Platform egyszeri bejelentkezés macOS-hez
Áttekintés
A Platform Single Sign-on (Platform SSO) segítségével Ön (vagy egy identitáskezelésre szakosodott fejlesztő) olyan SSO-bővítményeket hozhat létre, amelyek lehetővé teszik a felhasználók számára, hogy a Beállítási asszisztens során a szervezete identitásszolgáltatójának (IdP) fiókjával hitelesítsék magukat egy Macen. A Platform SSO más SSO-bővítményekkel is kombinálható a következő megfontolások mellett:
Egy adott domén kizárólag egyetlen SSO-bővítmény által kezelhető.
A
syncLocalPasswordértékétfalseértékre kell beállítani a Kerberos SSO-konfigurációban.
Funkciók
A Platform SSO a következő funkciókat támogatja:
Aktiválja és kényszerítse a Platform SSO‑t az automatizált eszközregisztráció során a regisztráció hitelesítéséhez, jelentkezzen be egy felügyelt Apple-fiókkal, és hozzon létre egy helyi felhasználót.
Egyszeri bejelentkezési élményt biztosít a natív és a webes appok számára.
Megtekintheti a Platform SSO-állapotát és -regisztrációs adatait a Rendszerbeállításokban.
A helyi felhasználói fiókok jelszavainak szinkronizálása az IdP-vel, és bejelentkezési szabályzatok definiálása.
IdP-fiókok csoportengedélyeinek meghatározása és a hálózati IdP-fiókok használatának engedélyezése az engedélyezési kérdésekben.
Helyi felhasználói fiókok létrehozása igény szerint, amikor IdP-fiókból származó hitelesítő adatokkal jelentkezik be.
A vendégfelhasználók támogatása, akik ideiglenesen jelentkeznek be az IdP-hitelesítő adataikkal a megosztott Mac számítógépeken.
Megjegyzés: A legtöbb funkcióhoz az SSO-bővítmény támogatása szükséges. Ha többet szeretne megtudni a Platform SSO szervezetben való megvalósításáról, tekintse meg az IdP dokumentációját.
Követelmények
Apple-chippel rendelkező Mac vagy Intel-alapú Mac Touch ID-val
Olyan eszközfelügyeleti szolgáltatás, amely támogatja a kibővíthető egyszeri bejelentkezés konfigurálását, amely tartalmazza a Platform SSO beállításait
Egy app, amely az IdP-vel kompatibilis Platform SSO-bővítményt tartalmaz
macOS 13 vagy újabb rendszer
A következő funkciókhoz további verziókövetelmények tartoznak:
Funkció | Minimális támogatott operációsrendszer-verzió | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Hitelesített vendég mód | macOS 26 | ||||||||||
Érintse meg a bejelentkezéshez | macOS 26 | ||||||||||
Platform SSO az automatizált eszközregisztráció során | macOS 26 | ||||||||||
UPN-előtag helyi fiókneveként | macOS 15.4 | ||||||||||
Eszközazonosítók igazolása | macOS 15.4 | ||||||||||
Bejelentkezési szabályzatok | macOS 15 | ||||||||||
Igény szerinti fióklétrehozás | macOS 14 | ||||||||||
Csoportfelügyelet és hálózati engedélyezés | macOS 14 | ||||||||||
Platform SSO a Rendszerbeállításokban | macOS 14 | ||||||||||
A Platform SSO beállítása
A Platform SSO használatához a Macet és az egyes felhasználókat regisztrálni kell az IdP-nél. Az IdP-támogatástól és az alkalmazott konfigurációtól függően a Mac visszajelzés nélkül, a háttérben regisztrálhatja az eszközt a következők használatával:
A bővíthető SSO-konfigurációban megadott identitásszolgáltató regisztrációs tokenje
Egy igazolás, amely erős garanciát nyújt arra, hogy a Mac egy eredeti Apple-eszköz, és opcionálisan tartalmazhat eszközazonosítókat (UDID és sorozatszám) is.
A felhasználótól független, megbízható kapcsolat fenntartásához az IdP-vel a Platform SSO támogatja a megosztott eszközök kulcsait. Ha lehetséges, használjon megosztott eszközkulcsokat, mivel ezekre szükség van az olyan funkciókhoz, mint az automatizált eszközregisztráció, az igény szerint létrehozott felhasználói fiókok, a hálózati engedélyezés és a hitelesített vendégmód.
