Alustan kertakirjautuminen macOS:lle
Kun käytät alustan kertakirjautumista (SSO), voit tehdä (tai teettää identiteetinhallintaan erikoistuneella kehittäjällä) kertakirjautumislaajennuksia, joiden ansiosta käyttäjät voivat käyttää Macissa identiteetin tarjoajalta (IdP) saatavaa organisaation tiliä alkukäyttöönoton aikana.
Ominaisuudet
Alustan kertakirjautuminen tukee seuraavia ominaisuuksia:
Aktivoi alustan kertakirjautuminen ja edellytä sitä automaattisessa laiterekisteröinnissä rekisteröinnin todentamista, hallitulla Apple-tilillä kirjautumista ja paikallisen käyttäjän luomista varten.
Tarjoa kertakirjautuminen natiiviapeille ja verkkoapeille.
Näytä alustan kertakirjautumisen tiedot Järjestelmäasetuksissa.
Synkronoi paikallisten käyttäjätilien salasanat identiteetin tarjoajan kanssa ja määritä kirjautumiskäytännöt.
Määritä identiteetin tarjoajan tilien ryhmäoikeudet ja salli pelkkien identiteetin tarjoajan verkkotilien käyttö valtuutuskehotuksissa.
Luo paikallisia käyttäjätilejä tarvittaessa, kun käyttäjä kirjautuu sisään identiteetin tarjoajan tilin tunnistetiedoilla.
Tarjoa tuki vieraskäyttäjille, jotka kirjautuvat tilapäisesti sisään jaettuun Maciin käyttäen identiteetin tarjoajan tunnistetietojaan.
Huomaa: Useimmat ominaisuudet edellyttävät, että kertakirjautumislaajennus tukee niitä. Katso lisätietoja alustan kertakirjautumisen käyttöönottoon organisaatiossasi identiteetin tarjoajan dokumentaatiosta.
Vaatimukset
Mac, jossa on Applen siru, tai Intel-pohjainen Mac, jossa on Touch ID
Laitehallintapalvelu, joka tukee laajennettavan kertakirjautumisen määritystä, johon sisältyvät alustan kertakirjautumisen asetukset
Appi, joka sisältää identiteetin tarjoajan kanssa yhteensopivan alustan kertakirjautumislaajennuksen
macOS 13 tai uudempi
Seuraavilla ominaisuuksilla on lisävaatimuksia koskien ohjelmistoversiota:
Ominaisuus | Pienin tuettu käyttöjärjestelmäversio | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Todennettu vierastila | macOS 26 | ||||||||||
Kirjaudu napauttamalla | macOS 26 | ||||||||||
Alustan kertakirjautuminen automaattisen laiterekisteröinnin aikana | macOS 26 | ||||||||||
UPN-etuliite paikallisen tilin nimenä | macOS 15.4 | ||||||||||
Todennus laitetunnisteille | macOS 15.4 | ||||||||||
Kirjautumiskäytännöt | macOS 15 | ||||||||||
Tilin luominen tarvittaessa | macOS 14 | ||||||||||
Ryhmähallinta ja verkkovaltuutus | macOS 14 | ||||||||||
Alustan kertakirjautuminen Järjestelmäasetuksissa | macOS 14 | ||||||||||
Alustan kertakirjautumisen asettaminen
Alustan kertakirjautumisen käyttäminen edellyttää, että Mac ja jokainen käyttäjä rekisteröidään identiteetin tarjoajalle. Identiteetin tarjoajan tuesta ja käytettävästä määrityksestä riippuen Mac voi suorittaa laiterekisteröinnin käyttäjältä kysymättä taustalla käyttäen seuraavia:
Laitehallinnan määrityksessä annettu rekisteröintitunniste
Todennus, joka antaa vahvan todistuksen laitetunnisteista (UDID ja sarjanumero)
Jotta identiteetin tarjoajaan voidaan säilyttää luotettu yhteys käyttäjästä riippumatta, alustan kertakirjautuminen tukee jaettuja laitetunnisteita. Käytä jaettuja laitetunnisteita aina kun mahdollista, koska niitä tarvitaan esimerkiksi alustan kertakirjautumiseen automaattisen laiterekisteröinnin aikana, tarvittaessa luotavien käyttäjätilien luomiseen identiteetin tarjoajalta saatavilla tiedoilla, verkkovaltuutukselle ja todennetulle vierastilalle.
