Log ind i et trin på platform til macOS
Oversigt
Med Log ind i et trin på platform (Platform SSO) kan du (eller en udvikler, som er specialiseret i identitetsadministration) bygge SSO-udvidelser, der giver brugerne mulighed for at bruge organisationens konto fra en IdP på en Mac under Indstillingsassistent. Log ind i et trin på platform kan kombineres med andre SSO-udvidelser med følgende overvejelser:
Et bestemt domæne kan kun håndteres af en enkelt SSO-udvidelse.
syncLocalPasswordskal indstilles tilfalsei konfigurationen af Kerberos SSO.
Funktioner
Log ind i et trin på platform understøtter følgende funktioner:
Aktiver og gennemtving Log ind i et trin på platform under automatisk enhedstilmelding for at godkende tilmeldingen, logge ind med en administreret Apple-konto og oprette en lokal bruger.
Tilbyd en proces til Log ind i et trin for lokale apps og webapps.
Se status og registreringsoplysninger for Log ind i et trin på platform i Systemindstillinger.
Synkroniser adgangskoder til lokale brugerkonti med identitetsudbyderen, og definer loginregler.
Definer gruppetilladelser til IdP-konti, og tillad, at personer bruger IdP-konti, som kun er til netværk, ved anmodninger om godkendelse.
Opret lokale brugerkonti efter behov, når der logges ind med godkendelsesoplysninger fra en IdP-konto.
Hjælp til gæstebrugere, der midlertidigt logger ind med deres godkendelsesoplysninger fra identitetsudbyderen på delte Mac-computere.
Bemærk: De fleste funktioner kræver, at de understøttes af SSO-udvidelsen. Se dokumentationen fra din identitetsudbyder, hvis du vil læse mere om implementering af Log ind i et trin på platform i din organisation.
Krav
En Mac med Apple Silicon eller en Intel-baseret Mac med Touch ID
En tjeneste til enhedsadministration, der understøtter konfigurationen Extensible Single Sign-on (udbredt log ind i et trin), som inkluderer indstillinger til Log ind i et trin på platform
En app, som indeholder en udvidelse til Log ind i et trin på platform, der er kompatibel med identitetsudbyderen
macOS 13 og nyere versioner
Følgende funktioner har yderligere versionskrav:
Funktion | Min. understøttet operativsystemversion | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Godkendt gæstefunktion | macOS 26 | ||||||||||
Tryk for at logge ind | macOS 26 | ||||||||||
Log ind i et trin på platform under automatisk enhedstilmelding | macOS 26 | ||||||||||
UPN-præfiks som lokalt kontonavn | macOS 15.4 | ||||||||||
Attestering for enheds-id’er | macOS 15.4 | ||||||||||
Loginregler | macOS 15 | ||||||||||
Oprettelse af konto efter behov | macOS 14 | ||||||||||
Gruppeadministration og netværksgodkendelse | macOS 14 | ||||||||||
Log ind i et trin på platform i Systemindstillinger | macOS 14 | ||||||||||
Indstil Log ind i et trin på platform
Hvis du vil bruge Log ind i et trin på platform, skal Mac-computeren og hver bruger registrere sig hos identitetsudbyderen (IdP). Afhængigt af IdP-understøttelse og den anvendte konfiguration kan Mac udføre registrering af enheden i baggrunden vha.:
Et registreringstoken fra identitetsudbyderen, der leveres i konfigurationen til SSO-udvidelsen
En attestering, der giver stærk forsikring om, at Mac-computeren er en original Apple-enhed, og som eventuelt kan indeholde enheds-id’er (UDID og serienummer).
Log ind i et trin på platform understøtter delte enhedsnøgler, så der kan opretholdes en godkendt forbindelse til identitetsudbyderen uafhængigt af brugeren. Sørg for at bruge delte enhedsnøgler, når det er muligt, da de kræves til automatisk enhedstilmelding, oprettelse af konti efter behov, netværksgodkendelse og Godkendt gæstefunktion
Når registrering af enheden er gennemført, registrerer brugeren sig, medmindre kontoen benytter Godkendt gæstefunktion. Hvis identitetsudbyderen kræver det, bliver brugeren muligvis bedt om at bekræfte sin registrering. Brugerregistrering udføres automatisk i baggrunden ved Log ind i et trin på platform, når det gælder lokale konti, der oprettes efter behov.
