Alustan kertakirjautuminen macOS:lle
Yleiskatsaus
Alustan kertakirjautumisen (SSO) avulla voit tehdä (tai teettää identiteetinhallintakehittäjällä) kertakirjautumislaajennuksia, joiden ansiosta käyttäjät voivat todentautua Macissa identiteetin tarjoajalta (IdP) saatavalla organisaation tilillä Käyttöönottoapurissa. Alustan kertakirjautuminen voidaan yhdistää muihin kertakirjautumislaajennuksiin, kun huomioidaan seuraavat näkökohdat:
Tietylle domainille voi olla käytössä vain yksi kertakirjautumislaajennus.
syncLocalPasswordon asetettava arvoonfalseKerberos SSO ‑määrityksessä.
Ominaisuudet
Alustan kertakirjautuminen tukee seuraavia ominaisuuksia:
Aktivoi alustan kertakirjautuminen ja edellytä sitä automaattisessa laiterekisteröinnissä rekisteröinnin todentamista, hallitulla Apple-tilillä kirjautumista ja paikallisen käyttäjän luomista varten.
Tarjoa kertakirjautuminen natiiviapeille ja verkkoapeille.
Näytä alustan kertakirjautumisen tila ja rekisteröintitiedot Järjestelmäasetuksissa.
Synkronoi paikallisten käyttäjätilien salasanat identiteetin tarjoajan kanssa ja määritä kirjautumiskäytännöt.
Määritä identiteetin tarjoajan tilien ryhmäoikeudet ja salli pelkkien identiteetin tarjoajan verkkotilien käyttö valtuutuskehotuksissa.
Luo paikallisia käyttäjätilejä tarvittaessa, kun käyttäjä kirjautuu sisään identiteetin tarjoajan tilin tunnistetiedoilla.
Tarjoa tuki vieraskäyttäjille, jotka kirjautuvat tilapäisesti sisään jaettuun Maciin käyttäen identiteetin tarjoajan tunnistetietojaan.
Huomaa: Useimmat ominaisuudet edellyttävät, että kertakirjautumislaajennus tukee niitä. Katso lisätietoja alustan kertakirjautumisen käyttöönottoon organisaatiossasi identiteetin tarjoajan dokumentaatiosta.
Vaatimukset
Mac, jossa on Applen siru, tai Intel-pohjainen Mac, jossa on Touch ID
Laitehallintapalvelu, joka tukee laajennettavan kertakirjautumisen määritystä, johon sisältyvät alustan kertakirjautumisen asetukset
Appi, joka sisältää identiteetin tarjoajan kanssa yhteensopivan alustan kertakirjautumislaajennuksen
macOS 13 tai uudempi
Seuraavilla ominaisuuksilla on lisävaatimuksia koskien ohjelmistoversiota:
Ominaisuus | Pienin tuettu käyttöjärjestelmäversio | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Todennettu vierastila | macOS 26 | ||||||||||
Kirjaudu napauttamalla | macOS 26 | ||||||||||
Alustan kertakirjautuminen automaattisen laiterekisteröinnin aikana | macOS 26 | ||||||||||
UPN-etuliite paikallisen tilin nimenä | macOS 15.4 | ||||||||||
Todennus laitetunnisteille | macOS 15.4 | ||||||||||
Kirjautumiskäytännöt | macOS 15 | ||||||||||
Tilin luominen tarvittaessa | macOS 14 | ||||||||||
Ryhmähallinta ja verkkovaltuutus | macOS 14 | ||||||||||
Alustan kertakirjautuminen Järjestelmäasetuksissa | macOS 14 | ||||||||||
Alustan kertakirjautumisen käyttöönotto
Alustan kertakirjautumisen käyttäminen edellyttää, että Mac ja jokainen käyttäjä rekisteröidään identiteetin tarjoajalle. Identiteetin tarjoajan tuesta ja käytettävästä määrityksestä riippuen Mac voi suorittaa laiterekisteröinnin käyttäjältä kysymättä taustalla käyttäen seuraavia:
Laajennettavassa SSO-määrityksessä annettu identiteetin tarjoajan rekisteröintitunniste
Todennus, joka antaa vahvan todistuksen siitä, että Mac on aito Apple-laite, ja joka voi valinnaisesti sisältää laitetunnisteet (UDID:n ja sarjanumeron).
