Inicio de sesión único de plataforma para macOS
Con el inicio de sesión único de la plataforma (SSO de plataforma), tú (o un desarrollador especializado en administración de identidad) puedes crear extensiones de SSO que permitan a los usuarios usar la cuenta de tu organización desde un IdP en una Mac durante la configuración inicial.
Funciones
El inicio de sesión único de plataforma es compatible con las siguientes funciones:
Activar y aplicar el SSO de plataforma durante la inscripción automatizada de dispositivos para autenticar la inscripción, iniciar sesión con una cuenta de Apple administrada y crear un usuario local.
Ofrecer una experiencia de inicio de sesión único para apps nativas y web.
Obtener información sobre el inicio de sesión único de plataforma en Configuración del Sistema.
Sincronizar las contraseñas de las cuentas de usuario locales con el IdP y definir las políticas de inicio de sesión.
Definir los permisos de grupo de las cuentas del IdP y permitir que las personas usen cuentas del IdP sólo de red en las peticiones de autorización.
Crear cuentas de usuario locales bajo demanda al iniciar sesión con credenciales de una cuenta de IdP.
Permitir que los usuarios invitados inicien inician sesión temporalmente con sus credenciales de IdP en computadoras Mac compartidas.
Nota: la mayoría de las funciones requieren compatibilidad con la extensión de SSO. Para obtener más información sobre cómo implementar el inicio de sesión único de plataforma en tu organización, consulta la documentación de tu proveedor de identidades.
Requisitos
Una Mac con Apple Chip o una Mac basada en Intel con Touch ID
Un servicio de administración de dispositivos compatible con la carga útil Inicio de sesión único ampliable, que incluye compatibilidad para el SSO de plataforma
Una app que contenga una extensión de SSO de plataforma compatible con el IdP
macOS 13 o posterior
Las siguientes funciones tienen requisitos de versión adicionales:
Característica | Versión de sistema operativo mínima compatible | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Modo de invitado autenticado | macOS 26 | ||||||||||
Toca para iniciar sesión | macOS 26 | ||||||||||
Inicio de sesión único de plataforma durante la inscripción de dispositivos automatizada | macOS 26 | ||||||||||
Prefijo UPN como nombre de cuenta local | macOS 15.4 | ||||||||||
Certificación para identificadores de dispositivo | macOS 15.4 | ||||||||||
Políticas de inicio de sesión | macOS 15 | ||||||||||
Creación de cuentas bajo demanda | macOS 14 | ||||||||||
Administración de grupos y autorización de red | macOS 14 | ||||||||||
Inicio de sesión único de plataforma en Configuración del Sistema | macOS 14 | ||||||||||
Configuración del SSO de plataforma
Para usar el SSO de plataforma, la Mac y cada usuario deben registrarse con el IdP. Dependiendo del soporte del IdP y la configuración aplicada, la Mac puede realizar el registro del dispositivo en segundo plano de forma silenciosa mediante:
Un identificador de registro proporcionado en la configuración de administración de dispositivos
Una certificación, que proporciona una garantía sólida sobre los identificadores del dispositivo (UDID y número de serie).
Para mantener una conexión confiable con el IdP independiente del usuario, el SSO de plataforma admite claves de dispositivos compartidos. Usa las llaves de dispositivos compartidos siempre que sea posible, ya que son necesarias para funciones como el inicio de sesión único de plataforma durante la inscripción automatizada de dispositivos, la creación de cuentas de usuario bajo demanda basada en información del IdP, la autorización de red y el modo de invitado autenticado.
Después de registrar el dispositivo correctamente, el usuario se registra (a menos que la cuenta de usuario esté usando el modo de invitado autenticado). Si el proveedor de identidades lo requiere, el registro del usuario puede incluir una solicitud para que el usuario confirme su registro. Para las cuentas de usuario locales que el SSO de plataforma crea a petición, el registro de usuario se realiza automáticamente en segundo plano.
Nota: Si inscribes una Mac desde el servicio de administración de dispositivos, también se da de baja su inscripción en el proveedor de identidad.