A sikeres eszközregisztráció után a felhasználó regisztrál (kivéve, ha a felhasználói fiók hitelesített vendégmódot használ). Ha az IdP megköveteli, előfordulhat, hogy a rendszer felszólítja a felhasználót a regisztráció megerősítésére. Az igény szerint létrehozott helyi fiókok esetében a Platform SSO automatikusan regisztrálja a felhasználót a háttérben.
Megjegyzés: Ha törli egy Mac regisztrációját az eszközfelügyeleti szolgáltatásból, akkor törölve lesz a regisztrációja az IdP-ből.
Hitelesítési módszerek
A platform SSO különböző hitelesítési módszereket támogat egy IdP-vel. Az egyes támogatások az IdP-től és a Platform SSO-bővítménytől függenek.
Jelszó: Ezzel a módszerrel a felhasználó hitelesíti magát a helyi jelszóval vagy egy IdP-jelszóval. Támogatja a WS-Trustot is, amely lehetővé teszi a felhasználó számára a hitelesítést akkor is, ha a fiókját kezelő IdP összevont.
Secure Enclave által támogatott kulcs: Ezzel a módszerrel a Macjére bejelentkező felhasználó használhatja a Secure Enclave-alapú kulcsot az IdP-vel jelszó nélkül történő hitelesítéshez. Az IdP beállítja a Secure Enclave kulcsát a felhasználó regisztrációs folyamata során.
Intelligens kártya: Ezzel a módszerrel a felhasználó egy intelligens kártya segítségével hitelesíti magát az identitásszolgáltatónál (IdP). A módszer használatához a következőkre van szüksége:
Regisztrálja az okoskártyát az IdP-nél.
Intelligens kártya attribútumleképezésének konfigurálása a Macen.
A részletekért és egy attribútumleképezési konfigurációs példához tekintse meg a Smart Card Services projekt manoldalát.
Hozzáférési billentyű: Ezzel a módszerrel a felhasználók az Apple Walletben tárolt belépővel hitelesítik magukat az IdP-nél. Az intelligens kártyához hasonlóan a hozzáférési kulcsot is regisztrálni kell az IdP-nél.
Egyes funkciók, például a fiókok igény szerinti létrehozása, adott hitelesítési módszer használatát követelik meg.
Funkció | Jelszó | Secure Enclave által támogatott kulcs | Intelligens kártya | Hozzáférési billentyű | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Csoportfelügyelet |  | | | | |||||||
Automatizált eszközregisztráció | | | |  | |||||||
Hitelesített vendég mód | | | | | |||||||
Igény szerinti fióklétrehozás | | | | | |||||||
Jelszavak szinkronizálása | | | | | |||||||
Megjegyzés: Az SSO-bővítménynek támogatnia kell a kért módszert a regisztráció elvégzéséhez. A módok között válthat is, például egy felhasználónévvel és jelszóval létrehozott fiók átválthat a Secure Enclave által támogatott kulcs vagy intelligens kártya használatára a sikeres bejelentkezést követően.
Platform SSO automatizált eszközregisztrációval
A szervezetek aktiválhatják és kikényszeríthetik a Platform SSO-t a Beállítási asszisztens használata során az Automatizált eszközregisztrációval. Ez az opció egyfelhasználós eszközök esetén működik a legmegfelelőbben. A macOS automatikusan létrehoz egy helyi fiókot a regisztrációt hitelesítő felhasználó számára, így ő azonnal használhatja az SSO-elérést a támogatott natív és webes appokkal.
A konfigurációt követően a macOS letölti és telepíti a Platform SSO-bővítményt és -konfigurációt. Ez előfordulhat a tényleges regisztráció végrehajtása előtt az eszközfelügyeleti szolgáltatással, amely lehetővé teszi a regisztráció SSO‑val történő hitelesítését, vagy a regisztráció után, amikor a Mac konfigurálásra vár. A folyamat során a Mac eszközregisztrációt hajt végre visszajelzés nélkül vagy a felhasználó felszólításával, majd felkéri a felhasználót, hogy hitelesítse magát az identitásszolgáltatójával a felhasználói regisztráció elvégzéséhez. A felhasználók nem folytathatják a Platform SSO sikeres regisztrációja nélkül.
Sikeres hitelesítés után a macOS létrehoz egy helyi fiókot, és szinkronizálja a jelszót az identitásszolgáltatóval, vagy a felhasználó beállít egy helyi jelszót (amikor a Platform SSO egy Secure Enclave által támogatott kulcsot használ). Szükség esetén a helyi jelszóhoz tartozó jelszóösszetettségi követelményeket a Jelszó konfigurációjával kényszerítheti ki.