Bemærk: Hvis du framelder en Mac fra tjenesten til enhedsadministration, fjernes dens registrering hos identitetsudbyderen også.
Godkendelsesmetoder
Log ind i et trin på platform understøtter forskellige godkendelsesmetoder med en identitetsudbyder. Understøttelsen af hver af dem afhænger af identitetsudbyderen og udvidelsen til Log ind i et trin på platform.
Adgangskode: Med denne metode godkender en bruger med en lokal kode eller en identitetsudbyderadgangskode. Den understøtter også WS-Trust, som gør det muligt for brugeren at godkende, selv når brugerens konto administreres af en identitetsudbyder, der er placeret i organisationsnetværket.
Secure Enclave-baseret nøgle: Med denne metode kan en bruger, der logger ind på deres Mac, bruge en Secure Enclave-baseret nøgle til at godkende med identitetsudbyder uden en adgangskode. Identitetsudbyderen indstiller Secure Enclave-nøglen under processen med brugerregistrering.
Smart card: Med denne metode godkender en bruger med identitetsudbyderen vha. et Smart Card. Hvis du vil bruge denne metode, skal du:
Registrere det relevante Smart Card hos identitetsudbyderen.
Konfigurere Smart Card-attributoverførsel på Mac-computeren.
Du kan få flere oplysninger og se et eksempel på konfiguration af attributoverførsel på man-siden til Smart Card Services-projektet.
Adgangsnøgle: Med denne metode benytter brugerne et kort, der opbevares i Apple Wallet, til at godkende med identitetsudbyderen. Ligesom et Smart Card skal adgangsnøglen registreres hos identitetsudbyderen.
Nogle funktioner, f.eks. oprettelse af konti efter behov, kræver en bestemt godkendelsesmetode.
Funktion | Adgangskode | Secure Enclave-baseret nøgle | Smart Card | Adgangsnøgle | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gruppeadministration |  | | | | |||||||
Automatisk enhedstilmelding | | | |  | |||||||
Godkendt gæstefunktion | | | | | |||||||
Oprettelse af konto efter behov | | | | | |||||||
Synkronisering af adgangskode | | | | | |||||||
Bemærk: SSO-udvidelsen skal understøtte den ønskede metode for at kunne gennemføre registreringen. Du kan også skifte metode. F.eks. kan en konto, der er oprettet med et brugernavn og en adgangskode, ændres, så den bruger en Secure Enclave–baseret nøgle eller et Smart Card, når login er gennemført.
Log ind i et trin på platform med automatisk enhedstilmelding
Organisationer kan aktivere og gennemtvinge Log ind i et trin på platform under brug af Indstillingsassistent med Automatisk enhedstilmelding. Denne mulighed fungerer bedst til enheder med en enkelt bruger. macOS opretter automatisk en lokal konto til brugeren, der godkender tilmeldingen, og giver brugeren SSO-adgang til understøttede lokale apps og webapps med det samme.
Hvis det er konfigureret, henter og installerer macOS udvidelsen og konfigurationen til Log ind i et trin på platform. Det kan ske før selve tilmeldingen til tjenesten til enhedsadministration, som tillader godkendelse af tilmeldingen med SSO, eller efter tilmeldingen, når Mac-computeren venter på konfiguration. I løbet af denne proces udfører Mac-computeren en registrering af enheden enten i baggrunden eller ved at bede brugeren om det og beder brugeren om at godkende med sin identitetsudbyder for at udføre brugerregistreringen. Brugere kan ikke fortsætte, før registrering til Log ind i et trin på platform er gennemført.
