Plattformübergreifende Gesamtauthentifizierung für macOS
Mit der plattformübergreifenden Gesamtauthentifizierung (Platform Single Sign-on, Platform SSO) können Entwicklern SSO-Erweiterungen erstellen, die das macOS-Anmdeldefenster erweitern und es Benutzern damit ermöglichen, lokale Anmeldedaten mit einem Identitätsanbieter (Identity Provider, IdP) zu synchronisieren. Das lokale Account-Passwort wird automatisch synchronisiert, sodass das Cloud-Passwort und das lokale Passwort identisch sind. Darüber hinaus können Benutzer ihren Mac mit Touch ID und der Apple Watch entsperren.
Für die plattformübergreifende Gesamtauthentifizierung ist folgendes erforderlich:
macOS 13 (oder neuer)
Eine Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM), die die Payload „Erweiterbare Gesamtauthentfizierung“ unterstützt, die wiederum Unterstützung für die plattformübergreifende Gesamtauthentifizierung bietet
Der Identitätsanbieter muss das Authentifizierungsprotokoll für die plattformübergreifende Gesamtauthentifizierung unterstützen
Eine von zwei unterstützten Authentifizierungsmethoden:
Authentifizierung mit einem Secure Enclave-basierten Schlüssel: Bei dieser Methode kann ein Benutzer, der sich bei seinem Mac anmeldet, einen Secure Enclave–basierten Schlüssel verwenden, um sich mit dem Identitätsanbieter ohne Passwort zu authentifizieren. Der Secure Enclave-Schlüssel wird während des Registrierungsprozesses des Benutzer beim Identitätsanbieter konfiguriert.
Passwort-Authentifizierung: Bei dieser Methode authentifiziert sich ein Benutzer mit einem lokalen Passwort oder einem Passwort des Identitätsanbieters.
Hinweis: Wenn der Mac nicht mehr in der MDM-Lösung registriert ist, ist er auch nicht mehr beim Identitätsanbieter registriert.
WS-Trust-Föderierung
WS-Trust-Föderierung wird in macOS 13.3 (oder neuer) unterstützt. Dadurch kann die plattformübergreifende Gesamtauthentifizierung erfolgreich Benutzer authentifizieren, deren Account von einem mit Microsoft Entra ID föderierten Identitätsanbieter verwaltet wird.
Weitere Funktionen für die plattformübergreifende Gesamtauthentifizierung in macOS 14 (oder neuer)
Benutzerregistrierung und Registrierungsstatus in den Systemeinstellungen: Benutzer können ihr Gerät oder ihren Benutzeraccount in den Systemeinstellungen für die Verwendung der plattformübergreifenden Gesamtauthentifizierung registrieren. Darüber hinaus zeigt das Menüobjekt den aktuellen Registrierungsstatus an bietet höhere Transparenz für Benutzer, indem es auf eventuell vorliegende Fehler hinweist. Dadurch wissen Benutzer, ob die Registrierung erneut durchgeführt werden muss.
Erstellen lokaler Accounts durch Benutzer: Benutzer können zur Ermöglichung der Accountverwaltung in Implementierungen mit geteilten Geräten den Benutzernamen und das Passwort ihres Identitätsanbieters oder eine Smart Card verwenden, um sich bei einem Mac mit entsperrtem FileVault anzumelden und einen lokalen Account zu erstellen. Der neue Schlüssel
TokenToUserMappingkann verwendet werden, um festzulegen, welches vom Identitätsanbieter bereitgestellte Attribut für die Auswahl des lokalen Benutzernamens verwendet wird. Für die Verwendung dieser Funktion gelten die folgenden Voraussetzungen:Der Systemassistent muss abgeschlossen und ein erster lokaler Administratoraccount erstellt worden sein.
Geräte müssen bei einer MDM-Lösung registriert sein, die Bootstrap Token unterstützt.
Der Mac des Benutzer muss die Payload „Erweiterbare Gesamtauthentifizierung“ mit plattformübergreifender Gesamtauthentifizierung und den aktivierten Optionen
UseSharedDeviceKeysundEnableCreateUserAtLoginverwenden.Damit eine Smart Card unterstützt werden kann, muss die Smart Card bei einem Identitätsanbieter registriert und eine Smart Card-Attributzuordnung auf dem Mac konfiguriert sein.
Verwenden nicht-lokaler IdP-Benutzeraccounts in Authentifizierungsdialogen: Die plattformübergreifende Gesamtauthentifizierung weitet die Verwendung von IdP-Anmeldedaten für die Autorisierung auf Benutzer aus, die über keinen lokalen Benutzeraccount auf dem Mac verfügen. Diese Accounts verwenden dieselben Gruppen wie die Gruppenverwaltung. Wenn ein Benutzer beispielsweise Mitglied einer der Administratorgruppen ist, kann der Account in Dialogen für die macOS-Administratorauthentifizierung verwendet werden. Davon ausgeschlossen sind Authentifizierungsdialoge für die sichere Token, Eigentümerberechtigungen oder eine Authentifizierung durch den aktuell angemeldeten Benutzer erforderlich sind.
Aktualisieren der Gruppenmitgliedschaft von Benutzern bei der Authentifizierung mit ihrem Identitätsanbieter: Gruppenmitgliedschaften können verwendet werden, um Berechtigungen von IdP-Benutzern in macOS detailliert zu verwalten. Bei jeder Authentifizierung eines Benutzer mit dem Identitätsanbieter wird seine Gruppenmitgliedschaft aktualisiert. Für die Festlegung der Gruppenmitgliedschaft sind drei Array-Schlüssel verfügbar:
AdministratorGroups: Wenn der Benutzer Mitglied einer in diesem Array aufgeführten Gruppe ist, verfügt er über lokalen Administratorzugriff.
AuthorizationGroups: Bestimmte Gruppen, die für die Verwaltung von integrierten oder benutzerdefinierten Autorisierungsberechtigungen verwendet werden. Die Berechtigung wird allen Benutzern erteilt, die Teil der angegebenen Gruppe sind. So ermöglicht beispielsweise die Mitgliedschaft in einer Gruppe, die der Autorisierungsberechtigung
system.preferences.networkzugewiesen ist, die Änderung von Netzwerkeinstellungen. Die Mitgliedschaft in einer Gruppe mit der Autorisierungsberechtigungsystem.preferences.printingermöglicht Benutzern die Änderung von Druckereinstellungen.AdditionalGroups: Kann vom Betriebssystem verwendet werden, um beispielsweise den
sudo-Zugriff zu bestimmen. Wenn die Gruppe nicht existiert, wird sie durch einen Eintrag in diesem Array im lokalen Verzeichnis erstellt.