Ha konfigurálva van, a macOS ezután képes szinkronizálni a helyi fiók bejelentkezési profilképét az IdP-ről.
A Platform SSO használható az automatizált eszközregisztráció során, ha a szoftverfrissítés kötelező. Ebben az esetben az eszközfelügyeleti szolgáltatásnak kell először kikényszerítenie a frissítést.
Ha a macOS által létrehozott felhasználói fiók az egyetlen fiók a Macen, akkor az adminisztrátori fiókká válik. Ha az eszközfelügyeleti szolgáltatás adminisztrátori fiókot hozott létre a fiókkonfigurációs parancs használatával, akkor a Platform SSO-csoportfelügyelet segítségével különböző jogosultságokat rendelhet a felhasználói fiókhoz.
Egyszeri bejelentkezés
Mivel a Platform SSO az Extensible SSO része, a felhasználók egyszer bejelentkeznek, és ezt a hitelesítési tokent használják a támogatott natív és webes appok eléréséhez.
Ha a tokenek hiányoznak, lejártak vagy több mint négy órája lettek kiadva, a Platform SSO megpróbálja frissíteni vagy lekérni az új tokeneket az IdP-től. Konfigurálhatja azt is, hogy mennyi idő (minimum egy óra, másodpercekben mérve) teljen el, mielőtt a Platform SSO teljes bejelentkezést igényel tokenfrissítés helyett. Az alapértelmezett érték 18 óra.
Platform SSO a Rendszerbeállításokban
A Platform SSO-val való regisztrációt követően a felhasználók ellenőrizhetik a regisztrációjuk állapotát a Rendszerbeállítások > Felhasználók és csoportok > [felhasználónév] menüpontban. Ebből a menüből kijavíthatják a regisztrációt, és frissíthetik a hitelesítési tokenjüket.
Az eszközregisztrációs állapot a Felhasználók és csoportok > Hálózati fiókszerver részen látható, és javítási lehetőséget is kínál.
Jelszavak szinkronizálása és bejelentkezési szabályzatok
Ha a jelszavas hitelesítési módszert használja, a helyi felhasználói jelszó automatikusan szinkronizálódik az IdP-vel, amikor egy felhasználó megváltoztatja a jelszavát, akár helyileg, akár távolról. Szükség esetén a macOS rákérdez a felhasználó korábbi jelszavára.
Alapértelmezés szerint a helyi fiók jelszava szükséges a FileVault feloldásához, a zárolási képernyőhöz és a bejelentkezési ablakhoz. Ha a megadott jelszó nem egyezik a helyi felhasználói fiók jelszavával, a macOS megpróbálja elérni az IdP‑t az élő hitelesítés végrehajtásához. Ha a macOS nem tudja elérni az IdP-t, vagy a megadott jelszó nem egyezik az IdP által tárolt jelszóval, a hitelesítés sikertelen lesz.
A bejelentkezési szabályzatokkal azonnal engedélyezheti az aktuális fiók jelszavának használatát az IdP-től ennél a három kérdésnél. A következő szabályzatokat egyenként is beállíthatja a FileVault, a zárolási képernyő és a bejelentkezési ablak esetében:
Hitelesítés megkísérlése.
Ha konfigurálva van, a rendszer megpróbálja élőben hitelesíteni az IdP-vel.
Ha a Mac online, akkor a folytatáshoz sikeres hitelesítés szükséges az IdP-vel, még akkor is, ha a Mac az első kísérlet után offline.
Ha a hitelesítés sikeres, a Platform SSO frissíti a helyi jelszót.
Ha a Mac offline állapotban van, a felhasználó használhatja a helyi fiókjának jelszavát.
Hitelesítést igényel.
Ha konfigurálva van, a folytatáshoz élő hitelesítés szükséges az IdP-vel.
Ha a Mac online, akkor a folytatáshoz sikeres hitelesítés szükséges az IdP-vel, a konfigurált offline türelmi időszaktól függetlenül.
Ha a hitelesítés sikeres, a Platform SSO frissíti a helyi jelszót.
Ha a Mac offline állapotban van, a felhasználók nem tudnak bejelentkezni. Ilyen helyzetekben engedélyezheti az offline türelmi időszakot, és beállíthatja, hogy a felhasználó hány nappal a korábbi sikeres bejelentkezés után használhassa továbbra is a helyi fiók jelszavát.