Kun laite on rekisteröity onnistuneesti, rekisteröidään käyttäjä (ellei käyttäjätili käytä todennettua vierastilaa). Jos identiteetin tarjoaja edellyttää sitä, käyttäjän rekisteröintiin voi sisältyä rekisteröinnin vahvistamispyyntö käyttäjälle. Alustan kertakirjautumisen tarvittaessa luomien paikallisten käyttäjätilien käyttäjän rekisteröinti tapahtuu automaattisesti taustalla.
Huomaa: Jos poistat Macin rekisteröinnin laitehallintapalvelusta, myös sen rekisteröinti identiteetin tarjoajalle poistetaan.
Todentamismenetelmät
Alustan kertakirjautuminen tukee erilaisia todennusmenetelmiä identiteetin tarjoajan kanssa. Tuki riippuu identiteetin tarjoajasta ja alustan kertakirjautumislaajennuksesta.
Salasana: Tässä menetelmässä käyttäjä suorittaa todentamisen paikallisella salasanalla tai identiteetin tarjoajan salasanalla. Se tukee myös WS-Trustia, jonka ansiosta käyttäjän todennus onnistuu silloinkin, jos tiliä hallitsee federoitu identiteetin tarjoaja.
Secure Enclaven takaama avain: Tässä menetelmässä käyttäjä, joka kirjautuu Maciin, voi suorittaa todentamisen identiteetin tarjoajalle ilman salasanaa käyttämällä Secure Enclaven takaamaa avainta. Identiteetin tarjoaja ottaa Secure Enclave ‑avaimen käyttöön käyttäjän rekisteröintiprosessin aikana.
Älykortti: Tässä menetelmässä käyttäjä todentautuu identiteetin tarjoajalle älykortilla. Jos haluat käyttää tätä menetelmää:
Rekisteröi älykortti identiteetin tarjoajalle.
Määritä älykorttiattribuuttikuvaus Macissa.
Löydät lisätietoja ja esimerkin attribuuttikuvauksen määrityksestä Smart Card Services -projektin man-sivulta.
Käyttöavain: Tässä menetelmässä käyttäjät todentautuvat identiteetin tarjoajalle käyttämällä Lompakkoon tallennettua korttia. Älykortin tavoin myös käyttöavain on rekisteröitävä identiteetin tarjoajalle.
Jotkin toiminnot, kuten käyttäjätilien luominen tarvittaessa, edellyttävät juuri tietyn todennusmenetelmän käyttöä.
Ominaisuus | Salasana | Secure Enclaven takaama avain | Älykortti | Käyttöavain | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Ryhmähallinta |  | | | | |||||||
Automaattinen laiterekisteröinti | | | |  | |||||||
Todennettu vierastila | | | | | |||||||
Tilin luominen tarvittaessa | | | | | |||||||
Salasanan synkronointi | | | | | |||||||
Huomaa: Jotta rekisteröinti voidaan suorittaa, kertakirjautumislaajennuksen on tuettava pyydettyä menetelmää. Myös menetelmien vaihtamista tuetaan. Esimerkiksi kun luodaan uusi käyttäjätili siten, että käyttäjä kirjautuu käyttäjätunnuksella ja salasanalla, tili voi onnistuneen kirjautumisen jälkeen vaihtaa käyttämään Secure Enclaven takaamaa avainta tai älykorttia.
Alustan kertakirjautuminen automaattisen laiterekisteröinnin aikana
Kun käytetään automaattista laiterekisteröintiä, organisaatiot voivat aktivoida alustan kertakirjautumisen ja vaatia sitä käyttöönottoapurissa. Tämä vaihtoehto on mahdollinen yhden käyttäjän laitteille, koska rekisteröinnin todentavalle käyttäjälle luodaan automaattisesti paikallinen tili ja hän voi heti käyttää kertakirjautumista tuettujen natiivi- ja verkkoappien kanssa.
