Plateforme d’authentification unique pour macOS
Présentation
Grâce à l’authentification unique à la plateforme, vous (ou un développeur spécialisé dans la gestion d’identité) pouvez créer des extensions d’authentification unique qui permettent aux utilisateurs de s’authentifier auprès du compte du fournisseur d’identité (IdP) de votre organisation sur un Mac lors de l’utilisation de l’Assistant réglages. L’authentification unique à la plateforme peut être combinée avec d’autres extensions d’authentification unique en tenant compte des points suivants :
Un domaine précis peut uniquement être géré par une seule extension d’authentification unique.
syncLocalPassworddoit être défini surfalsedans la configuration d’authentification unique Kerberos.
Fonctionnalités
L’authentification unique à la plateforme prend en charge les fonctionnalités suivantes :
Activer et appliquer l’authentification unique à la plateforme pendant l’inscription automatisée de l’appareil pour authentifier l’inscription, se connecter avec un compte Apple géré et créer un utilisateur local
Fournir une expérience d’authentification unique pour les apps natives et Web
Afficher l’état et les détails d’inscription de l’authentification unique à la plateforme dans Réglages système
Synchroniser les mots de passe des comptes d’utilisateurs locaux avec le fournisseur d’identité et définir des politiques de connexion
Définir les autorisations de groupe des comptes de fournisseur d’identité et autoriser les utilisateurs à utiliser les comptes de fournisseur d’identité réservés au réseau lors des demandes d’autorisation
Créer des comptes d’utilisateur locaux à la demande lors d’une connexion avec les informations d’identification d’un compte de fournisseur d’identité
Prendre en charge les utilisateurs invités qui se connectent temporairement avec les informations d’identification de leur fournisseur d’identité sur les ordinateurs Mac partagés
Remarque : La plupart des fonctionnalités requièrent la prise en charge de l’extension d’authentification unique. Pour en savoir plus sur la mise en œuvre de l’authentification unique à la plateforme dans votre organisation, consultez la documentation de votre fournisseur d’identité.
Conditions
Un Mac avec puce Apple ou un Mac avec processeur Intel et Touch ID
Un service de gestion des appareils qui prend en charge l’entité Authentification unique extensible compatible avec les plateformes d’authentification unique
Une app contenant une extension d’authentification unique à la plateforme compatible avec le fournisseur d’identité
macOS 13 ou version ultérieure
Les fonctionnalités suivantes requièrent une version plus récente :
Fonctionnalité | Version du système d’exploitation minimum prise en charge | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Mode invité authentifié | macOS 26 | ||||||||||
Toucher pour se connecter | macOS 26 | ||||||||||
Authentification unique à la plateforme pendant l’inscription automatisée des appareils | macOS 26 | ||||||||||
Préfixe UPN comme nom de compte local | macOS 15.4 | ||||||||||
Attestation pour les identifiants d’appareil | macOS 15.4 | ||||||||||
Politiques de connexion | macOS 15 | ||||||||||
Création de comptes à la demande | macOS 14 | ||||||||||
Gestion des groupes et autorisation réseau | macOS 14 | ||||||||||
Authentification unique à la plateforme dans Réglages système | macOS 14 | ||||||||||
Configuration de l’authentification unique à la plateforme
Pour utiliser l’authentification unique à la plateforme, le Mac et chaque utilisateur doivent s’inscrire auprès du fournisseur d’identité. Selon la prise en charge du fournisseur d’identité et la configuration appliquée, le Mac peut procéder à l’inscription de l’appareil en arrière-plan et en silence en utilisant :
un jeton d’enregistrement du fournisseur d’identité fourni lors de la configuration d’authentification unique extensible;
une attestation qui fournit une assurance élevée que le Mac est un appareil Apple authentique et qui peut inclure les identifiants d’appareil (UDID et numéro de série).
Pour maintenir une connexion fiable avec le fournisseur d’identité indépendamment de l’utilisateur, l’authentification unique à la plateforme prend en charge les clés d’appareil partagées. Utilisez les clés d’appareil partagées autant que possible, car elles sont requises pour l’inscription automatisée des appareils, la création de comptes à la demande, l’autorisation réseau et le mode invité authentifié.
