Plateforme d’authentification unique pour macOS
Avec l’authentification unique à la plateforme, vous (ou un développeur spécialisé dans la gestion d’identité) pouvez créer des extensions d’authentification unique qui permettent aux utilisateurs d’utiliser le compte de votre organisation à partir d’un fournisseur d’identité sur un Mac pendant la configuration initiale.
Fonctionnalités
L’authentification unique à la plateforme prend en charge les fonctionnalités suivantes :
Activer et appliquer l’authentification unique à la plateforme pendant l’inscription automatisée de l’appareil pour authentifier l’inscription, se connecter avec un compte Apple géré et créer un utilisateur local
Fournir une expérience d’authentification unique pour les apps natives et Web
Obtenir des informations sur l’authentification unique à la plateforme dans Réglages système
Synchroniser les mots de passe des comptes d’utilisateurs locaux avec le fournisseur d’identité et définir des politiques de connexion
Définir les autorisations de groupe des comptes de fournisseur d’identité et autoriser les utilisateurs à utiliser les comptes de fournisseur d’identité réservés au réseau lors des demandes d’autorisation
Créer des comptes d’utilisateur locaux à la demande lors d’une connexion avec les informations d’identification d’un compte de fournisseur d’identité
Prendre en charge les utilisateurs invités qui se connectent temporairement avec les informations d’identification de leur fournisseur d’identité sur les ordinateurs Mac partagés
Remarque : La plupart des fonctionnalités requièrent la prise en charge de l’extension d’authentification unique. Pour en savoir plus sur la mise en œuvre de l’authentification unique à la plateforme dans votre organisation, consultez la documentation de votre fournisseur d’identité.
Conditions
Un Mac avec puce Apple ou un Mac avec processeur Intel et Touch ID
Un service de gestion des appareils qui prend en charge l’entité Authentification unique extensible compatible avec les plateformes d’authentification unique
Une app contenant une extension d’authentification unique à la plateforme compatible avec le fournisseur d’identité
macOS 13 ou version ultérieure
Les fonctionnalités suivantes requièrent une version plus récente :
Fonctionnalité | Version du système d’exploitation minimum prise en charge | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Mode invité authentifié | macOS 26 | ||||||||||
Toucher pour se connecter | macOS 26 | ||||||||||
Authentification unique à la plateforme pendant l’inscription automatisée des appareils | macOS 26 | ||||||||||
Préfixe UPN comme nom de compte local | macOS 15.4 | ||||||||||
Attestation pour les identifiants d’appareil | macOS 15.4 | ||||||||||
Politiques de connexion | macOS 15 | ||||||||||
Création de comptes à la demande | macOS 14 | ||||||||||
Gestion des groupes et autorisation réseau | macOS 14 | ||||||||||
Authentification unique à la plateforme dans Réglages système | macOS 14 | ||||||||||
Configuration de l’authentification unique à la plateforme
Pour utiliser l’authentification unique à la plateforme, le Mac et chaque utilisateur doivent s’inscrire auprès du fournisseur d’identité. Selon la prise en charge du fournisseur d’identité et la configuration appliquée, le Mac peut procéder à l’inscription de l’appareil en arrière-plan et en silence en utilisant :
un jeton d’enregistrement fourni lors de la configuration de gestion des appareils;
une attestation qui fournit une assurance élevée concernant les identifiants d’appareil (UDID et numéro de série).
Pour maintenir une connexion fiable avec le fournisseur d’identité indépendamment de l’utilisateur, l’authentification unique à la plateforme prend en charge les clés d’appareil partagées. Utilisez les clés d’appareil partagées autant que possible, car elles sont requises pour des fonctionnalités telles que l’authentification unique à la plateforme pendant l’inscription automatisée des appareils, la création de comptes d’utilisateur à la demande en fonction des informations du fournisseur d’identité, l’autorisation réseau et le mode invité authentifié.
Une fois l’appareil enregistré, l’utilisateur s’inscrit (sauf si le compte utilisateur utilise le mode Invité authentifié). Si le fournisseur d’identité l’exige, l’inscription de l’utilisateur peut inclure une demande de confirmation de son inscription. Pour les comptes d’utilisateur locaux créés à la demande par l’authentification unique à la plateforme, l’inscription des utilisateurs se fait automatiquement en arrière-plan.
Remarque : Si vous désinscrivez un Mac à partir du service de gestion des appareils, il est également désenregistré du fournisseur d’identité.