Prosessi toimii näin:
macOS pyytää rekisteröintiä ja ilmoittaa laitehallintapalvelulle, että se tukee alustan kertakirjautumista rekisteröinnin aikana.
Laitehallintapalvelu palauttaa 403-virheen, joka kertoo, mistä kertakirjautumismääritys ja kertakirjautumislaajennuksen apin sisältävä paketti löytyvät.
macOS lataa ja asentaa alustan kertakirjautumislaajennuksen ja ‑määrityksen.
macOS määrittää alustan kertakirjautumisen ja suorittaa laiterekisteröinnin. Jos käytetään laitteen todennusta, rekisteröinti suoritetaan taustalla käyttäjältä kysymättä. Sen jälkeen macOS pyytää käyttäjää todentautumaan identiteetin tarjoajalle käyttäjän rekisteröimistä varten käyttäen jotakin edellä luetelluista menetelmistä. Käyttäjät eivät voi jatkaa ilman onnistunutta alustan kertakirjautumisen rekisteröintiä.
Identiteetin tarjoaja käsittelee käyttäjän todentamisen.
Kun todentaminen on onnistunut, identiteetin tarjoaja palauttaa macOS:lle haltijatunnuksen.
macOS käyttää haltijatunnusta laitehallintapalveluun rekisteröinnin todentamiseen ja voi kirjata käyttäjän sisään hallittuun Apple-tiliinsä ilman, että hänen tarvitsee syöttää tunnistetietojaan uudelleen (jos se on federoitu samaan identiteetin tarjoajaan). Jotta tämä toimii, iCloudin käyttöönottoapuriosio on näytettävä käyttäjälle.
macOS luo paikallisen tilin, ja joko salasana synkronoidaan identiteetin tarjoajan kanssa tai käyttäjä asettaa paikallisen salasanan (kun alustan kertakirjautuminen käyttää Secure Enclaven takaamaa avainta). Voit tarvittaessa vaatia paikallisen salasanan monimutkaisuutta käyttämällä Pääsykoodi-määritystä.
Tämän jälkeen macOS voi synkronoida paikallisen tilin kirjautumiskuvan identiteetin tarjoajalta, jos se on määritetty.
Voit yhdistää alustan kertakirjautumiseen automaattisen laiterekisteröinnin aikana ohjelmistopäivityksen vaatimisen. Tässä tapauksessa laitehallintapalvelun on ensin vaadittava päivitys.
Jos macOS:n luoma käyttäjätili on Macin ainoa käyttäjätili, siitä tulee ylläpitäjätili. Jos laitehallintapalvelu on luonut tilinmäärityskomentoa käyttämällä ylläpitäjätilin, voit määrittää käyttäjätilille eri oikeudet alustan kertakirjautumisen ryhmähallinnan avulla.
Kertakirjautuminen
Koska alustan kertakirjautuminen on osa laajennettavaa kertakirjautumista, se tarjoaa samat kertakirjautumisominaisuudet ja käyttäjät voivat kirjautua sisään kerran ja käyttää sen jälkeen alkuperäisestä todennuksesta saatua tunnistetta todennukseen tuetuissa natiivi- ja verkkoapeissa.
Jos tunnisteet puuttuvat, ovat vanhentuneet tai ovat yli neljä tuntia vanhoja, alustan kertakirjautuminen yrittää päivittää ne tai hakea uudet identiteetin tarjoajalta. Voit lisäksi määrittää sekuntimäärän (vähintään 1 tunti), jonka jälkeen alustan kertakirjautuminen vaatii tunnisteiden päivittämisen sijasta täyden sisäänkirjautumisen. Oletuksena täysi kirjautuminen vaaditaan 18 tunnin välein.
Alustan kertakirjautuminen Järjestelmäasetuksissa
Kun alustan kertakirjautuminen on rekisteröity, käyttäjä voi tarkastaa käyttäjän rekisteröinnin tilan valitsemalla Järjestelmäasetukset > Käyttäjät ja ryhmät > [käyttäjätunnus]. Tarvittaessa hän voi aloittaa rekisteröinnin korjaamisen ja pakottaa päivittämään todennustunnisteensa.