Jotta identiteetin tarjoajaan voidaan säilyttää luotettu yhteys käyttäjästä riippumatta, alustan kertakirjautuminen tukee jaettuja laitetunnisteita. Käytä aina mahdollisuuksien mukaan jaettuja laitetunnisteita, joita tarvitaan automaattiseen laiterekisteröintiin, tarvittaessa luotavien tilien luomiseen, verkkovaltuutukselle ja todennetulle vierastilalle.
Kun laite on rekisteröity onnistuneesti, myös käyttäjä rekisteröidään, ellei tili käytä todennettua vierastilaa. Jos identiteetin tarjoaja edellyttää sitä, käyttäjää voidaan kehottaa vahvistamaan oma rekisteröintinsä. Tarvittaessa luoduissa paikallisissa tileissä alustan kertakirjautuminen rekisteröi käyttäjän automaattisesti taustalla.
Huomaa: Jos poistat Macin rekisteröinnin laitehallintapalvelusta, myös sen rekisteröinti identiteetin tarjoajalle poistetaan.
Todentamismenetelmät
Alustan kertakirjautuminen tukee erilaisia todennusmenetelmiä identiteetin tarjoajan kanssa. Tuki riippuu identiteetin tarjoajasta ja alustan kertakirjautumislaajennuksesta.
Salasana: Tässä menetelmässä käyttäjä suorittaa todentamisen paikallisella salasanalla tai identiteetin tarjoajan salasanalla. Se tukee myös WS-Trustia, jonka ansiosta käyttäjän todennus onnistuu silloinkin, jos tiliä hallitsee federoitu identiteetin tarjoaja.
Secure Enclaven takaama avain: Tässä menetelmässä käyttäjä, joka kirjautuu Maciin, voi suorittaa todentamisen identiteetin tarjoajalle ilman salasanaa käyttämällä Secure Enclaven takaamaa avainta. Identiteetin tarjoaja ottaa Secure Enclave ‑avaimen käyttöön käyttäjän rekisteröintiprosessin aikana.
Älykortti: Tässä menetelmässä käyttäjä todentautuu identiteetin tarjoajalle älykortilla. Jos haluat käyttää tätä menetelmää:
Rekisteröi älykortti identiteetin tarjoajalle.
Määritä älykorttiattribuuttikuvaus Macissa.
Löydät lisätietoja ja esimerkin attribuuttikuvauksen määrityksestä Smart Card Services -projektin man-sivulta.
Käyttöavain: Tässä menetelmässä käyttäjät todentautuvat identiteetin tarjoajalle käyttämällä Lompakkoon tallennettua korttia. Älykortin tavoin myös käyttöavain on rekisteröitävä identiteetin tarjoajalle.
Tietyt ominaisuudet, kuten tilien luominen tarvittaessa, edellyttävät juuri tietyn todennusmenetelmän käyttöä.
Ominaisuus | Salasana | Secure Enclaven takaama avain | Älykortti | Käyttöavain | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Ryhmähallinta |  | | | | |||||||
Automaattinen laiterekisteröinti | | | |  | |||||||
Todennettu vierastila | | | | | |||||||
Tilin luominen tarvittaessa | | | | | |||||||
Salasanan synkronointi | | | | | |||||||
Huomaa: Jotta rekisteröinti voidaan suorittaa, kertakirjautumislaajennuksen on tuettava pyydettyä menetelmää. Voit myös vaihtaa menetelmää. Esimerkiksi tili, joka on luotu käyttäjätunnuksella ja salasanalla, voidaan vaihtaa käyttämään Secure Enclaven takaamaa avainta tai älykorttia onnistuneen kirjautumisen jälkeen.
