver brugerne mulighed for at logge ind én gang og derefter bruge det token, der leveres ved den første godkendelse, til at godkende i understøttede lokale apps og webapps.
Hvis der mangler tokens, hvis de er udløbet, eller hvis de er mere end fire timer gamle, forsøger Log ind i et trin på platform at opdatere dem eller at hente nye fra identitetsudbyderen. Du kan også indstille en varighed i sekunder (minimum 1 time), før Log ind i et trin på platform kræver en fuld loginhandling i stedet for en opdatering af tokens. Som standard kræves der en fuld loginhandling hver 18. time.
Log ind i et trin på platform i Systemindstillinger
Når Log ind i et trin på platform er registreret, kan en bruger kontrollere status for brugerregistrering i Systemindstillinger > Brugere & grupper > [brugernavn]. Hvis det er nødvendigt, kan brugeren starte en reparation af registreringen og gennemtvinge en opdatering af sit godkendelsestoken.
Status for enhedsregistrering vises i Brugere & grupper > Server til netværkskonto og giver også mulighed for at udføre en reparation.
Synkronisering af adgangskode og loginregler
Hvis du bruger metoden til godkendelse med adgangskode, synkroniseres den lokale brugeradgangskode automatisk med identitetsudbyderen, hver gang en bruger ændrer sin adgangskode enten lokalt eller eksternt. Hvis det er nødvendigt, beder macOS brugeren om at oplyse den tidligere adgangskode.
Som standard kræves adgangskoden til den lokale konto for at låse op for FileVault og låseskærmen samt i loginvinduet. Hvis den indtastede adgangskode ikke svarer til adgangskoden til den lokale brugerkonto, forsøger macOS at oprette forbindelse til identitetsudbyderen for at udføre en godkendelse i realtid. Hvis macOS ikke kan oprette forbindelse til identitetsudbyderen, eller hvis den indtastede adgangskode ikke svarer til den adgangskode, som identitetsudbyderen har gemt, mislykkes godkendelsen.
Med loginregler kan du tillade, at den aktuelle kontoadgangskode fra identitetsudbyderen bruges med det samme ved disse tre anmodninger. Du kan også indstille følgende regler individuelt for FileVault, låseskærmen og loginvinduet:
Forsøg godkendelse.
Hvis det er konfigureret, gøres der et forsøg på godkendelse i realtid med identitetsudbyderen.
Hvis Mac-computeren er online, kræver det en gennemført godkendelse med identitetsudbyderen, før der kan fortsættes, selv når Mac-computeren er offline efter det første forsøg.
Hvis godkendelsen gennemføres, opdaterer Log ind i et trin på platform den lokale adgangskode.
Hvis Mac-computeren er offline, kan brugeren bruge sin adgangskode til den lokale konto.
Kræv godkendelse.
Hvis det er konfigureret, kræver det godkendelse i realtid med identitetsudbyderen, før der kan fortsættes.
Hvis Mac-computeren er online, kræver det en gennemført godkendelse med identitetsudbyderen, før der kan fortsættes, uanset om der er konfigureret en forsinkelsestid for offlinebrug.
Hvis godkendelsen gennemføres, opdaterer Log ind i et trin på platform den lokale adgangskode.
Hvis Mac er offline, kan brugerne ikke logge ind. I sådanne situationer kan du slå en forsinkelsestid for offlinebrug til og indstille det antal dage efter et tidligere gennemført login, hvor brugeren stadig kan bruge adgangskoden til den lokale konto.
Du kan definere, om alle konti, der logger ind på Mac-computeren, skal administreres af Log ind i et trin på platform, eller om det stadig er tilladt at logge ind med konti, der kun er lokale. Det er også muligt at definere, at der skal gå et antal dage, efter at reglen anvendes eller opdateres, før denne indstilling skal håndhæves. Dette tillader midlertidig brug af lokale konti. Du kan f.eks. midlertidigt bruge en administratorkonto, der er oprettet af tjenesten til enhedsadministration, til at udføre eller reparere enhedsregistreringen til Log ind i et trin på platform.
I stedet for godkendelse i realtid kan du også gøre det muligt for brugerne at bruge Touch ID eller Apple Watch på låseskærmen.
Hvis det er nødvendigt, kan lokale konti (som defineret af dig) undtages fra loginregler, så de ikke bliver anmodet om at registrere sig til Log ind i et trin på platform.
Gruppeadministration og netværksgodkendelse
Log ind i et trin på platform tilbyder detaljeret rettighedsadministration, så brugerne får netop de rettigheder, de har brug for på deres Mac. For at opnå dette kan Log ind i et trin på platform anvende følgende rettigheder for en konto, hver gang brugeren godkender:
Standard: Kontoen får standardbrugerrettigheder.
Administrator: Føjer kontoen til den lokale administratorgruppe.
Grupper: Definer rettigheder efter gruppemedlemskab, som opdateres, hver gang brugeren godkender med identitetsudbyderen.
Når du bruger grupper, får en konto rettigheder baseret på medlemskab af følgende:
Administratorgrupper: Hvis kontoen er en del af en anført gruppe, har den lokal administratoradgang.
Godkendelsesgrupper: Hvis kontoen er en del af en gruppe, der er tildelt en indbygget eller specialdefineret godkendelsesrettighed, har kontoen rettigheder, der er knyttet til den pågældende gruppe. macOS bruger f.eks. følgende godkendelsesrettigheder:
system.preferences.datetime, som giver kontoen mulighed for at ændre tidsindstillinger.system.preferences.energysaver, som giver kontoen mulighed for at ændre indstillinger til energibesparelse.system.preferences.network, som giver kontoen mulighed for at ændre netværksindstillinger.system.preferences.printing, som giver kontoen mulighed for at tilføje eller fjerne printere.