Laiterekisteröinnin tila näkyy kohdassa Käyttäjät ja ryhmät > Verkkotilipalvelin. Siellä voidaan myös valita korjata ongelma.
Salasanan synkronointi- ja kirjautumiskäytännöt
Jos käytät todennusmenetelmänä salasanaa, paikallisen käyttäjän salasana synkronoidaan automaattisesti identiteetin tarjoajan kanssa aina, kun käyttäjä vaihtaa salasanansa joko paikallisesti tai etänä. macOS pyytää tarvittaessa käyttäjää syöttämään edellisen salasanan.
Oletuksena paikallisen tilin salasana vaaditaan FileVaultin, lukitun näytön ja kirjautumisikkunan avaamiseen. Jos syötetty salasana ei vastaa paikallisen käyttäjätilin salasanaa, macOS yrittää saada yhteyden identiteetin tarjoajaan ajantasaista todentamista varten. Jos macOS ei saa yhteyttä identiteetin tarjoajaan tai syötetty salasana ei vastaa identiteetin tarjoajan tallentamaa salasanaa, todentaminen epäonnistuu.
Kirjautumiskäytännöillä voidaan sallia näissä kolmessa kehotuksessa välitön nykyisen tilin salasanan käyttö identiteetin tarjoajalta. Voit myös asettaa seuraavat käytännöt erikseen FileVaultille, lukitulle näytölle ja kirjautumisikkunalle:
Yritä todentaa.
Jos tämä on määritetty, yritetään ajantasaista todennusta identiteetin tarjoajalta.
Jos Mac on yhteydessä verkkoon, jatkamiseen vaaditaan onnistunut todentaminen identiteetin tarjoajalta, vaikka Macin verkkoyhteys katkeaisi ensimmäisen yrityksen jälkeen.
Jos todentaminen onnistuu, alustan kertakirjautuminen päivittää paikallisen salasanan.
Jos Mac ei ole yhteydessä verkkoon, käyttäjä voi käyttää paikallisen tilinsä salasanaa.
Vaadi todentaminen.
Jos tämä on määritetty, jatkamiseen vaaditaan ajantasainen todentaminen identiteetin tarjoajalta.
Jos Macilla on verkkoyhteys, jatkamiseen vaaditaan onnistunut todentaminen identiteetin tarjoajalta riippumatta siitä, onko käyttöön määritetty aikaraja todentamiselle silloin, kun Mac ei ole yhteydessä verkkoon.
Jos todentaminen onnistuu, alustan kertakirjautuminen päivittää paikallisen salasanan.
Jos Mac ei ole yhteydessä verkkoon, käyttäjät eivät voi kirjautua sisään. Voit ottaa tällaisia tilanteita varten käyttöön aikarajan käytettäväksi silloin, kun verkkoyhteyttä ei ole, ja asettaa, kuinka monta päivää onnistuneen kirjautumisen jälkeen käyttäjä voi jatkaa paikallisen tilin salasanan käyttöä.
Voit määrittää, pitääkö kaikkien tilien kirjautumisia Macissa hallita alustan kertakirjautumisella vai sallitaanko myös vain paikallisilla tileillä kirjautuminen edelleen. Voit myös määrittää, kuinka monta päivää sen jälkeen, kun tämä käytäntö otetaan käyttöön tai päivitetään, asetusta aletaan vaatia. Näin paikallisia tilejä on mahdollista käyttää väliaikaisesti. Voit esimerkiksi käyttää laitehallintapalvelun luomaa ylläpitäjätiliä tilapäisesti alustan kertakirjautumisen laiterekisteröinnin suorittamiseen tai korjaamiseen.
Voit myös sallia käyttäjän käyttää lukitulla näytöllä ajantasaisen todentamisen sijasta Touch ID:tä tai Apple Watchia.
Tarvittaessa paikalliset tilit (jotka olet määritellyt) voidaan vapauttaa kirjautumiskäytännöistä eikä niitä kehoteta rekisteröitymään alustan kertakirjautumiseen.