Når godkendelsen er gennemført, opretter macOS en lokal konto, og enten synkroniseres adgangskoden med identitetsudbyderen, eller også indstiller brugeren en lokal adgangskode (når Log ind i et trin på platform bruger en Secure Enclave-baseret nøgle). Hvis det er nødvendigt, kan du håndhæve krav til den lokale adgangskodes kompleksitet vha. kodekonfigurationen.
Hvis det er konfigureret, kan macOS derefter synkronisere profilbilledet, den lokale konto viser ved login, fra identitetsudbyderen.
Du kan bruge Log ind i et trin på platform under Automatisk enhedstilmelding med en gennemtvunget softwareopdatering. I så fald skal tjenesten til enhedsadministration først gennemtvinge opdateringen.
Hvis den brugerkonto, som macOS opretter, er den eneste på Mac-computeren, bliver den en administratorkonto. Hvis tjenesten til enhedsadministration oprettede en administratorkonto vha. kommandoen til kontokonfiguration, kan du tildele brugerkontoen forskellige rettigheder vha. gruppeadministration til Log ind i et trin på platform.
Log ind i et trin
Eftersom Log ind i et trin på platform er en del af Extensible SSO, logger brugerne ind én gang og bruger derefter godkendelses-tokenet til at få adgang til understøttede lokale apps og webapps.
Hvis der mangler tokens, hvis de er udløbet, eller hvis de er mere end fire timer gamle, forsøger Log ind i et trin på platform at opdatere dem eller at hente nye fra identitetsudbyderen. Du kan også indstille, hvor længe (mindst en time i sekunder) der skal gå, før Log ind i et trin på platform kræver en fuld loginhandling i stedet for en opdatering af tokens. Standardværdien er 18 timer.
Log ind i et trin på platform i Systemindstillinger
Efter at have registreret sig med Log ind i et trin på platform kan brugere kontrollere deres status for registrering i Systemindstillinger > Brugere & grupper > [brugernavn]. Derfra kan brugerne reparere registreringen eller opdatere deres godkendelsestoken.
Status for enhedsregistrering vises i Brugere & grupper > Server til netværkskonto og giver også mulighed for at udføre en reparation.
Synkronisering af adgangskode og loginregler
Hvis du bruger metoden til godkendelse med adgangskode, synkroniseres den lokale brugeradgangskode automatisk med identitetsudbyderen, hver gang en bruger ændrer sin adgangskode enten lokalt eller eksternt. Hvis det er nødvendigt, beder macOS brugeren om at oplyse den tidligere adgangskode.
Som standard kræves adgangskoden til den lokale konto for at låse op for FileVault, låseskærmen og loginvinduet. Hvis den indtastede adgangskode ikke svarer til adgangskoden til den lokale brugerkonto, forsøger macOS at oprette forbindelse til identitetsudbyderen for at udføre en godkendelse i realtid. Hvis macOS ikke kan oprette forbindelse til identitetsudbyderen, eller hvis den indtastede adgangskode ikke svarer til den adgangskode, som identitetsudbyderen har gemt, mislykkes godkendelsen.
Med loginregler kan du tillade, at den aktuelle kontoadgangskode fra identitetsudbyderen bruges med det samme ved disse tre anmodninger. Du kan også indstille følgende regler individuelt for FileVault, låseskærmen og loginvinduet:
Forsøg godkendelse.
Hvis det er konfigureret, gøres der et forsøg på godkendelse i realtid med identitetsudbyderen.
Hvis Mac-computeren er online, kræver det en gennemført godkendelse med identitetsudbyderen, før der kan fortsættes, selv når Mac-computeren er offline efter det første forsøg.
Hvis godkendelsen gennemføres, opdaterer Log ind i et trin på platform den lokale adgangskode.
Hvis Mac-computeren er offline, kan brugeren bruge sin adgangskode til den lokale konto.
Kræv godkendelse.
Hvis det er konfigureret, kræver det godkendelse i realtid med identitetsudbyderen, før der kan fortsættes.
Hvis Mac-computeren er online, kræver det en gennemført godkendelse med identitetsudbyderen, før der kan fortsættes, uanset om der er konfigureret en forsinkelsestid for offlinebrug.