Méthodes d’authentification
L’authentification unique à la plateforme prend en charge différents modes d’authentification avec un fournisseur d’identité. La prise en charge de chacune de ces méthodes dépend du fournisseur d’identité et de l’extension d’authentification unique à la plateforme.
Mot de passe : Avec cette méthode, un utilisateur s’authentifie avec un mot de passe local ou un mot de passe du fournisseur d’identité. WS-Trust est également pris en charge, ce qui permet à l’utilisateur de s’authentifier même lorsque le fournisseur d’identité qui gère son compte est fédéré.
Clé protégée par le Secure Enclave : Avec cette méthode, un utilisateur qui se connecte à son Mac peut utiliser une clé renforcée par Secure Enclave pour s’authentifier auprès du fournisseur d’identité sans mot de passe. Le fournisseur d’identité configure la clé Secure Enclave pendant le processus d’inscription de l’utilisateur.
Carte intelligente : Cette méthode permet à un utilisateur de s’authentifier au moyen d’une carte à puce auprès du fournisseur d’identité. Pour utiliser cette méthode, vous devez :
enregistrer la carte à puce auprès du fournisseur d’identité;
configurer le mappage d’attributs de la carte à puce sur le Mac.
Pour obtenir des détails et un exemple de configuration de mappage d’attributs, consultez la page de manuel de Project Smart Card Services.
Clé d’accès : avec cette méthode, les utilisateurs utilisent une carte stockée dans l’app Portefeuille d’Apple pour s’authentifier auprès du fournisseur d’identité. À l’instar d’une carte à puce, la clé d’accès doit être enregistrée auprès du fournisseur d’identité.
Certaines fonctionnalités, comme la création de comptes utilisateur à la demande, requièrent l’utilisation d’un mode d’authentification précis.
Fonctionnalité | Mot de passe | Clé protégée par le Secure Enclave | Carte à puce | Clé d’accès | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gestion des groupes |  | | | | |||||||
Inscription automatisée des appareils | | | |  | |||||||
Mode invité authentifié | | | | | |||||||
Création de comptes à la demande | | | | | |||||||
Synchronisation des mots de passe | | | | | |||||||
Remarque : L’extension d’authentification unique à la plateforme doit prendre en charge la méthode demandée pour effectuer l’inscription. Le changement de méthode est également pris en charge. Par exemple, lorsqu’un nouveau compte utilisateur est créé lors de la connexion avec un nom d’utilisateur et un mot de passe, ce compte peut ensuite utiliser une clé protégée par le Secure Enclave ou une carte à puce une fois la connexion établie.
Authentification unique à la plateforme pendant l’inscription automatisée des appareils
Les organisations peuvent activer et appliquer l’authentification unique à la plateforme par l’entremise d’Assistant réglages avec l’inscription automatisée des appareils. Cette option est destinée aux appareils à utilisateur unique, car l’utilisateur qui authentifie l’inscription obtient automatiquement un compte local et peut utiliser sans délai l’authentification unique avec les apps natives et Web prises en charge.
Le processus fonctionne comme suit :
macOS demande l’inscription et informe le service de gestion des appareils qu’il prend en charge l’authentification unique à la plateforme pendant l’inscription.
Le service de gestion des appareils renvoie une erreur 403 qui comprend des informations sur l’emplacement de la configuration d’authentification unique et le paquet contenant une app avec l’extension d’authentification unique.
macOS télécharge et installe l’extension et la configuration d’authentification unique à la plateforme.
macOS configure l’authentification unique à la plateforme et procède à l’inscription de l’appareil. Si l’attestation est configurée, l’inscription se fait silencieusement en arrière-plan. macOS demande ensuite à l’utilisateur de s’authentifier auprès de son fournisseur d’identité en utilisant l’une des méthodes énumérées précédemment pour procéder à son inscription. Les utilisateurs ne peuvent pas continuer sans s’inscrire à l’authentification unique à la plateforme.
Le fournisseur d’identité gère l’authentification.
Après une authentification réussie, le fournisseur d’identité renvoie un jeton de porteur à macOS.
macOS utilise le jeton porteur pour authentifier l’inscription au service de gestion des appareils et, s’il est fédéré au même fournisseur d’identité, peut connecter l’utilisateur à son compte Apple géré sans que ce dernier ait à saisir à nouveau ses informations d’identification. Pour que cela fonctionne, la fenêtre iCloud d’Assistant réglages doit être présentée à l’utilisateur.
macOS crée un compte local, et le mot de passe est soit synchronisé avec le fournisseur d’identité, soit défini par l’utilisateur (lorsque l’authentification unique à la plateforme utilise une clé protégée par le Secure Enclave). Si nécessaire, vous pouvez imposer des exigences de complexité du mot de passe local à l’aide de la configuration du code.