Ryhmähallinta ja verkkovaltuutus
Alustan kertakirjautuminen mahdollistaa yksityiskohtaisen oikeuksien hallinnan, jolla käyttäjät saavat oikean tason käyttöoikeudet Macissaan. Tämä tapahtuu siten, että alustan kertakirjautuminen voi antaa tilille seuraavat oikeudet joka kerta, kun käyttäjä todentautuu:
Normaali: Tili saa normaalikäyttäjän oikeudet.
Ylläpitäjä: Tili lisätään paikallisten ylläpitäjien ryhmään.
Ryhmät: Oikeudet määritetään ryhmäjäsenyyden mukaan. Ne päivitetään aina, kun käyttäjä todentautuu identiteetin tarjoajalle.
Kun käytät ryhmiä, tili saa oikeudet seuraavien ryhmien jäsenyyden perusteella:
Ylläpitäjäryhmät: Jos tili sisältyy luettelossa olevaan ryhmään, sillä on paikallisen ylläpitäjän oikeudet.
Valtuutusryhmät: Jos tili sisältyy ryhmään, jolle on määritetty valmiiksi määritelty tai muokattu valtuutusoikeus, tilillä on kyseisen ryhmän mukaiset oikeudet. Esimerkiksi macOS käyttää seuraavia valtuutusoikeuksia:
system.preferences.datetime, joka sallii tilin muokata aika-asetuksia.system.preferences.energysaver, joka sallii tilin muokata energiansäästöasetuksia.system.preferences.network, joka sallii tilin muokata verkkoasetuksia.system.preferences.printing, joka sallii tilin lisätä tai poistaa tulostimia.
Lisäryhmät: macOS:lle tai tietyille apeille tehtyjä muokattuja ryhmiä, jotka macOS luo automaattisesti paikalliseen hakemistoon (jos niitä ei jo ole). Voit esimerkiksi määrittää
sudo-käyttöoikeudet käyttämällä lisäryhmääsudo-määrityksessä.
Verkkovaltuutus
Alustan kertakirjautuminen laajentaa identiteetin tarjoajan kirjautumistietojen käyttöä valtuuttamiseen sellaisille käyttäjille, joilla ei ole paikallista tiliä Macissa. Nämä tilit käyttävät samoja ryhmiä kuin ryhmähallinta. Esimerkiksi jos tili kuuluu johonkin ylläpitäjäryhmistä, se voi suorittaa ylläpitäjän valtuutuskehotuksia. Jotta voit käyttää tätä toimintoa, määritä alustan kertakirjautuminen jaetuilla laitetunnisteilla.
Verkkovaltuutusta ei voida käyttää sellaisille valtuutuskehotuksille, jotka vaativat Secure Tokenin, omistusoikeudet tai parhaillaan kirjautuneena olevan käyttäjän suorittaman todennuksen.
Tilin luominen tarvittaessa
Jotta tilien hallinta jaetussa laitteissa olisi helpompaa, käyttäjät voivat kirjautua Maciin paikallisen tilin luomista varten käyttäen identiteetin tarjoajan käyttäjätunnustaan ja salasanaansa tai älykorttia.
Käyttöönottoprosessista voidaan tehdä täysin automatisoitu käyttämällä automaattista laiterekisteröintiä ja automaattisia ennakkomäärityksiä. Ensimmäinen paikallinen ylläpitäjätili on luotava käyttäen laitehallintapalvelua, ja alustan kertakirjautumisen rekisteröinti on tehtävä ilman käyttäjän vuorovaikutusta.
Tilien luominen tarvittaessa edellyttää seuraavia toimia:
Rekisteröi Mac laitehallintapalveluun, joka tukee Bootstrap Tokeneita.
Lisää seuraavat: kertakirjautumislaajennuksen määritys, joka sisältää alustan kertakirjautumisen, jaetut laitetunnisteet ja mahdollisuuden luoda käyttäjä kirjautumisen yhteydessä.
Suorita käyttöönottoapuri loppuun ja luo paikallinen ylläpitäjätili.
Macin tulee olla kirjautumisikkunassa siten, että FileVaultin lukitus on avattu ja Macilla on verkkoyhteys.
Voit määritellä valinnaista määritysvaihtoehtoa käyttäen, mitä identiteetin tarjoajan attribuuttia käytetään paikallisen tilin nimelle (jota kutsutaan usein käyttäjätunnukseksi) ja koko nimelle. Ylläpitäjät voivat myös asettaa tilin nimen avaimen arvoksi com.apple.PlatformSSO.AccountShortName, jolloin tilin nimenä käytetään UPN-etuliitettä.
