Plattformübergreifende Gesamtauthentifizierung für macOS
Mit der plattformübergreifenden Gesamtauthentifizierung (Platform Single Sign-on, Platform SSO) kannst du (oder ein Entwicklungsteam, das sich auf Identitätsmanagement spezialisiert hat) SSO-Erweiterungen erstellen, die es Benutzer:innen ermöglichen, den Account deiner Organisation von einem Identitätsanbieter auf einem Mac während der ersten Konfiguration zu verwenden.
Funktionen
Die plattformübergreifende Gesamtauthentifizierung unterstützt die folgenden Funktionen:
Aktiviere und setze Plattform-SSO während der automatisierten Geräteregistrierung durch, um die Registrierung zu authentifizieren, die Anmeldung mit einem verwalteten Apple Account durchzuführen und einen lokalen Benutzeraccount zu erstellen.
Stelle eine Gesamtauthentifizierung für native und Web-Apps bereit.
Erhalte Informationen zu Plattform-SSO in den Systemeinstellungen.
Synchronisiere Passwörter lokaler Benutzeraccounts mit dem Identitätsanbieter und definiere Anmelderegeln.
Definiere Gruppenberechtigungen von Identitätsanbieter-Accounts und erlaube Personen, bei Bestätigungsaufforderungen nur netzwerkspezifische Identitätsanbieter-Accounts zu verwenden.
Erstelle lokale Benutzeraccounts auf Abruf, wenn die Anmeldung mit den Anmeldeinformationen eines Identitätsanbieter-Accounts erfolgt.
Unterstütze Gastbenutzeraccounts, die sich vorübergehend mit den Anmeldeinformationen ihres Identitätsanbieters auf geteilten Mac-Computern anmelden.
Hinweis: Die meisten Funktionen erfordern Unterstützung durch die SSO-Erweiterung. Weitere Informationen zur Implementierung der plattformübergreifenden Gesamtauthentifizierung (Platform SSO) in deiner Organisation findest du in der Dokumentation deines Identitätsanbieters.
Voraussetzungen
Ein Mac mit Apple Chips oder ein Intel-basierter Mac mit Touch ID
Ein Geräteverwaltungsdienst, der die Konfiguration „Erweiterbare Gesamtauthentifizierung“ unterstützt, die Einstellungen für Plattform-SSO enthält.
Eine App mit einer Plattform-SSO-Erweiterung, die mit dem Identitätsanbieter kompatibel ist
macOS 13 (oder neuer)
Für die folgenden Funktionen gelten zusätzliche Versionsanforderungen:
Funktionalität | Mindestens unterstützte Betriebssystemversion | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Authentifizierter Gastmodus | macOS 26 | ||||||||||
Zum Anmelden tippen | macOS 26 | ||||||||||
Platform-SSO während der automatischen Geräteregistrierung | macOS 26 | ||||||||||
UPN-Präfix als lokalen Accountnamen verwenden | macOS 15.4 | ||||||||||
Beglaubigung für Geräte-IDs | macOS 15.4 | ||||||||||
Anmelderichtlinien | macOS 15 | ||||||||||
Accounterstellung auf Abruf | macOS 14 | ||||||||||
Gruppenverwaltung und Netzwerkautorisierung | macOS 14 | ||||||||||
Plattform-SSO in den Systemeinstellungen | macOS 14 | ||||||||||
Plattform-SSO-Konfiguration
Um Plattform-SSO zu verwenden, müssen sich der Mac und die entsprechende Person beim Identitätsanbieter registrieren. Abhängig von der Identitätsanbieter-Unterstützung und der angewendeten Konfiguration kann der Mac die Geräteregistrierung still im Hintergrund ausführen. Dafür ist Folgendes notwendig:
Ein Registrierungstoken, das in der Geräteverwaltungskonfiguration bereitgestellt wird
Eine Beglaubigung, die eine starke Bestätigung für Geräte-IDs (UDID und Seriennummer) bereitstellt
Um eine vertrauenswürdige Verbindung zum Identitätsanbieter unabhängig von Benutzer:innen aufrechtzuerhalten, unterstützt Plattform-SSO geteilte Geräteschlüssel. Verwende geteilte Geräteschlüssel, wann immer dies möglich ist, da sie für Funktionen wie Plattform-SSO während der automatisierten Geräteregistrierung, die Erstellung von Benutzeraccounts auf Abruf basierend auf Informationen des Identitätsanbieters, Netzwerkautorisierung und den authentifizierten Gastmodus erforderlich sind.