Métodos de autenticación
El inicio de sesión único de plataforma admite diferentes métodos de autenticación con un IdP. La compatibilidad con cada uno depende del IdP y de la extensión de inicio de sesión único de plataforma.
Contraseña: con este método, un usuario se autentica mediante una contraseña local o con una contraseña del proveedor de identidades. También es compatible con WS-Trust, lo que permite al usuario autenticarse incluso cuando el IdP que administra su cuenta está federado.
Clave respaldada por Secure Enclave: con este método, un usuario que inicie sesión en su Mac puede usar una clave respaldada por Secure Enclave para autenticarse con el proveedor de identidades sin necesidad de una contraseña. El proveedor de identidad configura la clave de Secure Enclave durante el proceso de registro del usuario.
Tarjeta inteligente: con este método, un usuario se autentica con el proveedor de identidades (IdP) mediante una tarjeta inteligente. Para usar este método, debes:
Registra la tarjeta inteligente con el IdP.
Configura la asignación de atributos de la tarjeta inteligente en la Mac.
Para obtener detalles y un ejemplo de configuración de mapeo de atributos, consulta la página man del proyecto Smart Card Services.
Clave de acceso: con este método, los usuarios usan un pase almacenado en Wallet para autenticarse con el IdP. Similar a una tarjeta inteligente, la clave de acceso debe registrarse con el IdP.
Ciertas funcionalidades, como la creación de cuentas de usuario a petición, requieren que el uso de un método de autenticación específico.
Característica | Contraseña | Clave respaldada por Secure Enclave | Tarjeta inteligente | Clave de acceso | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Administración de grupos |  | | | | |||||||
Perfil Inscripción de dispositivos automatizada | | | |  | |||||||
Modo de invitado autenticado | | | | | |||||||
Creación de cuentas bajo demanda | | | | | |||||||
Sincronización de contraseñas | | | | | |||||||
Nota: la extensión de SSO debe ser compatible con el método solicitado para realizar el registro. También se admiten métodos de cambio. Por ejemplo, cuando se crea una nueva cuenta de usuario durante el inicio de sesión con un nombre de usuario y contraseña, esa cuenta puede cambiarse para usar una clave respaldada por Secure Enclave o una tarjeta inteligente después de que el inicio de sesión se haya completado correctamente.
Inicio de sesión único de plataforma durante la inscripción de dispositivos automatizada
Las organizaciones pueden activar e imponer el SSO de plataforma durante Asistente de Configuración con la Inscripción de dispositivos automatizada. Esta es una opción para dispositivos de un sólo usuario porque el usuario que autentica la inscripción obtiene automáticamente una cuenta local creada y puede usar SSO con apps nativas y web compatibles de inmediato.
El proceso funciona de la siguiente manera:
macOS solicita la inscripción e informa al servicio de administración de dispositivos que admite el inicio de sesión único de plataforma durante la inscripción.
El servicio de administración de dispositivos devuelve un error 403 que incluye información sobre dónde encontrar la configuración de SSO y el paquete que contiene una app con la extensión de SSO.
macOS descarga e instala la extensión y configuración de SSO de plataforma.
macOS configura el SSO de plataforma y realiza el registro del dispositivo. Si la certificación está configurada, el registro se realiza en segundo plano sin que el usuario lo note. Luego, macOS solicita al usuario que se autentique con su proveedor de identidad usando uno de los métodos anteriores para realizar el registro de usuario. Los usuarios no pueden continuar sin registrarse correctamente en el SSO de plataforma.
El proveedor de identidades (IdP) administra la autenticación.
Después de una autenticación exitosa, el proveedor de identidad devuelve un identificador de portador a macOS.
macOS usa el identificador de portador para autenticar la inscripción en el servicio de administración de dispositivos y, si está federado con el mismo IdP, puede iniciar sesión en la cuenta de Apple administrada sin que el usuario tenga que volver a ingresar sus credenciales. Para que esto funcione, el panel de Asistente de Configuración de iCloud debe estar visible para el usuario.
macOS crea una cuenta local, y la contraseña se sincroniza con el IdP, o el usuario establece una contraseña local (cuando el inicio de sesión único de plataforma usa una clave respaldada por Secure Enclave). Si es necesario, puedes hacer cumplir los requisitos de complejidad de la contraseña local utilizando la configuración de Código.