Megadhatja, hogy a Macre bejelentkező fiókokat a Platform SSO-nak kell-e kezelnie, vagy a helyi fiókokkal való bejelentkezés továbbra is engedélyezett‑e. A szabályzat alkalmazását követően beállíthat egy (napokban mért) türelmi időszakot, amelynek lejártát követően elkezdődik a kényszerítés. Ez lehetővé teszi a helyi fiókok ideiglenes használatát. Például ideiglenesen használhat egy eszközfelügyeleti szolgáltatás által létrehozott adminisztrátori fiókot a Platform SSO-eszközregisztráció végrehajtásához vagy javításához.
Az élő hitelesítés helyett engedélyezheti a felhasználóknak, hogy a zárolási képernyőn a Touch ID vagy az Apple Watch segítségével hitelesítsék magukat.
Szükség esetén a helyi fiókok (az Ön által meghatározottak) kivételt képezhetnek a bejelentkezési szabályok alól, és nem kell regisztrálniuk a Platform SSO-hoz.
Csoportfelügyelet és hálózati engedélyezés
A Platform SSO részletes jogkezelést is képes biztosítani, amikor a felhasználó hitelesíti magát, a következő jogosultságok alkalmazásával:
Szabványos: A fiók normál felhasználói jogosultságokat kap.
Adminisztrátor: Hozzáadja a fiókot a helyi adminisztrátori csoporthoz.
Csoportok: A jogosultságok csoporttagság alapján vannak meghatározva, amelyek minden alkalommal frissülnek, amikor a felhasználó hitelesíti magát az IdP-vel.
Ha csoportokat használ, egy fiók a következő tagság alapján kap jogosultságokat:
Adminisztrátori csoportok: Ha a fiók egy listázott csoport tagja, akkor helyi adminisztrátori hozzáféréssel rendelkezik.
Engedélyezési csoportok: Ha a fiók egy beépített vagy egyéni engedélyezési joghoz rendelt csoport tagja, akkor a fiók rendelkezik az adott csoporthoz tartozó jogosultságokkal. A macOS például a következő engedélyezési jogokat használja:
system.preferences.datetime, amely lehetővé teszi a fiók számára az időbeállítások módosítását.system.preferences.energysaver, amely lehetővé teszi a fiók számára az energiatakarékossági beállítások módosítását.system.preferences.network, amely lehetővé teszi a fiók számára a hálózati beállítások módosítását.system.preferences.printing, amely lehetővé teszi a fiók számára a nyomtatók hozzáadását vagy eltávolítását.
További csoportok: Egyéni csoportok a macOS-hez vagy bizonyos appokhoz, amelyeket a macOS hoz létre automatikusan a helyi könyvtárban (ha még nem léteznek). Például használhat egy további csoportot a
sudo-konfigurációban asudo-hozzáférés definiálásához.
Hálózati engedélyezés
A Platform SSO lehetővé teszi a helyi Mac-fiókkal nem rendelkező felhasználók számára, hogy az identitásszolgáltatói hitelesítő adataikat használják hitelesítés céljából. Ezek a fiókok ugyanazokat a csoportokat használják, mint a Csoportfelügyelet. Ha például a fiók egy adminisztrátori csoport tagja, akkor adminisztrátori engedélyezési kéréseket hajthat végre. A funkció használatához konfigurálja a Platform SSO-t megosztott eszközkulcsokkal.
A hálózati engedélyezés nem lehetséges olyan engedélyezési kérésekkel, amelyek biztonságos tokent, tulajdonosi engedélyeket vagy a jelenleg bejelentkezett felhasználó általi hitelesítést igényelnek.
Igény szerinti fióklétrehozás
Megosztott üzembe helyezések esetén a felhasználók automatikusan létrehozhatnak egy helyi fiókot, ha bejelentkeznek az identitásszolgáltatóhoz tartozó felhasználónevükkel és jelszavukkal vagy egy intelligens kártyával.
Az Automatizált eszközregisztráció és az Automatikus továbblépés funkciók használatával teljesen automatizált kiépítési folyamatot valósíthat meg. Az első helyi adminisztrátori fiókot egy eszközfelügyeleti szolgáltatás segítségével kell létrehoznia, és visszajelzés nélküli Platform SSO-regisztrációt kell végrehajtania.
A következőkre van szükség az igény szerinti fióklétrehozás használatához:
Regisztrálja a Macet egy olyan eszközfelügyeleti szolgáltatásban, amely támogatja a bootstrap tokeneket.
Adja hozzá a következőket: SSO-bővítménykonfiguráció Platform SSO-val, megosztott eszközkulcsokkal és a felhasználó bejelentkezéskor történő létrehozásának lehetőségével.
Fejezze be a Beállítási asszisztenst, és hozzon létre egy helyi adminisztrátori fiókot.