Si cette fonctionnalité est configurée, macOS peut ensuite synchroniser l’image de profil du compte local à partir du fournisseur d’identité.
Vous pouvez utiliser l’authentification unique à la plateforme pendant l’inscription automatisée des appareils avec une mise à jour logicielle imposée. Dans ce cas, le service de gestion des appareils doit d’abord imposer la mise à jour.
Si le compte d’utilisateur créé par macOS est le seul sur le Mac, il devient un compte d’administrateur. Si le service de gestion des appareils a créé un compte d’administrateur à l’aide de la commande de configuration de compte, vous pouvez attribuer des privilèges différents au compte d’utilisateur à l’aide de la gestion des groupes d’authentification unique à la plateforme.
Authentification unique
Étant donné que l’authentification unique à la plateforme fait partie de l’authentification unique extensible, elle offre les mêmes capacités de connexion unique et permet aux utilisateurs de se connecter une seule fois, puis d’utiliser le jeton fourni par l’authentification initiale pour s’authentifier auprès des apps natives et Web prises en charge.
Si les jetons sont manquants, expirés ou datent de plus de quatre heures, l’authentification unique à la plateforme tente de les actualiser ou d’en obtenir de nouveaux auprès du fournisseur d’identité. Vous pouvez également configurer une durée en secondes (minimum 1 heure) avant que l’authentification unique à la plateforme ne requière une connexion complète au lieu d’une actualisation du jeton. Par défaut, une connexion complète est requise toutes les 18 heures.
Authentification unique à la plateforme dans Réglages Système
Une fois l’authentification unique à la plateforme enregistrée, un utilisateur peut consulter l’état de son enregistrement dans Réglages système > Utilisateurs et groupes > [nom d’utilisateur]. Si nécessaire, l’utilisateur peut commencer une réparation de l’enregistrement et imposer une actualisation de son jeton d’authentification.
L’état d’inscription de l’appareil est visible dans Utilisateurs et groupes > Serveur de compte réseau et offre également une option permettant d’effectuer une réparation.
Politiques de synchronisation des mots de passe et de connexion
Si vous utilisez le mode d’authentification par mot de passe, le mot de passe de l’utilisateur local est automatiquement synchronisé avec le fournisseur d’identité chaque fois qu’un utilisateur modifie son mot de passe, localement ou à distance. Si nécessaire, macOS demande à l’utilisateur son ancien mot de passe.
Par défaut, le mot de passe du compte local est requis pour déverrouiller FileVault, l’écran verrouillé et la fenêtre de connexion. Si le mot de passe saisi ne correspond pas au mot de passe du compte d’utilisateur local, macOS tente de contacter le fournisseur d’identité pour effectuer une authentification en direct. Si macOS ne parvient pas à communiquer avec le fournisseur d’identité ou si le mot de passe saisi ne correspond pas à celui stocké par le fournisseur d’identité, l’authentification échoue.
Grâce aux politiques de connexion, vous pouvez autoriser immédiatement l’utilisation du mot de passe du compte actuel du fournisseur d’identité lors de ces trois demandes. Vous pouvez également définir les politiques suivantes individuellement pour FileVault, l’écran verrouillé et la fenêtre de connexion :
Tentative d’authentification.
Si la configuration le permet, une tentative d’authentification en direct est effectuée auprès du fournisseur d’identité.
Si le Mac est en ligne, une authentification réussie auprès du fournisseur d’identité est requise pour continuer, même si le Mac est hors ligne après la première tentative.
Si l’authentification est réussie, l’authentification unique à la plateforme met à jour le mot de passe local.
Si le Mac est hors ligne, l’utilisateur peut utiliser le mot de passe de son compte local.
Authentification requise.
Si elle est configurée, l’authentification en direct auprès du fournisseur d’identité est requise pour continuer.
Si le Mac est en ligne, une authentification réussie auprès du fournisseur d’identité est requise pour continuer, peu importe la période de grâce hors ligne configurée.
Si l’authentification est réussie, l’authentification unique à la plateforme met à jour le mot de passe local.