Nach der erfolgreichen Geräteregistrierung registriert sich die Person (es sei denn, der Benutzeraccount verwendet den authentifizierten Gastmodus). Wenn der Identitätsanbieter dies verlangt, kann die Benutzerregistrierung eine Aufforderung an die Person enthalten, die Registrierung zu bestätigen. Bei lokalen Benutzeraccounts, die Plattform-SSO auf Abruf erstellt, erfolgt die Benutzerregistrierung automatisch im Hintergrund.
Hinweis: Wenn ein Mac nicht mehr beim Geräteverwaltungsdienst registriert ist, ist er auch nicht mehr beim Identitätsanbieter registriert.
Authentifizierungsmethoden
Plattform-SSO unterstützt verschiedene Authentifizierungsmethoden mit einem Identitätsanbieter. Die Unterstützung der jeweiligen Methode hängt vom Identitätsanbieter und der Plattform-SSO-Erweiterung ab.
Passwort: Bei dieser Methode authentifiziert sich ein Benutzer mit einem lokalen Passwort oder einem Passwort des Identitätsanbieters. Sie unterstützt außerdem WS-Trust, wodurch sich Personen auch dann authentifizieren können, wenn der Identitätsanbieter, der ihren Account verwaltet, föderiert ist.
Secure Enclave-basierter Schlüssel: Bei dieser Methode kann ein Benutzer, der sich bei seinem Mac anmeldet, einen Secure Enclave–basierten Schlüssel verwenden, um sich mit dem Identitätsanbieter ohne Passwort zu authentifizieren. Der Identitätsanbieter richtet den Secure Enclave-Schlüssel während der Benutzerregistrierung ein.
Smart Card: Bei dieser Methode authentifizieren sich Benutzer:innen mit dem Identitätsanbieter, indem sie eine Smart Card verwenden. Um diese Methode zu verwenden, muss:
Die Smart Card beim Identitätsanbieter registriert sein
Die Smartcard-Attributzuordnung auf dem Mac konfiguriert sein
Weitere Informationen und eine Beispielkonfiguration der Attributzuordnung findest du in der man-Seite für das Smart Card Services-Projekt.
Zugriffsschlüssel: Bei dieser Methode verwenden Benutzer:innen eine Karte, die in Apple Wallet gespeichert ist, um sich beim Identitätsanbieter zu authentifizieren. Ähnlich wie bei einer Smart Card muss der Zugriffsschlüssel beim Identitätsanbieter registriert sein.
Für bestimmte Funktionen wie das Erstellen von Benutzeraccounts auf Abruf muss eine bestimmte Authentifizierungsmethode verwendet werden.
Funktionalität | Passwort | Secure Enclave-basierter Schlüssel | Smart Card | Zugriffsschlüssel | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gruppenverwaltung |  | | | | |||||||
Automatische Geräteregistrierung | | | |  | |||||||
Authentifizierter Gastmodus | | | | | |||||||
Accounterstellung auf Abruf | | | | | |||||||
Passwortsynchronisierung | | | | | |||||||
Hinweis: Die Plattform-SSO-Erweiterung muss die angeforderte Methode unterstützen, um die Registrierung durchzuführen. Das Wechseln von Methoden wird ebenfalls unterstützt. Wenn beispielsweise während der Anmeldung mit einem Benutzernamen und Passwort ein neuer Benutzeraccount erstellt wird, kann dieser Account nach erfolgreicher Anmeldung auf die Verwendung eines Secure Enclave-basierten Schlüssels oder einer Smart Card umstellen.
Platform-SSO während der automatischen Geräteregistrierung
Organisationen können Plattform-SSO während des Systemassistenten mit der automatischen Geräteregistrierung aktivieren und durchsetzen. Dies ist eine Option für Geräte, die nur von einer Person verwendet werden, da für die Person, die die Registrierung authentifiziert, automatisch ein lokaler Account erstellt wird und sie SSO sofort mit unterstützten nativen Apps und Web-Apps verwenden kann.