Si se configura, macOS puede sincronizar la imagen de perfil de inicio de sesión de la cuenta local desde el IdP.
Puedes usar el inicio de sesión único de plataforma durante la inscripción de dispositivos automatizada con una actualización de software obligatoria. En este caso, el servicio de administración de dispositivos debe obligar a la actualización primero.
Si la cuenta de usuario que crea macOS es la única de la Mac, se convierte en una cuenta de administrador. Si el servicio de administración de dispositivos creó una cuenta de administrador mediante el comando de configuración de cuenta, puedes asignar a la cuenta de usuario diferentes privilegios mediante la administración de grupos de SSO de plataforma.
Inicio de sesión único (SSO)
Debido a que el SSO de plataforma es parte del SSO ampliable, ofrece las mismas capacidades de inicio de sesión único y permite a los usuarios iniciar sesión una vez y usar el identificador proporcionado por la autenticación inicial para autenticarse con apps nativas y web compatibles.
Si faltan identificadores, están vencidos o tienen más de cuatro horas, el inicio de sesión único de plataforma intenta actualizarlos o recuperarlos del IdP. Además, puedes configurar una duración en segundos (mínimo 1 hora) hasta que el inicio de sesión único de plataforma requiera un inicio de sesión completo en lugar de una actualización del identificador. De forma predeterminada, se requiere un inicio de sesión completo cada 18 horas.
Inicio de sesión único de plataforma en Configuración del Sistema
Después de registrar el SSO de plataforma, un usuario puede inspeccionar el estado del registro de usuario en Configuración del Sistema > Usuarios y grupos > [nombre de usuario]. Si es necesario, se puede iniciar una reparación del registro y obligar a actualizar su token de autenticación.
El estado del registro del dispositivo se muestra en Usuarios y grupos > Servidor de cuentas de red y también ofrece una opción para realizar una reparación.
Sincronización de contraseñas y políticas de inicio de sesión
Si usas el método de autenticación de contraseña, la contraseña local del usuario se sincroniza automáticamente con el IdP cada vez que un usuario cambia su contraseña, ya sea local o remotamente. Si es necesario, macOS solicita al usuario su contraseña anterior.
De forma predeterminada, se requiere la contraseña de la cuenta local para desbloquear FileVault, la pantalla bloqueada y la ventana de inicio de sesión. Si la contraseña ingresada no coincide con la de la cuenta de usuario local, macOS intenta comunicarse con el IdP para realizar una autenticación en vivo. La autenticación falla si macOS no puede comunicarse con el proveedor de identidad o la contraseña ingresada no coincide con la que el proveedor de identidad tiene almacenada.
Con las políticas de inicio de sesión, puedes permitir el uso de la contraseña actual de la cuenta del IdP en estas tres solicitudes de inmediato. También puedes establecer las siguientes políticas individualmente para FileVault, la pantalla bloqueada y la ventana de inicio de sesión:
Intentar la autenticación.
Si está configurada, se está intentando realizar una autenticación en tiempo real con el IdP.
Si la Mac tiene conexión a Internet, es necesario que se autentique correctamente con el IdP para continuar, aunque se desconecte tras el primer intento.
Si la autenticación es exitosa, el SSO de plataforma actualiza la contraseña local.
Si la Mac no tiene conexión a Internet, el usuario puede usar la contraseña de su cuenta local.
Requerir la autenticación.
Si está configurada, se requiere la autenticación en tiempo real con el IdP para continuar.
Si la Mac tiene conexión a Internet, se requiere una autenticación exitosa con el proveedor de identidad para continuar, sin importar el periodo de gracia configurado para el uso sin conexión.