Si le Mac est hors ligne, les utilisateurs ne peuvent pas se connecter. Dans ces situations, vous pouvez activer une période de grâce hors ligne et définir le nombre de jours pendant lesquels l’utilisateur pourra continuer à utiliser le mot de passe du compte local à partir de la dernière connexion réussie.
Vous pouvez définir si tout compte utilisé pour se connecter au Mac doit être géré par l’authentification unique à la plateforme ou si la connexion au moyen de comptes locaux est toujours autorisée. Vous pouvez aussi définir le nombre de jours au terme desquels le réglage sera appliqué après l’entrée en vigueur ou la mise à jour de la politique. Cela permet l’utilisation temporaire des comptes locaux. Par exemple, vous pouvez utiliser temporairement un compte d’administrateur créé par le service de gestion des appareils pour inscrire l’appareil ou réparer son inscription à l’authentification unique à la plateforme.
Au lieu d’exiger une authentification en direct, vous pouvez autoriser les utilisateurs à utiliser Touch ID ou Apple Watch sur l’écran verrouillé.
Si nécessaire, les comptes locaux (que vous avez définis) peuvent être exemptés des politiques de connexion et ne pas être sommés de s’inscrire à l’authentification unique à la plateforme.
Gestion des groupes et autorisation réseau
L’authentification unique à la plateforme permet une gestion granulaire des droits pour fournir aux utilisateurs le niveau de privilèges dont ils ont besoin sur leur Mac. Pour ce faire, l’authentification unique à la plateforme peut appliquer les privilèges suivants à un compte chaque fois que l’utilisateur s’authentifie :
Standard : le compte obtient les privilèges d’utilisateur standard.
Administrateur : le compte est ajouté au groupe d’administrateurs locaux.
Groupes : les privilèges sont définis en fonction de l’appartenance à un groupe, qui sont mis à jour chaque fois que l’utilisateur s’authentifie auprès du fournisseur d’identité.
Lorsque vous utilisez des groupes, un compte obtient des privilèges en fonction de son appartenance aux groupes suivants :
Groupes d’administrateurs : si le compte appartient à un groupe répertorié, il disposera alors d’un accès administrateur local.
Groupes d’autorisation : si le compte fait partie d’un groupe assigné à un droit d’autorisation intégré ou personnalisé, le compte dispose alors des privilèges associés à ce groupe. Par exemple, macOS utilise les droits d’autorisation suivants :
system.preferences.datetime, qui permet au compte de modifier les réglages de l’heure.system.preferences.energysaver, qui permet au compte de modifier les réglages d’économie d’énergie.system.preferences.network, qui permet au compte de modifier les réglages réseau.system.preferences.printing, qui permet au compte d’ajouter ou de supprimer des imprimantes.
Groupes supplémentaires : il s’agit de groupes personnalisés pour macOS ou des apps précises, que macOS crée automatiquement dans le répertoire local (s’ils n’existent pas déjà). Par exemple, vous pouvez utiliser un groupe supplémentaire dans la configuration
sudopour définir l’accèssudo.
Autorisation réseau
La plateforme d’authentification unique étend l’utilisation de données d’identification du fournisseur d’identité aux utilisateurs qui ne disposent pas d’un compte local sur le Mac à des fins d’autorisation. Ces comptes utilisent les mêmes groupes que la gestion de groupes. Par exemple, si le compte fait partie de l’un des groupes d’administrateurs, il peut émettre des demandes d’autorisation d’administrateur. Pour utiliser cette fonctionnalité, configurez l’authentification unique à la plateforme avec des clés d’appareil partagées.
L’autorisation réseau n’est pas possible avec les demandes d’autorisation qui requièrent un jeton sécurisé, des autorisations de propriété ou une authentification par l’utilisateur connecté.
Création de comptes à la demande
Pour faciliter la gestion du compte au sein de déploiements partagés, les utilisateurs peuvent utiliser le nom d’utilisateur et le mot de passe de leur fournisseur d’identité ou une carte à puce pour se connecter à un Mac et créer un compte local.
Vous pouvez automatiser entièrement le processus d’approvisionnement en utilisant l’inscription automatisée des appareils avec la fonctionnalité d’avance automatique. Vous devez créer le premier compte d’administrateur local à l’aide d’un service de gestion des appareils et effectuer une inscription silencieuse à l’authentification unique à la plateforme.