Der Vorgang funktioniert wie folgt:
macOS fordert die Registrierung an und meldet dem Geräteverwaltungsdienst, dass Plattform-SSO während der Registrierung unterstützt wird.
Der Geräteverwaltungsdienst gibt den Fehler 403 zurück, der Informationen darüber enthält, wo die SSO-Konfiguration und das Paket, das eine App mit der SSO-Erweiterung enthält, zu finden sind.
macOS lädt die Plattform-SSO-Erweiterung und -konfiguration und installiert sie.
macOS konfiguriert Plattform-SSO und führt eine Geräteregistrierung durch. Wenn eine Beglaubigung konfiguriert ist, erfolgt die Registrierung still im Hintergrund. Anschließend fordert macOS die Person auf, sich mit ihrem Identitätsanbieter zu authentifizieren, um die Benutzerregistrierung durchzuführen. Ohne erfolgreiche Plattform-SSO-Registrierung können Benutzer:innen nicht fortfahren.
Der Identitätsanbieter übernimmt die Authentifizierung.
Nach erfolgreicher Authentifizierung sendet der Identitätsanbieter ein Inhaber-Token an macOS zurück.
macOS verwendet das Inhaber-Token, um die Registrierung im Geräteverwaltungsdienst zu authentifizieren, und kann, falls eine Föderation zum selben Identitätsanbieter besteht, die Benutzer:innen bei ihrem verwalteten Apple Account anmelden, ohne dass die Anmeldeinformationen erneut eingegeben werden müssen. Damit dies funktioniert, muss der Bereich „iCloud-Systemassistent“ für die Person sichtbar sein.
macOS erstellt einen lokalen Account und das Passwort wird entweder mit dem Identitätsanbieter synchronisiert oder die Person legt ein lokales Passwort fest (wenn Plattform-SSO einen Secure Enclave–basierten Schlüssel verwendet). Bei Bedarf kannst du mit der Code-Konfiguration Anforderungen an die Komplexität des lokalen Passworts festlegen.
Wenn dies konfiguriert ist, kann macOS dann das lokale Anmeldeprofilbild vom Identitätsanbieter synchronisieren.
Du kannst Plattform-SSO während der automatischen Geräteregistrierung mit einem erzwungenen Softwareupdate verwenden. In diesem Fall muss der Geräteverwaltungsdienst zuerst das Update durchsetzen.
Wenn der Benutzeraccount, den macOS erstellt, der einzige auf dem Mac ist, wird er zu einem Administratoraccount. Wenn der Geräteverwaltungsdienst einen Administratoraccount mithilfe des Befehls zur Accountkonfiguration erstellt hat, kannst du dem Benutzeraccount mithilfe der Plattform-SSO-Gruppenverwaltung andere Privilegien zuweisen.
Gesamtauthentifizierung (SSO)
Da Platform-SSO Teil von erweiterbares SSO ist, bietet es die gleichen Gesamtauthentifizierungsfunktionen und ermöglicht es Benutzer:innen, sich einmal anzumelden und dann das in der ursprünglichen Authentifizierung bereitgestellte Token zu verwenden, um sich bei unterstützten nativen und Web-Apps zu authentifizieren.
Wenn Token fehlen, abgelaufen oder älter als vier Stunden sind, versucht Plattform-SSO, sie zu aktualisieren oder neue vom Identitätsanbieter abzurufen. Zusätzlich kannst du eine Dauer in Sekunden (mindestens 1 Stunde) konfigurieren, bis Plattform-SSO eine vollständige Anmeldung anstelle einer Token-Aktualisierung erfordert. Standardmäßig ist alle 18 Stunden eine vollständige Anmeldung erforderlich.
Plattform-SSO in den Systemeinstellungen
Nachdem Plattform-SSO registriert wurde, kann eine Person den Registrierungsstatus unter „Systemeinstellungen“ > „Benutzer:innen & Gruppen“ > „[Benutzername]“ überprüfen. Bei Bedarf können sie eine Reparatur der Registrierung einleiten und eine Aktualisierung ihres Authentifizierungstokens erzwingen.