Yderligere grupper: Specialdefinerede grupper til macOS eller bestemte apps, som macOS opretter automatisk i det lokale bibliotek (hvis de ikke allerede findes). Du kan f.eks. bruge en ekstra gruppe i
sudo-konfigurationen til at defineresudo-adgang.
Netværksgodkendelse
Log ind i et trin på platform udvider brugen af godkendelsesoplysninger fra identitetsudbyderen til brugere, der ikke har en lokal konto på Mac-computeren, med henblik på godkendelse. Disse konti bruger de samme grupper som gruppeadministration. Hvis kontoen f.eks. er medlem af en af administratorgrupperne, kan den udføre anmodninger om administratorgodkendelse. Du skal konfigurere Log ind i et trin på platform med delte enhedsnøgler for at kunne bruge denne funktionalitet.
Netværksgodkendelse er ikke mulig med anmodninger om godkendelse, der kræver et sikkert token, ejerskabstilladelser eller godkendelse fra den bruger, der er logget ind i øjeblikket.
Oprettelse af konto efter behov
For at forenkle kontoadministration i implementeringer med delte enheder kan brugerne bruge deres brugernavn og adgangskode fra identitetsudbyderen eller et Smart Card til at logge ind på en Mac for at oprette en lokal konto.
Du kan få en fuldt automatiseret klargøringsproces ved at bruge Automatisk enhedstilmelding med Automatisk fremrykning. Du skal oprette den første lokale administratorkonto vha. en tjeneste til enhedsadministration og udføre registrering af Log ind i et trin på platform i baggrunden.
Brug af oprettelse af konto efter behov kræver følgende:
Tilmeld Mac-computeren til en tjeneste til enhedsadministration, der understøtter Bootstrap Tokens.
Tilføj følgende: en SSO-udvidelseskonfiguration med Log ind i et trin på platform, delte enhedsnøgler og mulighed for at oprette en bruger ved login.
Gennemfør Indstillingsassistent, og opret en lokal administratorkonto.
Sørg for, at Mac-computeren viser loginvinduet med FileVault låst op, og at den har en netværksforbindelse.
Du kan bruge en valgfri konfigurationsmulighed til at definere, hvilken egenskab fra identitetsudbyderen der skal bruges til det lokale kontonavn (kaldes også brugerens korte navn) og det fulde navn. Administratorer kan også indstille nøglen til kontonavnet til com.apple.PlatformSSO.AccountShortName for at bruge UPN-præfikset.
Du kan også definere, hvilke rettigheder der skal anvendes til nyligt oprettede konti ved login. De samme muligheder til gruppeadministration er tilgængelige:
Standard: Kontoen får standardbrugerrettigheder.
Administrator: Føjer kontoen til den lokale administratorgruppe.
Grupper: Definer rettigheder efter gruppemedlemskab, som opdateres, hver gang brugeren godkender med identitetsudbyderen.
Godkendt gæstefunktion
Godkendt gæstefunktion giver en hurtigere loginproces i implementeringer med delte enheder, f.eks. på lægeklinikker eller skoler, hvor forskellige brugere ikke behøver at få oprettet en lokal konto, fordi de bare skal logge ind med deres godkendelsesoplysninger fra identitetsudbyderen i en kort periode. Som standard får brugeren standardbrugerrettigheder, men du kan ændre rettighederne vha. gruppeadministration til Log ind i et trin på platform.
Hvis du vil bruge denne funktion, gælder de samme krav som ved oprettelse af konto efter behov, men i stedet for at vælge at oprette en bruger ved login, skal du konfigurere Godkendt gæstefunktion.
Når en bruger logger ud, sletter macOS alle lokale data for den pågældende konto, og den delte Mac er klar til næste bruger.
Tryk for at logge ind
Tryk for at logge ind udvider funktionaliteten til digitale godkendelsesoplysninger fra Apple Wallet til macOS. I de senere år er organisationer begyndt at bruge digitale adgangskort i Apple Wallet, så brugere nemt kan låse døre op med en iPhone eller et Apple Watch uden at skulle bruge det fysiske adgangskort. Den samme oplevelse er tilgængelig på en Mac.
Denne godkendelsesmetode er særligt nyttig for organisationer, der deler en Mac mellem flere brugere, herunder uddannelsesinstitutioner, butikker og sundhedsinstitutioner.
Med Tryk for at logge ind kan brugerne godkende på en Mac, der er konfigureret til Godkendt gæstefunktion, ved at holde deres iPhone eller Apple Watch mod en tilsluttet NFC-læser. Dette starter en sikker proces til Log ind i et trin, som automatisk godkender brugerne til deres apps og websteder, så de hurtigt kan logge ind og komme i gang.
Brugernes godkendelsesoplysninger klargøres som adgangsnøgler i et Apple Wallet-kort via en iPhone-app eller browser. Disse adgangsnøgler opbevares i enhedens Secure Enclave, så de bliver hardwarebaserede og krypterede, hvilket er med til at beskytte mod forsøg på manipulation eller uddragelse. Funktionen Ekspresfunktion gør det endnu nemmere, fordi brugerne kan godkende med det samme uden at skulle låse deres enhed op eller afbryde vågeblus. Det fungerer på samme måde som rejsekort Apple Wallet.
Hvis du vil implementere funktionen Tryk for at logge ind, skal en Mac være:
Konfigureret til Godkendt gæstefunktion
Udstyret med en understøttet ekstern NFC-læser
Oprettelse og administration af adgangsnøgler kræver deltagelse i Apple Wallet Access Program. Du kan få flere oplysninger om, hvordan du opretter en adgangsnøgle, i Provisioning i Apple Wallet Access Program Guide.