Une fois l’appareil inscrit, l’utilisateur s’inscrit aussi sauf si le compte utilise le mode Invité authentifié. Si le fournisseur d’identité l’exige, l’utilisateur peut être invité à confirmer son inscription. Pour les comptes locaux à la demande, l’authentification unique à la plateforme inscrit l’utilisateur automatiquement en arrière-plan.
Remarque : Si vous désinscrivez un Mac à partir du service de gestion des appareils, il est également désenregistré du fournisseur d’identité.
Méthodes d’authentification
L’authentification unique à la plateforme prend en charge différents modes d’authentification avec un fournisseur d’identité. La prise en charge de chacune de ces méthodes dépend du fournisseur d’identité et de l’extension d’authentification unique à la plateforme.
Mot de passe : Avec cette méthode, un utilisateur s’authentifie avec un mot de passe local ou un mot de passe du fournisseur d’identité. WS-Trust est également pris en charge, ce qui permet à l’utilisateur de s’authentifier même lorsque le fournisseur d’identité qui gère son compte est fédéré.
Clé protégée par le Secure Enclave : Avec cette méthode, un utilisateur qui se connecte à son Mac peut utiliser une clé renforcée par Secure Enclave pour s’authentifier auprès du fournisseur d’identité sans mot de passe. Le fournisseur d’identité configure la clé Secure Enclave pendant le processus d’inscription de l’utilisateur.
Carte à puce : Cette méthode permet à un utilisateur de s’authentifier au moyen d’une carte à puce auprès du fournisseur d’identité. Pour utiliser cette méthode, vous devez :
enregistrer la carte à puce auprès du fournisseur d’identité;
configurer le mappage d’attributs de la carte à puce sur le Mac.
Pour obtenir des détails et un exemple de configuration de mappage d’attributs, consultez la page de manuel de Project Smart Card Services.
Clé d’accès : avec cette méthode, les utilisateurs utilisent une carte stockée dans l’app Portefeuille d’Apple pour s’authentifier auprès du fournisseur d’identité. À l’instar d’une carte à puce, la clé d’accès doit être enregistrée auprès du fournisseur d’identité.
Certaines fonctionnalités, comme la création de comptes à la demande, requièrent l’utilisation d’un mode d’authentification précis.
Fonctionnalité | Mot de passe | Clé protégée par le Secure Enclave | Carte à puce | Clé d’accès | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gestion des groupes |  | | | | |||||||
Inscription automatisée des appareils | | | |  | |||||||
Mode invité authentifié | | | | | |||||||
Création de comptes à la demande | | | | | |||||||
Synchronisation des mots de passe | | | | | |||||||
Remarque : L’extension d’authentification unique à la plateforme doit prendre en charge le mode demandé pour terminer l’inscription. Vous pouvez également changer de mode, par exemple, un compte créé avec un nom d’utilisateur et un mot de passe peut ensuite utiliser une clé protégée par le Secure Enclave ou une carte à puce une fois la connexion établie.
Authentification unique à la plateforme avec l’inscription automatisée des appareils
Les organisations peuvent activer et appliquer l’authentification unique à la plateforme par l’entremise d’Assistant réglages avec l’inscription automatisée des appareils. Cette option fonctionne mieux sur les appareils à utilisateur unique. macOS crée automatiquement un compte local pour l’utilisateur qui authentifie l’inscription, il peut ainsi utiliser sans délai l’authentification unique avec les apps natives et Web prises en charge.
Si macOS est configuré, il télécharge et installe l’extension et la configuration d’authentification unique à la plateforme. Cela peut se produire avant l’inscription auprès du service de gestion des appareils, qui permet d’authentifier l’inscription avec l’authentification unique, ou après l’inscription, lorsque le Mac est maintenu dans l’état d’attente de configuration. Lors de ce processus, le Mac procède à l’inscription de l’appareil en arrière-plan ou en invitant l’utilisateur à le faire, puis demande à l’utilisateur de s’authentifier auprès de son fournisseur d’identité pour effectuer son inscription. Les utilisateurs ne peuvent pas continuer sans s’inscrire à l’authentification unique à la plateforme.