Der Registrierungsstatus des Geräts wird in „Benutzer:innen & Gruppen“ > „Netzwerkaccount-Server“ angezeigt und es besteht auch die Möglichkeit, eine Reparatur durchzuführen.
Richtlinien für Passwortsynchronisierung und Anmeldung
Wenn du die Authentifizierungsmethode mit Passwort verwendest, wird das lokale Benutzerpasswort automatisch mit dem Identitätsanbieter synchronisiert, wenn eine Person ihr Passwort lokal oder remote ändert. Bei Bedarf fordert macOS die Person auf, ihr vorheriges Passwort einzugeben.
Standardmäßig wird das lokale Accountpasswort zum Entsperren von FileVault, dem Sperrbildschirm und auf dem Anmeldefenster benötigt. Wenn das eingegebene Passwort nicht mit dem Passwort des lokalen Benutzeraccounts übereinstimmt, versucht macOS, den Identitätsanbieter zu erreichen, um eine Live-Authentifizierung durchzuführen. Wenn macOS den Identitätsanbieter nicht erreichen kann oder das eingegebene Passwort nicht mit dem vom Identitätsanbieter gespeicherten Passwort übereinstimmt, schlägt die Authentifizierung fehl.
Mit Anmelderegeln kannst du die Verwendung des aktuellen Accountpassworts vom Identitätsanbieter bei den folgenden drei Abfragen sofort erlauben. Du kannst auch die folgenden Richtlinien einzeln für FileVault, den Sperrbildschirm und das Anmeldefenster festlegen:
Authentifizierung versuchen.
Wenn dies konfiguriert ist, wird versucht, eine Live-Authentifizierung mit dem Identitätsanbieter durchzuführen.
Wenn der Mac online ist, ist eine erfolgreiche Authentifizierung beim Identitätsanbieter erforderlich, um fortzufahren, selbst wenn der Mac nach dem ersten Versuch offline ist.
Wenn die Authentifizierung erfolgreich ist, aktualisiert Plattform-SSO das lokale Passwort.
Wenn der Mac offline ist, kann die Person ihr lokales Accountpasswort verwenden.
Authentifizierung anfordern.
Wenn dies konfiguriert ist, ist zum Fortfahren eine Live-Authentifizierung mit dem Identitätsanbieter erforderlich.
Wenn der Mac online ist, ist zum Fortfahren eine erfolgreiche Authentifizierung beim Identitätsanbieter erforderlich, unabhängig davon, ob eine Offline-Schonfrist konfiguriert ist.
Wenn die Authentifizierung erfolgreich ist, aktualisiert Plattform-SSO das lokale Passwort.
Wenn der Mac offline ist, können sich Benutzer:innen nicht anmelden. In solchen Situationen kannst du eine Offline-Schonfrist aktivieren und sie auf die Anzahl der Tage nach einer vorherigen erfolgreichen Anmeldung festlegen, während der Benutzer:innen das lokale Accountpasswort weiterhin verwenden können.
Du kannst festlegen, ob jede Anmeldung am Mac von Plattform-SSO verwaltet werden muss oder ob die Anmeldung mit lokalen Accounts weiterhin erlaubt ist. Es ist auch möglich, die Frist (in Tagen) nach dem Anwenden oder Aktualisieren der Richtlinie festzulegen, bis diese Einstellung durchgesetzt wird. Dadurch wird die temporäre Verwendung lokaler Accounts erlaubt. Du kannst beispielsweise vorübergehend einen vom Geräteverwaltungsdienst erstellten Administratoraccount verwenden, um die Plattform-SSO-Geräteanmeldung durchzuführen oder zu reparieren.
Anstelle der Live-Authentifizierung kannst du auch erlauben, dass auf dem Sperrbildschirm Touch ID oder die Apple Watch verwendet werden kann.
Lokale Accounts (wie von dir definiert) können bei Bedarf von Anmelderichtlinien ausgenommen werden und müssen sich nicht für Plattform-SSO registrieren.
Gruppenverwaltung und Netzwerkautorisierung
Plattform-SSO bietet ein detailliertes Rechtemanagement, um Benutzer:innen die richtigen Zugriffsrechte auf ihrem Mac zu gewähren. Hierfür kann Plattform-SSO bei jeder Benutzeranmeldung die folgenden Berechtigungen auf einen Account anwenden:
Standard: Der Account erhält Standardbenutzerprivilegien.