Si la autenticación es exitosa, el SSO de plataforma actualiza la contraseña local.
Si la Mac no tiene conexión a Internet, los usuarios no pueden iniciar sesión. En esos casos, puedes activar un periodo de gracia sin conexión y establecerlo en el número de días después de un inicio de sesión exitoso anterior, durante el cual el usuario puede seguir usando la contraseña de la cuenta local.
Puedes definir si cualquier cuenta que inicie sesión en la Mac debe administrarse mediante el SSO de plataforma o si aún se permite iniciar sesión con cuentas sólo locales. También es posible definir la cantidad de días después de que se aplique o actualice la política hasta cuándo se impondrá esta configuración. Esto permite el uso temporal de cuentas locales. Por ejemplo, puedes usar temporalmente una cuenta de administrador creada por el servicio de administración de dispositivos para realizar o reparar el registro del dispositivo de inicio de sesión único de plataforma.
En lugar de la autenticación en tiempo real, también puedes permitir que los usuarios usen Touch ID o Apple Watch en la pantalla bloqueada.
Si es necesario, las cuentas locales (como las que definas) pueden estar exentas de las políticas de inicio de sesión y no se les solicitará que se registren para el SSO de plataforma.
Administración de grupos y autorización de red
El SSO de plataforma ofrece una administración granular de permisos para proporcionar a los usuarios el nivel adecuado de privilegios que necesitan en su Mac. Para ello, el SSO de la plataforma puede aplicar los siguientes privilegios a una cuenta cada vez que el usuario se autentica:
Estándar: la cuenta obtiene privilegios de usuario estándar.
Administrador: agrega la cuenta al grupo de administradores locales.
Grupos: define privilegios por autorización de grupo, que se actualizan cada vez que el usuario se autentica con el IdP.
Cuando usas grupos, una cuenta obtiene privilegios basados en la pertenencia a los siguientes:
Grupos de administradores: si la cuenta forma parte de un grupo en esta matriz, tendrá acceso de administrador local.
AuthorizationGroups: si la cuenta forma parte de un grupo asignado a un derecho de autorización integrado o definido por el usuario, entonces la cuenta tiene privilegios asociados con ese grupo. Por ejemplo, macOS usa los siguientes derechos de autorización:
system.preferences.datetime, que permite a la cuenta modificar la configuración de la hora.system.preferences.energysaver, que permite a la cuenta modificar la configuración de Ahorro de energía.system.preferences.network, que permite a la cuenta modificar la configuración de la red.system.preferences.printing, que permite a la cuenta agregar o eliminar impresoras.
Grupos adicionales: grupos definidos de forma personalizada para macOS o apps específicas, que macOS crea automáticamente dentro del directorio local (si no existen ya). Por ejemplo, puedes usar un grupo adicional en la configuración de
sudopara definir el acceso desudo.
Autorización de red
El SSO de plataforma amplía el uso de credenciales de IdP a los usuarios que no tienen una cuenta de usuario local en la Mac para fines de autorización. Estas cuentas usan los mismos grupos que la administración de grupos. Por ejemplo, si la cuenta pertenece a uno de los grupos de administradores, puede realizar avisos de autorización de administrador. Para usar esta funcionalidad, configura el inicio de sesión único de plataforma con llaves de dispositivo compartidas.
No es posible autorizar la red con avisos de autorización que requieran un identificador seguro, permisos de propiedad o autenticación por parte del usuario que tiene iniciada la sesión actualmente.
Creación de cuentas bajo demanda
Para facilitar la administración de cuentas en implementaciones compartidas, los usuarios pueden usar su nombre de usuario y contraseña de IdP o una tarjeta inteligente para iniciar sesión en una Mac para crear una cuenta local.
Puedes lograr un proceso de aprovisionamiento totalmente automatizado utilizando la inscripción de dispositivos automatizada con avance automático. Debes crear la primera cuenta de administrador local usando un servicio de administración de dispositivos y realizar el registro silencioso del SSO de plataforma.