Állítsa a Macet a bejelentkezési ablakra, a FileVault legyen feloldva, és legyen hálózati kapcsolat.
Egy opcionális konfiguráció használatával megadhatja, hogy az identitásszolgáltató melyik attribútumát használja a helyi fiók nevéhez (rövid nevéhez) és a teljes nevéhez. Az adminisztrátorok beállíthatják a fióknevek kulcsát is com.apple.PlatformSSO.AccountShortName értékre az UPN-előtag használatához.
Ezenkívül megadhatja, hogy milyen jogosultságok vonatkozzanak az újonnan létrehozott fiókokra a bejelentkezéskor. A csoportfelügyelethez ugyanazok az opciók állnak rendelkezésre:
Szabványos: A fiók normál felhasználói jogosultságokat kap.
Adminisztrátor: Hozzáadja a fiókot a helyi adminisztrátori csoporthoz.
Csoportok: A jogosultságok csoporttagság alapján vannak meghatározva, amelyek minden alkalommal frissülnek, amikor a felhasználó hitelesíti magát az IdP-vel.
Hitelesített vendégmód
A hitelesített vendégmód zökkenőmentes bejelentkezési élményt nyújt megosztott üzembe helyezésekhez, például orvosi rendelőkben vagy iskolákban, ahol a felhasználók ideiglenesen bejelentkeznek az identitásszolgáltatói hitelesítő adataikkal, és nincs szükségük állandó helyi fiókra. A felhasználó alapértelmezés szerint normál felhasználói jogosultságokat kap, de ezek a jogosultságok a Platform SSO-csoportfelügyelet segítségével módosíthatók.
A követelmények megegyeznek az igény szerint létrehozott fiókokéval, azzal a különbséggel, hogy a bejelentkezéskor megjelenő felhasználólétrehozási lehetőség helyett a Hitelesített vendégmódot konfigurálja.
Amikor egy felhasználó kijelentkezik, a macOS törli az adott fiók összes helyi adatát, és a megosztott Mac készen áll a következő felhasználó bejelentkezésére.
Érintse meg a bejelentkezéshez
A Bejelentkezés koppintással funkció bevezeti az Apple Tárca digitális hitelesítő adatok támogatását a macOS rendszeren. Azok a szervezetek, amelyek már használnak digitális belépőkártyákat az Apple Tárcában (lehetővé téve a felhasználók számára, hogy iPhone-nal vagy Apple Watchcsal nyissanak ki ajtókat), mostantól kiterjeszthetik ugyanezt az élményt a Macre való bejelentkezésre.
Ez a hitelesítési módszer különösen hasznos olyan szervezetek számára, amelyek egy Macet osztanak meg több felhasználó között, beleértve az oktatási intézményeket, a kiskereskedelmi környezeteket és az egészségügyi intézményeket.
A Bejelentkezés koppintással funkcióval a felhasználók hitelesíthetik magukat a hitelesített vendégmódra konfigurált Macen, amikor az iPhone-jukat vagy az Apple Watchukat egy csatlakoztatott NFC-olvasóhoz koppintják. Ez egy biztonságos egyszeri bejelentkezési folyamatot indít el, amely automatikusan hitelesíti a felhasználókat az alkalmazásaikban és a webhelyeiken, lehetővé téve számukra a gyors bejelentkezést és a munkavégzést.
A felhasználói hitelesítő adatok hozzáférési kulcsként vannak kiépítve egy Apple Wallet jegyben egy iPhone-appon vagy böngészőn keresztül. Ezek a hozzáférési kulcsok az eszköz Secure Enclave-jében vannak tárolva, így hardveresen támogatottak és titkosítottak, valamint segítenek a manipulációs vagy kinyerési kísérletek elleni védelemben. Az Express mód lehetővé teszi az azonnali hitelesítést anélkül, hogy a felhasználóknak fel kellene ébreszteniük vagy fel kellene oldaniuk az eszközüket, hasonlóan ahhoz, ahogy a tömegközlekedési kártyák működnek az Apple Tárcában.
A Bejelentkezés koppintással funkció megvalósításához a Macnek a következőknek kell megfelelnie:
Hitelesített vendégmódhoz konfigurálva
Támogatott külső NFC-olvasóval rendelkezik
A hozzáférési kulcsok létrehozásához és kezeléséhez részt kell vennie az Apple Wallet Access Programban. A hozzáférési kulcs létrehozásával kapcsolatos további információkért tekintse meg az Apple Wallet Access Program útmutatójának Előkészítés című részét.