Admin: Fügt den Account zur lokalen Administratorgruppe hinzu.
Gruppen: Definiere Privilegien nach Gruppenmitgliedschaft, die bei jeder Authentifizierung der Benutzer:innen mit dem Identitätsanbieter aktualisiert werden.
Wenn du Gruppen verwendest, erhält ein Account Zugriffsrechte basierend auf der Zugehörigkeit zu folgenden Gruppen:
Administratorgruppen: Wenn der Account zu einer aufgelisteten Gruppe gehört, verfügt er über lokalen Adminzugriff.
Autorisierungsgruppen: Wenn der Account zu einer Gruppe gehört, die einem integrierten oder selbst definierten Zugriffsrecht zugewiesen ist, hat der Account die mit dieser Gruppe verknüpften Zugriffsrechte. macOS verwendet beispielsweise die folgende Autorisierungsrechte:
system.preferences.datetime– erlaubt dem Account, die Zeiteinstellungen zu ändern.system.preferences.energysaver– erlaubt dem Account, die Einstellungen zum Energiesparen zu ändern.system.preferences.network– erlaubt dem Account, Netzwerkeinstellungen zu ändern.system.preferences.printing– erlaubt dem Account, Drucker hinzuzufügen oder zu entfernen.
Zusätzliche Gruppen: Eigene Gruppen für macOS oder bestimmte Apps, die von macOS automatisch im lokalen Verzeichnis erstellt werden (sofern sie noch nicht existieren). Du kannst beispielsweise eine zusätzliche Gruppe in der
sudo-Konfiguration verwenden, um densudo-Zugriff zu definieren.
Netzwerkautorisierung
Plattform-SSO weitet die Verwendung der Anmeldedaten von Identitätsanbietern für die Autorisierung auf Personen aus, die über keinen lokalen Benutzeraccount auf dem Mac verfügen. Diese Accounts verwenden dieselben Gruppen wie die Gruppenverwaltung. Wenn der Account beispielsweise Mitglied einer der Administratorgruppen ist, kann er in Dialogen für die macOS-Administratorautorisierung verwendet werden. Um diese Funktion zu verwenden, konfiguriere Plattform-SSO mit geteilten Geräteschlüsseln.
Die Netzwerkautorisierung ist nicht möglich, wenn für die Autorisierungsdialoge ein sicheres Token, Eigentümerberechtigungen oder eine Authentifizierung durch die aktuell angemeldete Person erforderlich sind.
Accounterstellung auf Abruf
Benutzer:innen können zur Ermöglichung der Accountverwaltung in Implementierungen mit geteilten Geräten den Benutzernamen und das Passwort ihres Identitätsanbieters oder eine Smart Card verwenden, um sich bei einem Mac anzumelden und einen lokalen Account zu erstellen.
Mit der automatischen Geräteregistrierung und der Funktion „Automatisch fortfahren“ kannst du einen vollständig automatisierten Bereitstellungsprozess erzielen. Du musst den ersten lokalen Administratoraccount mithilfe eines Geräteverwaltungsdienstes erstellen und eine stille Plattform-SSO-Registrierung durchführen.
Für die Accounterstellung auf Abruf müssen folgende Voraussetzungen erfüllt sein:
Registriere den Mac bei einem Geräteverwaltungsdienst, der Bootstrap Tokens unterstützt.
Füge Folgendes hinzu: eine SSO-Erweiterungskonfiguration mit Plattform-SSO, geteilte Geräteschlüssel und die Option, beim Anmelden einen Benutzeraccount zu erstellen.
Schließe den Systemassistenten ab und erstelle einen lokalen Administratoraccount.
Der Mac muss sich im Anmeldefenster befinden, FileVault muss entsperrt sein und eine Netzwerkverbindung muss bestehen.
Mit einer optionalen Konfigurationsoption kannst du festlegen, welches Attribut vom Identitätsanbieter für den lokalen Accountnamen (oft auch als Kurzname bezeichnet) und den vollständigen Namen verwendet werden soll. Admins können den Schlüssel für den Accountnamen auch auf com.apple.PlatformSSO.AccountShortName setzen, um das UPN-Präfix zu verwenden.
