macOS के लिए प्लैटफ़ॉर्म सिंगल साइन-ऑन (SSO)
प्लैटफ़ॉर्म सिंगल साइन-ऑन (प्लैटफ़ॉर्म SSO) की मदद से डेवलपर ऐसे SSO एक्सटेंशन बना सकते हैं जो macOS लॉगइन विंडो तक विस्तारित होते हैं, जिससे यूज़र को स्थानीय खाता क्रेडेंशियल को आइडेंटिटी प्रोवाइडर (IdP) के साथ सिंक्रोनाइज़ करने की अनुमति मिलती है। स्थानीय खाता पासवर्ड को ऑटोमैटिकली सिंक में रखा जाता है ताकि क्लाउड पासवर्ड और स्थानीय पासवर्ड का मिलान हो सके। यूज़र अपने Mac को Touch ID और Apple Watch की मदद से अनलॉक भी कर सकते हैं।
प्लैटफ़ॉर्म SSO के लिए निम्नलिखित आवश्यक है :
macOS 13 या बाद के संस्करण
मोबाइल डिवाइस प्रबंधन (MDM) समाधान जो एक्स्टेंसिबल सिंगल साइन-ऑन पेलोड का समर्थन करता है जिसमें प्लैटफ़ॉर्म SSO के लिए समर्थन शामिल है
प्लैटफ़ॉर्म SSO प्रमाणन प्रोटोकॉल के लिए IdP का समर्थन
दो में से एक समर्थित प्रमाणन विधि :
Secure Enclave-समर्थित की : इस विधि के साथ, Mac में लॉगइन करने वाला यूज़र पासवर्ड के बिना IdP की मदद से प्रमाणित करने के लिए Secure Enclave–समर्थित की का उपयोग कर सकता है। Secure Enclave की को यूज़र पंजीकरण प्रक्रिया के दौरान IdP के साथ सेटअप किया जाता है।
पासवर्ड प्रमाणन : इस विधि के साथ, यूज़र स्थानीय पासवर्ड या IdP पासवर्ड की मदद से प्रमाणित करता है।
नोट : यदि MDM समाधान से Mac अनामांकित हो जाता है, तो वह IdP से भी अपंजीकृत हो जाता है।
WS-Trust फ़ेडरेशन
WS-Trust फ़ेडरेशन macOS 13.3 या बाद के संस्करण पर समर्थित है। यह प्लैटफ़ॉर्म SSO को यूज़र को सफलतापूर्वक प्रमाणित करने की अनुमति देता है जब उनका खाता Microsoft Entra ID से फ़ेडरेटेड IdP द्वारा प्रबंधित किया जाता है।
macOS 14 में अतिरिक्त प्लैटफ़ॉर्म SSO फ़ीचर
सिस्टम सेटिंग्ज़ में यूज़र नामांकन और पंजीकरण स्टेटस : यूज़र सिस्टम सेटिंग्ज़ में SSO के साथ उपयोग के लिए अपने डिवाइस या अपने यूज़र खाते को पंजीकृत कर सकते हैं। मेनू आइटम वर्तमान पंजीकरण स्थिति को भी प्रदर्शित करता है और होने वाली किसी भी एरर को बताता है, जिससे यूज़र ट्रांसपैरेंसी में सुधार होता है। इससे यूज़र को पता चल जाता है कि पंजीकरण दोबारा पूरा करने की आवश्यकता है या नहीं।
यूज़र द्वारा स्थानीय खाता बनाना : शेयर किए गए डिप्लॉयमेंट में खाता प्रबंधन की सुविधा के लिए, यूज़र अपने IdP यूज़रनेम और पासवर्ड या स्मार्ट कार्ड का उपयोग FileVault अनलॉक वाले Mac में लॉग इन करने और एक स्थानीय खाता बनाने के लिए कर सकते हैं। नई
TokenToUserMapping