Alustan kertakirjautuminen automaattisella laiterekisteröinnillä
Kun käytetään automaattista laiterekisteröintiä, organisaatiot voivat aktivoida alustan kertakirjautumisen ja vaatia sitä käyttöönottoapurissa. Tämä vaihtoehto toimii parhaiten yhden käyttäjän laitteissa. macOS luo automaattisesti paikallisen tilin rekisteröinnin todentavalle käyttäjälle ja antaa hänelle välittömästi kertakirjautumisoikeuden tuettuihin natiivi- ja verkkoappeihin.
Jos alustan kertakirjautumislaajennus ja ‑määritys on määritetty, macOS lataa ja asentaa ne. Tämä voi tapahtua ennen varsinaista rekisteröintiä laitehallintapalveluun, minkä ansiosta rekisteröinti voidaan todentaa kertakirjautumisella, tai rekisteröinnin jälkeen, kun Mac on Await Configuration ‑tilassa. Tämän työnkulun aikana Mac suorittaa laiterekisteröinnin joko käyttäjältä kysymättä tai käyttäjää kehottaen ja pyytää käyttäjää todentautumaan identiteetin tarjoajalle käyttäjän rekisteröimistä varten. Käyttäjät eivät voi jatkaa ilman onnistunutta alustan kertakirjautumisen rekisteröintiä.
Onnistuneen todennuksen jälkeen macOS luo paikallisen tilin, ja joko salasana synkronoidaan identiteetin tarjoajan kanssa tai käyttäjä asettaa paikallisen salasanan (kun alustan kertakirjautuminen käyttää Secure Enclaven takaamaa avainta). Voit tarvittaessa vaatia paikallisen salasanan monimutkaisuutta käyttämällä Pääsykoodi-määritystä.
Tämän jälkeen macOS voi synkronoida paikallisen tilin kirjautumiskuvan identiteetin tarjoajalta, jos se on määritetty.
Voit yhdistää alustan kertakirjautumiseen automaattisen laiterekisteröinnin aikana ohjelmistopäivityksen vaatimisen. Tässä tapauksessa laitehallintapalvelun on ensin vaadittava päivitys.
Jos macOS:n luoma käyttäjätili on Macin ainoa käyttäjätili, siitä tulee ylläpitäjätili. Jos laitehallintapalvelu on luonut tilinmäärityskomentoa käyttämällä ylläpitäjätilin, voit määrittää käyttäjätilille eri oikeudet alustan kertakirjautumisen ryhmähallinnan avulla.
Kertakirjautuminen
Koska alustan kertakirjautuminen on osa laajennettavaa kertakirjautumista, käyttäjät voivat kirjautua sisään kerran ja käyttää sen jälkeen tuettuja natiivi- ja verkkoappeja todennustunnisteella.
Jos tunnisteet puuttuvat, ovat vanhentuneet tai ovat yli neljä tuntia vanhoja, alustan kertakirjautuminen yrittää päivittää ne tai hakea uudet identiteetin tarjoajalta. Voit myös määrittää, kuinka pitkän ajan (vähintään tunti, määritetään sekunteina) jälkeen alustan kertakirjautuminen vaatii tunnisteiden päivittämisen sijasta täyden sisäänkirjautumisen. Oletusarvo on 18 tuntia.
Alustan kertakirjautuminen Järjestelmäasetuksissa
Kun käyttäjät on rekisteröity alustan kertakirjautumiseen, he voivat tarkistaa rekisteröinnin tilansa valitsemalla Järjestelmäasetukset > Käyttäjät ja ryhmät > [käyttäjätunnus]. Siellä käyttäjä voi korjata rekisteröinnin tai päivittää todennustunnisteensa.
Laiterekisteröinnin tila näkyy kohdassa Käyttäjät ja ryhmät > Verkkotilipalvelin. Siellä voidaan myös valita ongelman korjaaminen.