Une fois l’authentification réussie, macOS crée un compte local, et le mot de passe est soit synchronisé avec le fournisseur d’identité, soit défini par l’utilisateur (lorsque l’authentification unique à la plateforme utilise une clé protégée par le Secure Enclave). Si nécessaire, vous pouvez imposer des exigences de complexité du mot de passe local à l’aide de la configuration du code.
Si cette fonctionnalité est configurée, macOS peut ensuite synchroniser l’image de profil du compte local à partir du fournisseur d’identité.
Vous pouvez utiliser l’authentification unique à la plateforme pendant l’inscription automatisée des appareils avec une mise à jour logicielle imposée. Dans ce cas, le service de gestion des appareils doit d’abord imposer la mise à jour.
Si le compte d’utilisateur créé par macOS est le seul sur le Mac, il devient un compte d’administrateur. Si le service de gestion des appareils a créé un compte d’administrateur à l’aide de la commande de configuration de compte, vous pouvez attribuer des privilèges différents au compte d’utilisateur à l’aide de la gestion des groupes d’authentification unique à la plateforme.
Authentification unique
Étant donné que l’authentification unique à la plateforme fait partie de l’authentification unique extensible, les utilisateurs se connectent une seule fois et utilisent ce jeton d’authentification pour accéder aux apps natives et Web prises en charge.
Si les jetons sont manquants, expirés ou datent de plus de quatre heures, l’authentification unique à la plateforme tente de les actualiser ou d’en obtenir de nouveaux auprès du fournisseur d’identité. Vous pouvez également configurer la durée (minimum 1 heure, en secondes) avant que l’authentification unique à la plateforme ne requière une connexion complète au lieu d’une actualisation du jeton. La valeur par défaut est 18 heures.
Authentification unique à la plateforme dans Réglages Système
Après s’être inscrits à l’authentification unique à la plateforme, les utilisateurs peuvent consulter l’état de leur inscription dans Réglages système > Utilisateurs et groupes > [nom d’utilisateur]. À partir de là, l’utilisateur peut commencer une réparation de l’inscription et imposer une actualisation de son jeton d’authentification.
L’état d’inscription de l’appareil est visible dans Utilisateurs et groupes > Serveur de compte réseau et offre également une option permettant d’effectuer une réparation.
Politiques de synchronisation des mots de passe et de connexion
Si vous utilisez le mode d’authentification par mot de passe, le mot de passe de l’utilisateur local est automatiquement synchronisé avec le fournisseur d’identité chaque fois qu’un utilisateur modifie son mot de passe, localement ou à distance. Si nécessaire, macOS demande à l’utilisateur son ancien mot de passe.
Par défaut, le mot de passe du compte local est requis pour déverrouiller FileVault, l’écran verrouillé et sur la fenêtre de connexion. Si le mot de passe saisi ne correspond pas au mot de passe du compte d’utilisateur local, macOS tente de contacter le fournisseur d’identité pour effectuer une authentification en direct. Si macOS ne parvient pas à communiquer avec le fournisseur d’identité ou si le mot de passe saisi ne correspond pas à celui stocké par le fournisseur d’identité, l’authentification échoue.
Grâce aux politiques de connexion, vous pouvez autoriser immédiatement l’utilisation du mot de passe du compte actuel du fournisseur d’identité lors de ces trois demandes. Vous pouvez également définir les politiques suivantes individuellement pour FileVault, l’écran verrouillé et la fenêtre de connexion :
Tentative d’authentification.
Si la configuration le permet, une tentative d’authentification en direct est effectuée auprès du fournisseur d’identité.
Si le Mac est en ligne, une authentification réussie auprès du fournisseur d’identité est requise pour continuer, même si le Mac est hors ligne après la première tentative.
Si l’authentification est réussie, l’authentification unique à la plateforme met à jour le mot de passe local.
Si le Mac est hors ligne, l’utilisateur peut utiliser le mot de passe de son compte local.
Authentification requise.
Si elle est configurée, l’authentification en direct auprès du fournisseur d’identité est requise pour continuer.
Si le Mac est en ligne, une authentification réussie auprès du fournisseur d’identité est requise pour continuer, peu importe la période de grâce hors ligne configurée.
Si l’authentification est réussie, l’authentification unique à la plateforme met à jour le mot de passe local.