Hvis godkendelsen gennemføres, opdaterer Log ind i et trin på platform den lokale adgangskode.
Hvis Mac er offline, kan brugerne ikke logge ind. I sådanne situationer kan du slå en forsinkelsestid for offlinebrug til og indstille det antal dage efter et tidligere gennemført login, hvor brugeren stadig kan bruge adgangskoden til den lokale konto.
Du kan definere, om alle konti, der logger ind på Mac-computeren, skal administreres af Log ind i et trin på platform, eller om det stadig er tilladt at logge ind med konti, der kun er lokale. Du kan også indstille en frist (i dage), efter at reglen anvendes, før håndhævelse begynder. Dette tillader midlertidig brug af lokale konti. Du kan f.eks. midlertidigt bruge en administratorkonto, der er oprettet af tjenesten til enhedsadministration, til at udføre eller reparere enhedsregistreringen til Log ind i et trin på platform.
I stedet for godkendelse i realtid kan du også gøre det muligt for brugerne at bruge Touch ID eller Apple Watch på låseskærmen.
Hvis det er nødvendigt, kan lokale konti (som defineret af dig) undtages fra loginregler, så de ikke bliver anmodet om at registrere sig til Log ind i et trin på platform.
Gruppeadministration og netværksgodkendelse
Log ind i et trin på platform kan tilbyde detaljeret rettighedsadministration ved at anvende følgende rettigheder til en konto, hver gang brugeren godkender:
Standard: Kontoen får standardbrugerrettigheder.
Administrator: Føjer kontoen til den lokale administratorgruppe.
Grupper: Definer rettigheder efter gruppemedlemskab, som opdateres, hver gang brugeren godkender med identitetsudbyderen.
Når du bruger grupper, får en konto rettigheder baseret på medlemskab af følgende:
Administratorgrupper: Hvis kontoen er en del af en anført gruppe, har den lokal administratoradgang.
Godkendelsesgrupper: Hvis kontoen er en del af en gruppe, der er tildelt en indbygget eller specialdefineret godkendelsesrettighed, har kontoen rettigheder, der er knyttet til den pågældende gruppe. macOS bruger f.eks. følgende godkendelsesrettigheder:
system.preferences.datetime, som giver kontoen mulighed for at ændre tidsindstillinger.system.preferences.energysaver, som giver kontoen mulighed for at ændre indstillinger til energibesparelse.system.preferences.network, som giver kontoen mulighed for at ændre netværksindstillinger.system.preferences.printing, som giver kontoen mulighed for at tilføje eller fjerne printere.
Yderligere grupper: Specialdefinerede grupper til macOS eller bestemte apps, som macOS opretter automatisk i det lokale bibliotek (hvis de ikke allerede findes). Du kan f.eks. bruge en ekstra gruppe i
sudo-konfigurationen til at defineresudo-adgang.
Netværksgodkendelse
Log ind i et trin på platform giver brugere uden en lokal Mac-konto mulighed for at bruge deres godkendelsesoplysninger fra identitetsudbyderen til godkendelse. Disse konti bruger de samme grupper som gruppeadministration. Hvis kontoen f.eks. er medlem af en af administratorgrupperne, kan den udføre anmodninger om administratorgodkendelse. Du skal konfigurere Log ind i et trin på platform med delte enhedsnøgler for at kunne bruge denne funktionalitet.
Netværksgodkendelse er ikke mulig med anmodninger om godkendelse, der kræver et sikkert token, ejerskabstilladelser eller godkendelse fra den bruger, der er logget ind i øjeblikket.
Oprettelse af konto efter behov
I implementeringer med delte enheder kan brugerne logge ind med deres brugernavn og adgangskode fra identitetsudbyderen eller et Smart Card for automatisk at oprette en lokal konto.
Du kan få en fuldt automatiseret klargøringsproces ved at bruge Automatisk enhedstilmelding med Auto Advance. Du skal oprette den første lokale administratorkonto vha. en tjeneste til enhedsadministration og udføre registrering af Log ind i et trin på platform i baggrunden.