Salasanan synkronointi- ja kirjautumiskäytännöt
Jos käytät todennusmenetelmänä salasanaa, paikallisen käyttäjän salasana synkronoidaan automaattisesti identiteetin tarjoajan kanssa aina, kun käyttäjä vaihtaa salasanansa joko paikallisesti tai etänä. macOS pyytää tarvittaessa käyttäjää syöttämään edellisen salasanan.
Oletuksena paikallisen tilin salasana vaaditaan FileVaultin, lukitun näytön ja kirjautumisikkunan avaamiseen. Jos syötetty salasana ei vastaa paikallisen käyttäjätilin salasanaa, macOS yrittää saada yhteyden identiteetin tarjoajaan ajantasaista todentamista varten. Jos macOS ei saa yhteyttä identiteetin tarjoajaan tai syötetty salasana ei vastaa identiteetin tarjoajan tallentamaa salasanaa, todentaminen epäonnistuu.
Kirjautumiskäytännöillä voidaan sallia näissä kolmessa kehotuksessa välitön nykyisen tilin salasanan käyttö identiteetin tarjoajalta. Voit myös asettaa seuraavat käytännöt erikseen FileVaultille, lukitulle näytölle ja kirjautumisikkunalle:
Yritä todentaa.
Jos tämä on määritetty, yritetään ajantasaista todennusta identiteetin tarjoajalta.
Jos Mac on yhteydessä verkkoon, jatkamiseen vaaditaan onnistunut todentaminen identiteetin tarjoajalta, vaikka Macin verkkoyhteys katkeaisi ensimmäisen yrityksen jälkeen.
Jos todentaminen onnistuu, alustan kertakirjautuminen päivittää paikallisen salasanan.
Jos Mac ei ole yhteydessä verkkoon, käyttäjä voi käyttää paikallisen tilinsä salasanaa.
Vaadi todentaminen.
Jos tämä on määritetty, jatkamiseen vaaditaan ajantasainen todentaminen identiteetin tarjoajalta.
Jos Macilla on verkkoyhteys, jatkamiseen vaaditaan onnistunut todentaminen identiteetin tarjoajalta riippumatta siitä, onko käyttöön määritetty aikaraja todentamiselle silloin, kun Mac ei ole yhteydessä verkkoon.
Jos todentaminen onnistuu, alustan kertakirjautuminen päivittää paikallisen salasanan.
Jos Mac ei ole yhteydessä verkkoon, käyttäjät eivät voi kirjautua sisään. Voit ottaa tällaisia tilanteita varten käyttöön aikarajan käytettäväksi silloin, kun verkkoyhteyttä ei ole, ja asettaa, kuinka monta päivää onnistuneen kirjautumisen jälkeen käyttäjä voi jatkaa paikallisen tilin salasanan käyttöä.
Voit määrittää, pitääkö kaikkien tilien kirjautumisia Macissa hallita alustan kertakirjautumisella vai sallitaanko myös vain paikalliset tilit edelleen. Voit myös asettaa aikarajan (päivinä), jonka jälkeen käytäntö otetaan käyttöön. Näin paikallisia tilejä on mahdollista käyttää väliaikaisesti. Voit esimerkiksi käyttää laitehallintapalvelun luomaa ylläpitäjätiliä tilapäisesti alustan kertakirjautumisen laiterekisteröinnin suorittamiseen tai korjaamiseen.
Voit myös sallia käyttäjän käyttää lukitulla näytöllä ajantasaisen todentamisen sijasta Touch ID:tä tai Apple Watchia.
Tarvittaessa paikalliset tilit (jotka olet määritellyt) voidaan vapauttaa kirjautumiskäytännöistä eikä niitä kehoteta rekisteröitymään alustan kertakirjautumiseen.
Ryhmähallinta ja verkkovaltuutus
Alustan kertakirjautuminen voi mahdollistaa yksityiskohtaisen oikeuksien hallinnan antamalla tilille seuraavat oikeudet joka kerta, kun käyttäjä todentautuu:
Normaali: Tili saa normaalikäyttäjän oikeudet.