Si le Mac est hors ligne, les utilisateurs ne peuvent pas se connecter. Dans ces situations, vous pouvez activer une période de grâce hors ligne et définir le nombre de jours pendant lesquels l’utilisateur pourra continuer à utiliser le mot de passe du compte local à partir de la dernière connexion réussie.
Vous pouvez définir si tout compte utilisé pour se connecter au Mac doit être géré par l’authentification unique à la plateforme ou si les comptes locaux sont toujours autorisée. Vous pouvez aussi définir une période de grâce (en jours) après l’entrée en vigueur de la politique et avant sa mise en application. Cela permet l’utilisation temporaire des comptes locaux. Par exemple, vous pouvez utiliser temporairement un compte d’administrateur créé par le service de gestion des appareils pour inscrire l’appareil ou réparer son inscription à l’authentification unique à la plateforme.
Au lieu d’exiger une authentification en direct, vous pouvez autoriser les utilisateurs à utiliser Touch ID ou Apple Watch sur l’écran verrouillé.
Si nécessaire, les comptes locaux (que vous avez définis) peuvent être exemptés des politiques de connexion et ne pas être sommés de s’inscrire à l’authentification unique à la plateforme.
Gestion des groupes et autorisation réseau
L’authentification unique à la plateforme permet une gestion granulaire des droits en appliquant les privilèges suivants à un compte chaque fois que l’utilisateur s’authentifie :
Standard : le compte obtient les privilèges d’utilisateur standard.
Administrateur : le compte est ajouté au groupe d’administrateurs locaux.
Groupes : les privilèges sont définis en fonction de l’appartenance à un groupe, qui sont mis à jour chaque fois que l’utilisateur s’authentifie auprès du fournisseur d’identité.
Lorsque vous utilisez des groupes, un compte obtient des privilèges en fonction de son appartenance aux groupes suivants :
Groupes d’administrateurs : si le compte appartient à un groupe répertorié, il disposera alors d’un accès administrateur local.
Groupes d’autorisation : si le compte fait partie d’un groupe assigné à un droit d’autorisation intégré ou personnalisé, le compte dispose alors des privilèges associés à ce groupe. Par exemple, macOS utilise les droits d’autorisation suivants :
system.preferences.datetime, qui permet au compte de modifier les réglages de l’heure.system.preferences.energysaver, qui permet au compte de modifier les réglages d’économie d’énergie.system.preferences.network, qui permet au compte de modifier les réglages réseau.system.preferences.printing, qui permet au compte d’ajouter ou de supprimer des imprimantes.
Groupes supplémentaires : il s’agit de groupes personnalisés pour macOS ou des apps précises, que macOS crée automatiquement dans le répertoire local (s’ils n’existent pas déjà). Par exemple, vous pouvez utiliser un groupe supplémentaire dans la configuration
sudopour définir l’accèssudo.
Autorisation réseau
L’authentification unique à la plateforme permet aux utilisateurs qui ne disposent pas de compte local sur le Mac d’utiliser leurs informations d’identification du fournisseur d’identité à des fins d’autorisation. Ces comptes utilisent les mêmes groupes que la gestion de groupes. Par exemple, si le compte fait partie de l’un des groupes d’administrateurs, il peut émettre des demandes d’autorisation d’administrateur. Pour utiliser cette fonctionnalité, configurez l’authentification unique à la plateforme avec des clés d’appareil partagées.
L’autorisation réseau n’est pas possible avec les demandes d’autorisation qui requièrent un jeton sécurisé, des autorisations de propriété ou une authentification par l’utilisateur connecté.
Création de comptes à la demande
Dans les déploiements partagés, les utilisateurs peuvent se connecter à l’aide du nom d’utilisateur et du mot de passe de leur fournisseur d’identité ou d’une carte à puce pour créer automatiquement un compte local.
Vous pouvez automatiser entièrement le processus d’approvisionnement en utilisant l’inscription automatisée des appareils avec la fonctionnalité d’avance automatique. Vous devez créer le premier compte d’administrateur local à l’aide d’un service de gestion des appareils et effectuer une inscription silencieuse à l’authentification unique à la plateforme.
Vous devez procéder comme suit afin de pouvoir utiliser la création de comptes à la demande :
Inscrivez le Mac à un service de gestion des appareils qui prend en charge les jetons d’amorçage.
