Authentification unique sur la plateforme pour macOS
Grâce à l’authentification unique sur la plateforme (SSO sur la plateforme), les développeurs peuvent créer des extensions SSO qui s’intègrent à la fenêtre d’ouverture de session de macOS, ce qui permet aux utilisateurs de synchroniser les identifiants de leur compte local avec un fournisseur dʼidentité (IdP). Le mot de passe du compte local est automatiquement synchronisé afin que le mot de passe stocké dans le cloud corresponde à celui stocké en local. Les utilisateurs peuvent également déverrouiller leur Mac avec Touch ID et l’Apple Watch.
Les conditions requises pour l’authentification unique de plateforme sont les suivantes :
macOS 12 ou ultérieur ou ultérieur
Une solution de gestion des appareils mobiles (MDM) qui prend en charge les données utiles de l’authentification unique extensible, qui ajoute la prise en charge de lʼauthentification unique sur la plateforme.
prise en charge du protocole d’authentification unique de plateforme par l’IdP ;
Une des deux méthodes d’authentification sont prises en charge :
Authentification à l’aide d’une clé Secure Enclave : Avec cette méthode, un utilisateur qui ouvre une session sur son Mac peut utiliser une clé Secure Enclave pour s’authentifier auprès de l’IdP sans saisir de mot de passe. La clé Secure Enclave est configurée auprès de l’IdP durant le processus d’inscription de l’utilisateur.
Authentification par mot de passe : Avec cette méthode, un utilisateur s’authentifie à l’aide d’un mot de passe local ou du mot de passe d’un IdP.
Remarque : si le Mac est désinscrit de la solution MDM, il est également désinscrit auprès de l’IdP.
Fonctionnalités de l’authentification unique de plateforme
Fonctionnalité | Version du système d’exploitation la plus ancienne à être prise en charge | Description |
|---|---|---|
Identification requise | macOS 15 | Exige l’authentification IdP avec FileVault, l’écran verrouillé et la fenêtre de connexion. |
Identification requise | macOS 15 | configurer de façon facultative une période de grâce dʼauthentification hors ligne, afin que les utilisateurs puissent se connecter ou déverrouiller l’écran lorsqu’ils sont hors connexion. |
Identification requise | macOS 15 | Configurer facultativement Touch ID ou l’Apple Watch pour déverrouiller l’écran. |
Inscription dʼutilisateurs et statut dʼenregistrement dans Réglages Système | macOS 14 | Les utilisateurs peuvent inscrire leur appareil ou leur compte dʼutilisateur à utiliser avec le SSO dans Réglages Système. Lʼélément du menu affiche également lʼétat actuel de lʼenregistrement et indique toutes les erreurs éventuelles, en fournissant une meilleure transparence pour lʼutilisateur. Ceci permet à lʼutilisateur de savoir si lʼenregistrement doit de nouveau être effectué. |
Création de compte local par les utilisateurs | macOS 14 | Afin de simplifier les gestion de comptes dans les déploiements partagés, les utilisateurs peuvent utiliser le nom dʼutilisateur et le mot de passe de leur IdP, ou une carte à puce, pour se connecter à un Mac avec FileVault déverrouillé et ainsi créer un compte local. La nouvelle clé
|
Utilisation de comptes dʼutilisateurs dʼIdP non locaux lors des invites dʼautorisation | macOS 14 | Lʼauthentification unique sur la plateforme élargit lʼutilisation des identifiants dʼIdP aux utilisateurs qui ne possèdent pas de compte dʼutilisateur local sur le Mac à des fins dʼautorisation. Ces comptes utilisent les mêmes groupes que la gestion de groupe. Par exemple, si lʼutilisateur est membre de lʼun des groupes de lʼadministrateur, le compte peut être utilisé au niveau des invites dʼautorisation de lʼadministrateur sur macOS. Ceci exclut toutes les invites dʼautorisation qui requièrent un jeton sécurisé, des autorisations liées à la propriété ou lʼauthentification par lʼutilisateur connecté. |
Mise à jour des adhésions à des groupes pour les utilisateurs lorsquʼils sʼauthentifient via leur IdP | macOS 14 | Lʼadhésion aux groupes peut être utilisée pour gérer les autorisation de façon granulaire les utilisateur de lʼIdP sous macOS. Chaque fois quʼun utilisateur sʼauthentifie avec lʼIdP, son adhésion au groupe est mise à jour. Il existe trois clés de matrice disponibles pour définir lʼadhésion aux groupes :
|
Fédération WS-Trust | macOS 13.3 | Ceci permet à lʼauthentification unique sur la plateforme dʼauthentifier correctement les utilisateurs lorsque leur compte est géré par un IdP fédéré avec Microsoft Entra ID. |