Ylläpitäjä: Tili lisätään paikallisten ylläpitäjien ryhmään.
Ryhmät: Oikeudet määritetään ryhmäjäsenyyden mukaan. Ne päivitetään aina, kun käyttäjä todentautuu identiteetin tarjoajalle.
Kun käytät ryhmiä, tili saa oikeudet seuraavien ryhmien jäsenyyden perusteella:
Ylläpitäjäryhmät: Jos tili sisältyy luettelossa olevaan ryhmään, sillä on paikallisen ylläpitäjän oikeudet.
Valtuutusryhmät: Jos tili sisältyy ryhmään, jolle on määritetty valmiiksi määritelty tai muokattu valtuutusoikeus, tilillä on kyseisen ryhmän mukaiset oikeudet. Esimerkiksi macOS käyttää seuraavia valtuutusoikeuksia:
system.preferences.datetime, joka sallii tilin muokata aika-asetuksia.system.preferences.energysaver, joka sallii tilin muokata energiansäästöasetuksia.system.preferences.network, joka sallii tilin muokata verkkoasetuksia.system.preferences.printing, joka sallii tilin lisätä tai poistaa tulostimia.
Lisäryhmät: macOS:lle tai tietyille apeille tehtyjä muokattuja ryhmiä, jotka macOS luo automaattisesti paikalliseen hakemistoon (jos niitä ei jo ole). Voit esimerkiksi määrittää
sudo-käyttöoikeudet käyttämällä lisäryhmääsudo-määrityksessä.
Verkkovaltuutus
Alustan kertakirjautumisen ansiosta käyttäjät, joilla ei ole paikallista Mac-tiliä, voivat käyttää valtuutukseen identiteetin tarjoajan kirjautumistietoja. Nämä tilit käyttävät samoja ryhmiä kuin ryhmähallinta. Esimerkiksi jos tili kuuluu johonkin ylläpitäjäryhmistä, se voi suorittaa ylläpitäjän valtuutuskehotuksia. Jotta voit käyttää tätä toimintoa, määritä alustan kertakirjautuminen jaetuilla laitetunnisteilla.
Verkkovaltuutusta ei voida käyttää sellaisille valtuutuskehotuksille, jotka vaativat Secure Tokenin, omistusoikeudet tai parhaillaan kirjautuneena olevan käyttäjän suorittaman todennuksen.
Tilin luominen tarvittaessa
Jaetuissa laitteissa käyttäjät voivat kirjautua sisään identiteetin tarjoajan käyttäjätunnuksella ja salasanalla tai älykortilla paikallisen tilin automaattista luomista varten.
Käyttöönottoprosessista voidaan tehdä täysin automatisoitu käyttämällä automaattista laiterekisteröintiä ja automaattisia ennakkomäärityksiä. Ensimmäinen paikallinen ylläpitäjätili on luotava käyttäen laitehallintapalvelua, ja alustan kertakirjautumisen rekisteröinti on tehtävä ilman käyttäjän vuorovaikutusta.
Tilien luominen tarvittaessa edellyttää seuraavia toimia:
Rekisteröi Mac laitehallintapalveluun, joka tukee Bootstrap Tokeneita.
Lisää seuraavat: kertakirjautumislaajennuksen määritys, joka sisältää alustan kertakirjautumisen, jaetut laitetunnisteet ja mahdollisuuden luoda käyttäjä kirjautumisen yhteydessä.
Suorita käyttöönottoapuri loppuun ja luo paikallinen ylläpitäjätili.
Macin tulee olla kirjautumisikkunassa siten, että FileVaultin lukitus on avattu ja Macilla on verkkoyhteys.
Voit määrittää valinnaista määritystä käyttäen, mitä identiteetin tarjoajan attribuuttia käytetään paikallisen tilin nimelle (käyttäjätunnukselle) ja koko nimelle. Ylläpitäjät voivat myös asettaa tilin nimen avaimen arvoksi com.apple.PlatformSSO.AccountShortName, jolloin tilin nimenä käytetään UPN-etuliitettä.