Zusätzlich kann festgelegt werden, welche Zugriffsrechte bei der Anmeldung auf neu erstellte Accounts angewendet werden sollen. Die gleichen Optionen für die Gruppenverwaltung sind verfügbar:
Standard: Der Account erhält Standardbenutzerprivilegien.
Admin: Fügt den Account zur lokalen Administratorgruppe hinzu.
Gruppen: Definiere Privilegien nach Gruppenmitgliedschaft, die bei jeder Authentifizierung der Benutzer:innen mit dem Identitätsanbieter aktualisiert werden.
Authentifizierter Gastmodus
Der authentifizierte Gastmodus bietet eine beschleunigte Anmeldeerlebnis für Implementierungen mit geteilten Geräten, wie z. B. Arztpraxen oder Schulen, bei denen für die verschiedenen Benutzer:innen kein lokaler Account erstellt werden muss, da sie sich nur für einen kurzen Zeitraum mit den Anmeldeinformationen ihres Identitätsanbieters anmelden müssen. Die Person erhält standardmäßig Standardbenutzerprivilegien, die du aber mit der Plattform-SSO-Gruppenverwaltung ändern kannst.
Zum Verwenden dieser Funktion gelten die gleichen Voraussetzungen wie für die Accounterstellung auf Abruf. Du verwendest aber nicht die Option, bei der Anmeldung einen Benutzeraccount zu erstellen, sondern du konfigurierst den authentifizierten Gastmodus.
Wenn sich eine Person abmeldet, löscht macOS alle lokalen Daten für diesen Account und der geteilte Mac ist bereit für die Anmeldung der nächsten Person.
Zum Anmelden tippen
Die Option zum Anmelden durch Tippen erweitert die digitale Anmeldefunktionalität von Apple Wallet auf macOS. In den letzten Jahren haben Organisationen digitale Ausweise in Apple Wallet eingeführt, mit denen Benutzer:innen Türen durch Tippen auf einem iPhone oder einer Apple Watch entsperren können, ohne dass ein physischer Ausweis erforderlich ist. Dieselbe Erfahrung ist auch auf einem Mac verfügbar.
Diese Authentifizierungsmethode ist besonders wertvoll für Organisationen, die einen Mac mit mehreren Personen teilen, einschließlich Bildungseinrichtungen, Einzelhandelsumgebungen und Gesundheitseinrichtungen.
Mit der Funktion zum Anmelden durch Tippen können sich Benutzer:innen auf einem Mac authentifizieren, der für den authentifizierten Gastmodus konfiguriert ist, indem sie ihr iPhone oder ihre Apple Watch an ein angeschlossenes NFC-Lesegerät halten. Hiermit wird ein sicherer, einmaliger Anmeldeprozess gestartet, der Benutzer:innen automatisch bei ihren Apps und Websites authentifiziert, sodass sie sich schnell anmelden und mit der Arbeit beginnen können.
Benutzeranmeldeinformationen werden als Zugriffsschlüssel als Apple Wallet-Karte über eine iPhone-App oder einen Browser bereitgestellt. Diese Zugriffsschlüssel werden in der Secure Enclave des Geräts gespeichert, wodurch sie hardwaregebunden, verschlüsselt und vor Manipulations- oder Extraktionsversuchen geschützt sind. Der Funktionsumfang des Expressmodus erhöht den Komfort, indem er eine sofortige Authentifizierung ohne Aktivierung oder Entsperren des Geräts ermöglicht, ähnlich wie bei ÖPNV-Karten in Apple Wallet.
Damit die Funktion zum Anmelden durch Tippen verwendet werden kann, muss ein Mac:
Für den authentifizierten Gastmodus konfiguriert sein
Mit einem unterstützten externen NFC-Lesegerät ausgestattet sein
Für die Erstellung und Verwaltung von Zugangsschlüsseln ist die Teilnahme am Apple Wallet Access Program erforderlich. Weitere Informationen zum Erstellen eines Zugriffsschlüssels findest du unter Provisioning im Apple Wallet Access Program Guide.