Vous devez procéder comme suit afin de pouvoir utiliser la création de comptes à la demande :
Inscrivez le Mac à un service de gestion des appareils qui prend en charge les jetons d’amorçage.
Suivez les instructions ci-dessous : une configuration d’extension d’authentification unique avec l’authentification unique à la plateforme, des clés d’appareil partagées et la possibilité de créer un utilisateur lors de la connexion.
Complétez les étapes d’Assistant réglages et créez un compte d’administrateur local.
Configurez la fenêtre de connexion du Mac de sorte que FileVault soit déverrouillé et qu’une connexion réseau soit établie.
En utilisant une option de configuration facultative, vous pouvez définir quel attribut du fournisseur d’identité utiliser pour le nom de compte local (souvent appelé nom court de l’utilisateur) et le nom complet. Les administrateurs peuvent également définir la clé du nom de compte sur com.apple.PlatformSSO.AccountShortName pour utiliser le préfixe UPN.
Vous pouvez également définir les privilèges à appliquer aux nouveaux comptes créés au moment de la connexion. Les mêmes options de gestion de groupe sont disponibles :
Standard : le compte obtient les privilèges d’utilisateur standard.
Administrateur : le compte est ajouté au groupe d’administrateurs locaux.
Groupes : les privilèges sont définis en fonction de l’appartenance à un groupe, qui sont mis à jour chaque fois que l’utilisateur s’authentifie auprès du fournisseur d’identité.
Mode invité authentifié
Le mode invité authentifié offre une expérience de connexion accélérée pour les déploiements partagés, comme les cabinets médicaux ou les écoles, où différents utilisateurs n’ont pas besoin de compte local créé, car ils ont simplement besoin de se connecter avec les informations d’identification de leur fournisseur d’identité pendant une courte période. L’utilisateur obtient par défaut les privilèges d’utilisateur standard, mais vous pouvez modifier ces privilèges à l’aide de la gestion des groupes d’authentification unique à la plateforme.
Pour utiliser cette fonctionnalité, vous devez respecter les mêmes exigences que pour la création de comptes à la demande. Au lieu de créer un utilisateur au moment de la connexion, vous devez configurer le mode invité authentifié.
Lorsqu’un utilisateur se déconnecte, macOS efface toutes les données locales de ce compte, et le Mac partagé est prêt pour la connexion du prochain utilisateur.
Toucher pour se connecter
« Toucher pour se connecter » étend les fonctionnalités d’identifiants numériques de l’app Portefeuille d’Apple à macOS. Au cours des dernières années, les organisations ont adopté les cartes numériques dans l’app Portefeuille d’Apple pour permettre aux utilisateurs de déverrouiller des portes en approchant simplement un iPhone ou une Apple Watch sans avoir besoin d’une carte d’identification physique. Cette même expérience est disponible sur Mac.
Ce mode d’authentification est particulièrement utile pour les organisations qui partagent un Mac entre plusieurs utilisateurs, notamment les établissements d’enseignement, les commerces et les établissements de santé.
Grâce à « Toucher pour se connecter », les utilisateurs peuvent s’authentifier sur un Mac configuré pour le mode invité authentifié lorsqu’ils présentent leur iPhone ou Apple Watch à un lecteur CCP connecté. Cela initie un processus d’authentification unique sécurisé qui authentifie automatiquement les utilisateurs auprès de leurs apps et sites Web, ce qui leur permet de se connecter rapidement et de se mettre au travail.
Les informations d’identification de l’utilisateur sont fournies sous forme de clés d’accès dans une carte Portefeuille d’Apple par l’entremise d’une app ou d’un navigateur pour iPhone. Ces clés d’accès sont stockées dans le Secure Enclave de l’appareil, ce qui les chiffre et protège contre les tentatives de modification ou d’extraction. Le mode Express favorise la commodité en permettant l’authentification immédiate sans que les utilisateurs aient à activer ou à déverrouiller leur appareil, à l’instar des cartes de transport en commun dans l’app Portefeuille d’Apple.
Pour mettre en œuvre la fonctionnalité « Toucher pour se connecter », le Mac concerné doit être :
configuré pour permettre le mode invité authentifié;
équipé d’un lecteur CCP externe pris en charge.
La création et la gestion de clés d’accès requièrent la participation au programme d’accès de l’appPortefeuille d’Apple. Pour en savoir plus sur la création d’une clé d’accès, consultez Approvisionnement dans le guide du programme d’accès au moyen de l’app Portefeuille d’Apple.