Suivez les instructions ci-dessous : une configuration d’extension d’authentification unique avec l’authentification unique à la plateforme, des clés d’appareil partagées et la possibilité de créer un utilisateur lors de la connexion.
Complétez les étapes d’Assistant réglages et créez un compte d’administrateur local.
Configurez la fenêtre de connexion du Mac de sorte que FileVault soit déverrouillé et qu’une connexion réseau soit établie.
En utilisant une configuration facultative, vous pouvez préciser quel attribut de fournisseur d’identité utiliser pour le nom de compte local (nom court) et le nom complet. Les administrateurs peuvent également définir la clé du nom de compte sur com.apple.PlatformSSO.AccountShortName pour utiliser le préfixe UPN.
Vous pouvez également définir les privilèges à appliquer aux nouveaux comptes créés au moment de la connexion. Les mêmes options de gestion de groupe sont disponibles :
Standard : le compte obtient les privilèges d’utilisateur standard.
Administrateur : le compte est ajouté au groupe d’administrateurs locaux.
Groupes : les privilèges sont définis en fonction de l’appartenance à un groupe, qui sont mis à jour chaque fois que l’utilisateur s’authentifie auprès du fournisseur d’identité.
Mode invité authentifié
Le mode invité authentifié offre une expérience de connexion simplifiée pour les déploiements partagés, comme les cabinets médicaux ou les écoles, où les utilisateurs se connectent temporairement avec leurs informations d’identification du fournisseur d’identité et n’ont pas besoin d’un compte local permanent. L’utilisateur obtient par défaut les privilèges d’utilisateur standard, mais vous pouvez modifier ces privilèges à l’aide de la gestion des groupes d’authentification unique à la plateforme.
Les conditions sont les mêmes que pour la création de comptes à la demande, sauf qu’il faut configurer le mode invité authentifié au lieu d’utiliser l’option de création d’utilisateur lors de la connexion.
Lorsqu’un utilisateur se déconnecte, macOS efface toutes les données locales de ce compte, et le Mac partagé est prêt pour la connexion du prochain utilisateur.
Toucher pour se connecter
« Toucher pour se connecter » offre à macOS la prise en charge des informations d’identification numériques de l’app Portefeuille d’Apple. Les organisations qui utilisent déjà des cartes numériques dans l’app Portefeuille d’Apple (permettant aux utilisateurs de déverrouiller des portes avec un iPhone ou une Apple Watch) peuvent désormais offrir cette même expérience lors de la connexion à un Mac.
Ce mode d’authentification est particulièrement utile pour les organisations qui partagent un Mac entre plusieurs utilisateurs, notamment les établissements d’enseignement, les commerces et les établissements de santé.
Grâce à « Toucher pour se connecter », les utilisateurs peuvent s’authentifier sur un Mac configuré pour le mode invité authentifié lorsqu’ils présentent leur iPhone ou Apple Watch à un lecteur CCP connecté. Cela initie un processus d’authentification unique sécurisé qui authentifie automatiquement les utilisateurs auprès de leurs apps et sites Web, ce qui leur permet de se connecter rapidement et de se mettre au travail.
Les informations d’identification de l’utilisateur sont fournies sous forme de clés d’accès dans une carte Portefeuille d’Apple par l’entremise d’une app ou d’un navigateur pour iPhone. Ces clés d’accès sont stockées dans le Secure Enclave de l’appareil, ce qui les chiffre et protège contre les tentatives de modification ou d’extraction. Le mode Express permet l’authentification immédiate sans que les utilisateurs aient à activer ou à déverrouiller leur appareil, à l’instar des cartes de transport en commun dans l’app Portefeuille d’Apple.
Pour mettre en œuvre la fonctionnalité « Toucher pour se connecter », le Mac concerné doit être :
configuré pour permettre le mode invité authentifié;
équipé d’un lecteur CCP externe pris en charge.
La création et la gestion de clés d’accès requièrent la participation au programme d’accès de l’app Portefeuille d’Apple. Pour en savoir plus sur la création d’une clé d’accès, consultez Approvisionnement dans le guide du programme d’accès au moyen de l’app Portefeuille d’Apple.