Alustan kertakirjautuminen macOS:lle
Alustan kertakirjautuminen (SSO) tarjoaa kehittäjille mahdollisuuden tehdä kertakirjautumislaajennuksia, jotka ulottuvat macOS:n sisäänkirjautumisikkunaan. Näin käyttäjät voivat synkronoida paikallisen tilin tunnistetiedot identiteetin tarjoajan kanssa. Paikallisen tilin salasana pidetään automaattisesti synkronoituna, joten pilvisalasana ja paikallinen salasana ovat samat. Käyttäjät voivat myös avata Macin lukituksen Touch ID:n ja Apple Watchin avulla.
Alustan kertakirjautumiseen tarvitaan seuraavat:
macOS 13 tai uudempi
Mobiililaitteiden hallintaratkaisu (MDM), joka tukee Laajennettava kertakirjautuminen ‑tietosisältöä, joka sisältää alustan kertakirjautumisen tuen
Identiteetin tarjoajan tuki alustan kertakirjautumisen todentamisprotokollalle
Jompikumpi tuetuista todentamismenetelmistä:
Todentaminen Secure Enclaven takaamalla avaimella: Tässä menetelmässä käyttäjä, joka kirjautuu Maciin, voi suorittaa todentamisen identiteetin tarjoajalle ilman salasanaa käyttämällä Secure Enclaven takaamaa avainta. Secure Enclaven avain otetaan käyttöön identiteetin tarjoajan kanssa rekisteröintiprosessin aikana.
Salasanatodentaminen: Tässä menetelmässä käyttäjä suorittaa todentamisen paikallisella salasanalla tai identiteetin tarjoajan salasanalla.
Huomaa: Jos Macin rekisteröinti MDM-ratkaisuun poistetaan, myös sen rekisteröinti identiteetin tarjoajalle poistetaan.
WS-Trust-federointi
WS-Trust-federointia tuetaan macOS 13.3:ssa tai uudemmissa. Sen ansioista alustan kertakirjautuminen voi todentaa käyttäjiä, kun heidän tilejään hallitsee Microsoft Entra ID:n kanssa federoitu identiteetin tarjoaja.
Alustan kertakirjautumisen lisäominaisuudet macOS 14:ssä
Käyttäjän rekisteröinti ja rekisteröinnin tila Järjestelmäasetuksissa: Käyttäjät voivat rekisteröidä laitteensa tai käyttäjätilinsä kertakirjautumisen kanssa käytettäväksi Järjestelmäasetuksissa. Valikkokohde myös näyttää rekisteröinnin senhetkisen tilan ja kertoo mahdollisesti ilmenneistä virheistä. Tämä parantaa läpinäkyvyyttä käyttäjälle. Näin käyttäjä saa tiedon, jos rekisteröinti tarvitsee tehdä uudelleen.
Paikallisen tilin luominen käyttäjien toimesta: Jotta tilien hallinta jaetussa laiteissa olisi helpompaa, käyttäjät voivat käyttää identiteetin tarjoajan käyttäjätunnustaan ja salasanaansa tai älykorttia kirjautuakseen Maciin, jonka FileVault ei ole lukittu, ja luodakseen paikallisen tilin. Uudella
TokenToUserMapping
-avaimella voidaan määritellä, mitä identiteetin tarjoajan tarjoamaa attribuuttia paikallisen käyttäjätunnuksen valitsemiseen käytetään. Tämän ominaisuuden käyttäminen edellyttää seuraavia:Käyttöönottoapuri täytyy olla suoritettu ja ensimmäinen paikallinen ylläpitäjätili täytyy olla luotu.
Laitteet täytyy olla rekisteröity MDM-ratkaisuun, joka tukee Bootstrap Tokeneita.
Käyttäjän Macissa täytyy olla laajennettavan kertakirjautumisen tietosisältö, jossa on alustan kertakirjautuminen ja siinä ovat käytössä asetukset
UseSharedDeviceKeys
jaEnableCreateUserAtLogin
.Älykorttituki edellyttää, että älykortti on rekisteröity identiteetin tarjoajalle ja että Macissa on määritetty älykorttiattribuuttikuvaus.
Ei-paikallisten identiteetin tarjoajan käyttäjätilien käyttäminen valtuutuskehotuksissa: Alustan kertakirjautuminen laajentaa identiteetin tarjoajan kirjautumistietojen käyttöä valtuuttamiseen käyttäjille, joilla ei ole paikallista käyttäjätiliä Macissa. Nämä tilit käyttävät samoja ryhmiä kuin Ryhmä-hallinta. Esimerkiksi jos käyttäjä on jonkin ylläpitäjäryhmän jäsen, tiliä voidaan käyttää macOS:n ylläpitäjän valtuutuspyynnöille. Tämä ei koske sellaisia valtuutuspyyntöjä, jotka vaativat Secure Tokenin, omistajuusoikeudet tai parhaillaan kirjautuneena olevan käyttäjän tekemän todennuksen.
Käyttäjien ryhmäjäsenyyden päivittäminen, kun he todentautuvat identiteetin tarjoajalle: Ryhmäjäsenyyden avulla voidaan hallita hienojakoisesti identiteetin tarjoajan käyttäjille annettavia oikeuksia macOS:ssä. Joka kerta, kun käyttäjä todentautuu identiteetin tarjoajalle, hänen ryhmäjäsenyytensä päivitetään. Ryhmäjäsenyyden määrittelemiseen on käytettävissä kolme taulukkoavainta:
AdministratorGroups: Jos käyttäjä kuuluu tässä taulukossa lueteltuun ryhmään, hänellä on paikallisen ylläpitäjän käyttöoikeudet.
AuthorizationGroups: Näitä erityisiä ryhmiä käytetään sisäänrakennettujen tai muokattujen valtuutusoikeuksien hallitsemiseen. Oikeus annetaan kaikille käyttäjille, jotka kuuluvat kyseiseen ryhmään. Esimerkiksi jäsenyys ryhmässä, jolle on annettu valtuutusoikeus
system.preferences.network
, sallii käyttäjien muokata verkkoasetuksia taisystem.preferences.printing
sallii käyttäjien muokata tulostinasetuksia.AdditionalGroups: Käyttöjärjestelmä voi käyttää tätä esimerkiksi
sudo
-käyttöoikeuden määrittelemiseen. Tässä taulukossa oleva merkintä luo ryhmän paikallisen hakemiston sisään, jos ryhmää ei vielä ole.