Voit myös määrittää, mitä oikeuksia uusille käyttäjätileille annetaan kirjautumisen yhteydessä. Saatavilla ovat samat vaihtoehdot ryhmähallinnalle:
Normaali: Tili saa normaalikäyttäjän oikeudet.
Ylläpitäjä: Tili lisätään paikallisten ylläpitäjien ryhmään.
Ryhmät: Oikeudet määritetään ryhmäjäsenyyden mukaan. Ne päivitetään aina, kun käyttäjä todentautuu identiteetin tarjoajalle.
Todennettu vierastila
Todennettu vierastila sujuvoittaa kirjautumista jaetuilla laitteilla esimerkiksi lääkäriasemilla tai oppilaitoksissa, joissa käyttäjät voivat kirjautua tilapäisesti sisään identiteetin tarjoajan kirjautumistiedoilla, eivätkä he tarvitse pysyvää paikallista tiliä. Käyttäjä saa oletuksena normaalikäyttäjän oikeudet, mutta oikeuksia voidaan muuttaa käyttämällä alustan kertakirjautumisen ryhmähallintaa.
Vaatimukset ovat samat kuin tarvittaessa luotaville tileille, mutta tässä tapauksessa määritetään todennettu vierastila eikä luoda käyttäjää kirjautumisen yhteydessä.
Kun käyttäjä kirjautuu ulos, macOS poistaa kaikki kyseisen tilin paikalliset tiedot ja jaettu Mac on valmis seuraavan käyttäjän kirjautumiseen.
Kirjaudu napauttamalla
Kirjaudu napauttamalla ‑ominaisuus tuo Lompakon digitaalisten tunnistetietojen tuen macOS:ään. Organisaatiot, jotka ovat ottaneet käyttöön digitaalisia kulkukortteja Lompakko-apissa (jolloin käyttäjät voivat avata ovia iPhonella tai Apple Watchilla), voivat nyt lisätä saman käyttökokemuksen myös Maciin kirjautumiseen.
Tämä todennusmenetelmä on erityisen hyödyllinen organisaatioissa, joissa Maceja jaetaan useiden käyttäjien kesken, kuten oppilaitoksissa, vähittäiskaupoissa ja terveydenhuollon toimipisteissä.
Kirjaudu napauttamalla ‑toiminnon avulla käyttäjät voivat todentautua Macissa, jolle on määritetty todennettu vierastila, napauttamalla Maciin liitettyä lähilukulaitetta iPhonella tai Apple Watchilla. Tämä käynnistää suojatun kertakirjautumisprosessin, joka todentaa käyttäjät automaattisesti heidän tarvitsemilleen apeille ja sivustoille. Näin he voivat kirjautua sisään ja aloittaa työskentelyn nopeasti.
Käyttäjän kirjautumistiedot provisioidaan käyttöavaimina Lompakko-korttiin iPhone-apin tai selaimen kautta. Nämä käyttöavaimet tallennetaan laitteen Secure Enclaveen, joten ne ovat laitteiston takaamia ja salattuja, mikä auttaa suojautumisessa peukaloinnilta ja paljastumiselta. Pikakäyttötila mahdollistaa todennuksen välittömästi ilman, että käyttäjän tarvitsee herättää laitetta tai avata sen lukitusta. Se toimii samalla tavoin kuin matkakortit toimivat Lompakossa.
Kirjaudu napauttamalla ‑ominaisuus edellyttää, että Mac on:
määritetty käyttämään todennettua vierastilaa
varustettu tuetulla ulkoisella lähilukulaitteella
Käyttöavainten luominen ja hallinta edellyttävät osallistumista Apple Wallet Access Program ‑ohjelmaan. Lisätietoja käyttöavaimen luomisesta on Apple Wallet Access Program Guide ‑oppaan osiossa Provisioning.