Para usar la creación de cuentas bajo demanda, se requieren los siguientes elementos:
Registra la Mac en un servicio de administración de dispositivos que sea compatible con los identificadores de arranque.
Agrega lo siguiente: una configuración de extensión de SSO con SSO de plataforma, claves de dispositivo compartidas y la opción de crear un usuario al iniciar sesión.
Completa el flujo de Asistente de Configuración y crea una cuenta de administrador local.
Ten la Mac en la ventana de inicio de sesión con FileVault desbloqueado y una conexión de red.
Mediante una opción de configuración opcional, puedes definir qué atributo del IdP se usará para el nombre de cuenta local (a menudo llamado nombre corto del usuario) y el nombre completo. Los administradores también pueden definir la clave para el nombre de la cuenta como com.apple.PlatformSSO.AccountShortName para usar el prefijo UPN.
Además, puedes definir qué privilegios aplicar a las cuentas recién creadas al iniciar sesión. Las mismas opciones de administración de grupos están disponibles:
Estándar: la cuenta obtiene privilegios de usuario estándar.
Administrador: agrega la cuenta al grupo de administradores locales.
Grupos: define privilegios por autorización de grupo, que se actualizan cada vez que el usuario se autentica con el IdP.
Modo de invitado autenticado
El modo de invitado autenticado ofrece una experiencia de inicio de sesión más rápida para implementaciones compartidas, como consultorios médicos o escuelas, donde no es necesario crear una cuenta local para los distintos usuarios, ya que sólo tienen que iniciar sesión con sus credenciales de IdP durante un periodo de tiempo breve. El usuario obtiene privilegios de usuario estándar de forma predeterminada, pero puedes cambiar esos privilegios mediante la administración de grupos de SSO de plataforma.
Para usar esta función, necesitas los mismos requisitos que para la creación de cuentas bajo demanda, pero en lugar de la opción de crear un usuario al iniciar sesión, configuras el modo de invitado autenticado.
Cuando un usuario cierra sesión, macOS borra todos los datos locales de esa cuenta y la Mac compartida está lista para que el siguiente usuario inicie sesión.
Tocar para iniciar sesión
Tocar para iniciar sesión amplía la funcionalidad de las credenciales digitales de Wallet de Apple a macOS. En los últimos años, las organizaciones han adoptado las credenciales digitales en Wallet de Apple, lo que permite a los usuarios desbloquear puertas con sólo acercar un iPhone o Apple Watch sin necesidad de la credencial física. Esta misma experiencia está disponible en una Mac.
Este método de autenticación es particularmente valioso para organizaciones que comparten una Mac entre varios usuarios, como instituciones educativas, entornos comerciales y centros de salud.
Con “Tocar para iniciar sesión”, los usuarios pueden autenticarse en una Mac configurada para el modo de invitado autenticado al acercar su iPhone o Apple Watch a un lector NFC conectado. Esto inicia un proceso de inicio de sesión único seguro que autentica automáticamente a los usuarios en sus apps y sitios web, lo que les permite iniciar sesión rápidamente y ponerse manos a la obra.
Las credenciales de usuario se proporcionan como llaves de acceso en una tarjeta de Wallet de Apple a través de un navegador o app para iPhone. Estas claves de acceso se almacenan en el Secure Enclave del dispositivo, lo que permite que estén respaldadas por hardware y encriptadas, y ayuda a protegerlas contra intentos de manipulación o extracción. La funcionalidad del modo express mejora la comodidad al permitir la autenticación inmediata sin que los usuarios tengan que desbloquear o activar sus dispositivos, similar al funcionamiento de las tarjetas de transporte público en Wallet de Apple.
Para implementar la funcionalidad de Tocar para iniciar sesión, la Mac debe estar:
Configurada para el modo de invitado autenticado
Equipada con un lector NFC externo compatible
La creación y administración de claves de acceso requiere participar en el Programa de acceso de Wallet de Apple. Para obtener más información sobre cómo crear una clave de acceso, consulta Aprovisionamiento en la Guía del programa de acceso de Wallet de Apple.