“की” का उपयोग यह तय करने के लिए किया जा सकता है कि IdP द्वारा प्रदान की गई किस ऐट्रिब्यूट का उपयोग स्थानीय यूज़रनेम का चयन करने के लिए किया जाता है। इस फ़ीचर का उपयोग करने के लिए, यह आवश्यक है :सेटअप सहायक पूरा होना चाहिए और एक प्रारंभिक स्थानीय ऐडमिनिस्ट्रेटर खाता बनाया जाना चाहिए।
डिवाइस को MDM समाधान में नामांकित किया जाना चाहिए जो बूटस्ट्रैप टोकन का समर्थन करता है।
यूज़र के Mac में प्लेटफ़ॉर्म SSO के साथ एक एक्स्टेंसिबल सिंगल साइन-ऑन पेलोड होना चाहिए और इसमें
UseSharedDeviceKeys
औरEnableCreateUserAtLogin
विकल्प सक्षम होने चाहिए।स्मार्ट कार्ड समर्थन के लिए आवश्यक है कि स्मार्ट कार्ड IdP के साथ पंजीकृत हो और Mac पर एक स्मार्ट कार्ड विशेषता मैपिंग कॉन्फ़िगर की गई हो।
प्राधिकरण संकेतों पर गैर-स्थानीय IdP यूज़र खातों का उपयोग करना : प्लैटफ़ॉर्म SSO उन यूज़र के लिए IdP क्रेडेंशियल के उपयोग का विस्तार करता है जिनके पास प्राधिकरण उद्देश्यों के लिए मैक पर स्थानीय यूज़र खाता नहीं है। ये खाते समूह प्रबंधन के समान समूहों का उपयोग करते हैं। उदाहरण के लिए, यदि यूज़र किसी ऐडमिनिस्ट्रेटर समूह का सदस्य है, तो खाते का उपयोग macOS ऐडमिनिस्ट्रेटर प्राधिकरण संकेतों पर किया जा सकता है। इसमें कोई भी प्राधिकरण संकेत शामिल नहीं है जिसके लिए वर्तमान में लॉग इन यूज़र द्वारा सुरक्षित टोकन, स्वामित्व अनुमति या प्रमाणीकरण की आवश्यकता होती है।
जब यूज़र अपने IdP से प्रमाणित करते हैं तो उनकी समूह सदस्यता को अपडेट करना: समूह सदस्यता का उपयोग macOS में IdP यूज़र की अनुमतियों को विस्तृत रूप से प्रबंधित करने के लिए किया जा सकता है। जब भी कोई यूज़र IdP से प्रमाणित करता है, तो उसकी समूह सदस्यता अपडेट हो जाती है। समूह सदस्यता को तय करने के लिए तीन ऐरे कीज़ उपलब्ध हैं :
AdministratorGroups: यदि यूज़र इस ऐरे में सूचीबद्ध समूह का हिस्सा है, तो उनके पास स्थानीय ऐडमिनिस्ट्रेटर ऐक्सेस होगा।
AuthorizationGroups: बिल्ट-इन या कस्टम-डिफ़ाइन प्रमाणन अधिकारों को प्रबंधित करने के लिए उपयोग किए जाने वाले विशिष्ट समूह। यह अधिकार उन सभी यूज़र को दिया गया है जो निर्दिष्ट समूह का हिस्सा हैं। उदाहरण के लिए, प्राधिकरण अधिकार
system.preferences.network
को सौंपे गए समूह में सदस्यता यूज़र को नेटवर्क सेटिंग्ज़ को संशोधित करने की अनुमति देती है याsystem.preferences.printing
यूज़र को प्रिंटर सेटिंग्ज़ को संशोधित करने की अनुमति देती है।AdditionalGroups: ऑपरेटिंग सिस्टम द्वारा उपयोग किया जा सकता है—उदाहरण के लिए,
sudo
ऐक्सेस को निर्धारित करने के लिए। यदि समूह मौजूद नहीं है तो इस सरणी में एक प्रविष्टि स्थानीय डाइरेक्टरी के अंदर एक समूह बनाती है।