Brug af oprettelse af konto efter behov kræver følgende:
Tilmeld Mac-computeren til en tjeneste til enhedsadministration, der understøtter Bootstrap Tokens.
Tilføj følgende: en SSO-udvidelseskonfiguration med Log ind i et trin på platform, delte enhedsnøgler og mulighed for at oprette en bruger ved login.
Gennemfør Indstillingsassistent, og opret en lokal administratorkonto.
Sørg for, at Mac-computeren viser loginvinduet med FileVault låst op, og at den har en netværksforbindelse.
Du kan bruge en valgfri konfiguration til at angive, hvilken egenskab fra identitetsudbyderen der skal bruges til det lokale kontonavn (det korte navn) og det fulde navn. Administratorer kan også indstille nøglen til kontonavnet til com.apple.PlatformSSO.AccountShortName for at bruge UPN-præfikset.
Du kan også definere, hvilke rettigheder der skal anvendes til nyligt oprettede konti ved login. De samme muligheder til gruppeadministration er tilgængelige:
Standard: Kontoen får standardbrugerrettigheder.
Administrator: Føjer kontoen til den lokale administratorgruppe.
Grupper: Definer rettigheder efter gruppemedlemskab, som opdateres, hver gang brugeren godkender med identitetsudbyderen.
Godkendt gæstefunktion
Godkendt gæstefunktion giver en strømlinet loginproces i implementeringer med delte enheder, f.eks. på lægeklinikker eller skoler, hvor brugere logger ind midlertidigt med deres godkendelsesoplysninger fra identitetsudbyderen og ikke behøver at have en vedvarende lokal konto. Som standard får brugeren standardbrugerrettigheder, men du kan ændre rettighederne vha. gruppeadministration til Log ind i et trin på platform.
Kravene er de samme som ved oprettelse af konto efter behov, bortset fra at du konfigurerer Godkendt gæstefunktion i stedet for at vælge at oprette en bruger ved login.
Når en bruger logger ud, sletter macOS alle lokale data for den pågældende konto, og den delte Mac er klar til næste bruger.
Tryk for at logge ind
Tryk for at logge ind giver macOS understøttelse af digitale godkendelsesoplysninger fra Apple Wallet. Organisationer, der allerede bruger digitale adgangskort i Apple Wallet (så brugere kan låse døre op med en iPhone eller et Apple Watch), kan nu også logge ind på Mac på den måde.
Denne godkendelsesmetode er særligt nyttig for organisationer, der deler en Mac mellem flere brugere, herunder uddannelsesinstitutioner, butikker og sundhedsinstitutioner.
Med Tryk for at logge ind kan brugerne godkende på en Mac, der er konfigureret til Godkendt gæstefunktion, ved at holde deres iPhone eller Apple Watch mod en tilsluttet NFC-læser. Dette starter en sikker proces til Log ind i et trin, som automatisk godkender brugerne til deres apps og websteder, så de hurtigt kan logge ind og komme i gang.
Brugernes godkendelsesoplysninger klargøres som adgangsnøgler i et Apple Wallet-kort via en iPhone-app eller browser. Disse adgangsnøgler opbevares i enhedens Secure Enclave, så de bliver hardwarebaserede og krypterede, hvilket er med til at beskytte mod forsøg på manipulation eller uddragelse. Ekspresfunktion gør det muligt at godkende med det samme uden at skulle låse enheden op eller afbryde vågeblus. Det fungerer på samme måde som rejsekort Apple Wallet.
Hvis du vil implementere funktionen Tryk for at logge ind, skal en Mac være:
Konfigureret til Godkendt gæstefunktion
Udstyret med en understøttet ekstern NFC-læser
Oprettelse og administration af adgangsnøgler kræver deltagelse i Apple Wallet Access Program. Du kan få flere oplysninger om, hvordan du opretter en adgangsnøgle, i Provisioning i Apple Wallet Access Program Guide.