Voit myös määrittää, mitä oikeuksia uusille käyttäjätileille annetaan kirjautumisen yhteydessä. Saatavilla ovat samat vaihtoehdot ryhmähallinnalle:
Normaali: Tili saa normaalikäyttäjän oikeudet.
Ylläpitäjä: Tili lisätään paikallisten ylläpitäjien ryhmään.
Ryhmät: Oikeudet määritetään ryhmäjäsenyyden mukaan. Ne päivitetään aina, kun käyttäjä todentautuu identiteetin tarjoajalle.
Todennettu vierastila
Todennettu vierastila nopeuttaa kirjautumista jaetuilla laitteilla esimerkiksi lääkäriasemilla tai oppilaitoksissa, joissa eri käyttäjille ei ole tarpeen luoda paikallista tiliä, koska heidän tarvitsee vain kirjautua laitteelle vähäksi aikaa identiteetin tarjoajan kirjautumistiedoillaan. Käyttäjä saa oletuksena normaalikäyttäjän oikeudet, mutta oikeuksia voidaan muuttaa käyttämällä alustan kertakirjautumisen ryhmähallintaa.
Vaatimukset tämän ominaisuuden käyttämiseen ovat samat kuin tarvittaessa luotaville tileille, mutta tässä tapauksessa ei määritetä käyttäjän luomista kirjautumisen yhteydessä vaan todennettu vierastila.
Kun käyttäjä kirjautuu ulos, macOS poistaa kaikki kyseisen tilin paikalliset tiedot ja jaettu Mac on valmis seuraavan käyttäjän kirjautumiseen.
Kirjaudu napauttamalla
Kirjaudu napauttamalla ‑ominaisuus laajentaa Lompakossa olevien digitaalisten tunnistetietojen toiminnan macOS:ään. Organisaatiot ovat viime vuosina ottaneet käyttöön digitaalisia kulkukortteja Lompakko-apissa, mikä mahdollistaa käyttäjille ovien avaamisen ilman fyysistä kulkukorttia iPhonen tai Apple Watchin napautuksella. Tämä sama kokemus on saatavilla Macille.
Tämä todennusmenetelmä on erityisen hyödyllinen organisaatioissa, joissa Maceja jaetaan useiden käyttäjien kesken, kuten oppilaitoksissa, vähittäiskaupoissa ja terveydenhuollon toimipisteissä.
Kirjaudu napauttamalla ‑toiminnon avulla käyttäjät voivat todentautua Macissa, jolle on määritetty todennettu vierastila, napauttamalla Maciin liitettyä lähilukulaitetta iPhonella tai Apple Watchilla. Tämä käynnistää suojatun kertakirjautumisprosessin, joka todentaa käyttäjät automaattisesti heidän tarvitsemilleen apeille ja sivustoille. Näin he voivat kirjautua sisään ja aloittaa työskentelyn nopeasti.
Käyttäjän kirjautumistiedot provisioidaan käyttöavaimina Lompakko-korttiin iPhone-apin tai selaimen kautta. Nämä käyttöavaimet tallennetaan laitteen Secure Enclaveen, joten ne ovat laitteiston takaamia ja salattuja, mikä auttaa suojautumisessa peukaloinnilta ja paljastumiselta. Pikakäyttötila lisää helppoutta mahdollistamalla todennuksen välittömästi ilman, että käyttäjän tarvitsee herättää laitetta tai avata sen lukitusta. Se toimii samalla tavoin kuin matkakortit toimivat Lompakossa.
Kirjaudu napauttamalla ‑ominaisuus edellyttää, että Mac on:
määritetty käyttämään todennettua vierastilaa
varustettu tuetulla ulkoisella lähilukulaitteella
Käyttöavainten luominen ja hallinta edellyttävät osallistumista Apple Wallet Access Program ‑ohjelmaan. Lisätietoja käyttöavaimen luomisesta on Apple Wallet Access Program Guide ‑oppaan osiossa Provisioning.