Platform egyszeri bejelentkezés macOS-hez
A Platform Single Sign-on (Platform SSO) segítségével Ön (vagy egy identitáskezelésre szakosodott fejlesztő) olyan SSO-bővítményeket hozhat létre, amelyek lehetővé teszik a felhasználók számára, hogy a Mac kezdeti beállításakor az IdP-n keresztül használják a szervezete fiókját.
Funkciók
A Platform SSO a következő funkciókat támogatja:
Aktiválja és kényszerítse a Platform SSO‑t az automatizált eszközregisztráció során a regisztráció hitelesítéséhez, jelentkezzen be egy felügyelt Apple-fiókkal, és hozzon létre egy helyi felhasználót.
Egyszeri bejelentkezési élményt biztosít a natív és a webes appok számára.
Információk a Platform SSO-ról a Rendszerbeállításokban.
A helyi felhasználói fiókok jelszavainak szinkronizálása az IdP-vel, és bejelentkezési szabályzatok definiálása.
IdP-fiókok csoportengedélyeinek meghatározása és a hálózati IdP-fiókok használatának engedélyezése az engedélyezési kérdésekben.
Helyi felhasználói fiókok létrehozása igény szerint, amikor IdP-fiókból származó hitelesítő adatokkal jelentkezik be.
A vendégfelhasználók támogatása, akik ideiglenesen jelentkeznek be az IdP-hitelesítő adataikkal a megosztott Mac számítógépeken.
Megjegyzés: A legtöbb funkcióhoz az SSO-bővítmény támogatása szükséges. Ha többet szeretne megtudni a Platform SSO szervezetben való megvalósításáról, tekintse meg az IdP dokumentációját.
Követelmények
Apple-chippel rendelkező Mac vagy Intel-alapú Mac Touch ID-val
Olyan eszközfelügyeleti szolgáltatás, amely támogatja a kibővíthető egyszeri bejelentkezés konfigurálását, amely tartalmazza a Platform SSO beállításait
Egy app, amely az IdP-vel kompatibilis Platform SSO-bővítményt tartalmaz
macOS 13 vagy újabb rendszer
A következő funkciókhoz további verziókövetelmények tartoznak:
Funkció | Minimális támogatott operációsrendszer-verzió | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Hitelesített vendég mód | macOS 26 | ||||||||||
Érintse meg a bejelentkezéshez | macOS 26 | ||||||||||
Platform SSO az automatizált eszközregisztráció során | macOS 26 | ||||||||||
UPN-előtag helyi fiókneveként | macOS 15.4 | ||||||||||
Eszközazonosítók igazolása | macOS 15.4 | ||||||||||
Bejelentkezési szabályzatok | macOS 15 | ||||||||||
Igény szerinti fióklétrehozás | macOS 14 | ||||||||||
Csoportfelügyelet és hálózati engedélyezés | macOS 14 | ||||||||||
Platform SSO a Rendszerbeállításokban | macOS 14 | ||||||||||
A Platform SSO beállítása
A Platform SSO használatához a Macet és az egyes felhasználókat regisztrálni kell az IdP-nél. Az IdP-támogatástól és az alkalmazott konfigurációtól függően a Mac visszajelzés nélkül, a háttérben regisztrálhatja az eszközt a következők használatával:
Az eszközfelügyeleti konfigurációban megadott regisztrációs token
Egy igazolás, amely erős garanciát nyújt az eszközazonosítókra (UDID és sorozatszám)
A felhasználótól független, megbízható kapcsolat fenntartásához az IdP-vel a Platform SSO támogatja a megosztott eszközök kulcsait. Ha lehetséges, használjon megosztott eszközkulcsokat, mivel ezekre szükség van az olyan funkciókhoz, mint a Platform SSO az automatizált eszközregisztráció során, az IdP-től származó információk alapján igény szerint létrehozott felhasználói fiókok, a hálózati engedélyezés és a hitelesített vendégmód.
A sikeres eszközregisztráció után a felhasználó regisztrál (kivéve, ha a felhasználói fiók hitelesített vendégmódot használ). Ha az IdP megköveteli, a felhasználói regisztráció magában foglalhatja a felhasználó regisztrációjának megerősítésére való felszólítását. A Platform SSO által igény szerint létrehozott helyi felhasználói fiókok esetében a felhasználói regisztráció automatikusan történik a háttérben.
Megjegyzés: Ha törli egy Mac regisztrációját az eszközfelügyeleti szolgáltatásból, akkor törölve lesz a regisztrációja az IdP-ből.
Hitelesítési módszerek
A platform SSO különböző hitelesítési módszereket támogat egy IdP-vel. Az egyes támogatások az IdP-től és a Platform SSO-bővítménytől függenek.
Jelszó: Ezzel a módszerrel a felhasználó hitelesíti magát a helyi jelszóval vagy egy IdP-jelszóval. Támogatja a WS-Trustot is, amely lehetővé teszi a felhasználó számára a hitelesítést akkor is, ha a fiókját kezelő IdP összevont.
Secure Enclave által támogatott kulcs: Ezzel a módszerrel a Macjére bejelentkező felhasználó használhatja a Secure Enclave-alapú kulcsot az IdP-vel jelszó nélkül történő hitelesítéshez. Az IdP beállítja a Secure Enclave kulcsát a felhasználó regisztrációs folyamata során.
Intelligens kártya: Ezzel a módszerrel a felhasználó egy intelligens kártya segítségével hitelesíti magát az identitásszolgáltatónál (IdP). A módszer használatához a következőkre van szüksége:
Regisztrálja az okoskártyát az IdP-nél.
Intelligens kártya attribútumleképezésének konfigurálása a Macen.
A részletekért és egy attribútumleképezési konfigurációs példához tekintse meg a Smart Card Services projekt manoldalát.
Hozzáférési billentyű: Ezzel a módszerrel a felhasználók az Apple Walletben tárolt belépővel hitelesítik magukat az IdP-nél. Az intelligens kártyához hasonlóan a hozzáférési kulcsot is regisztrálni kell az IdP-nél.
Bizonyos funkciók, például a felhasználói fiókok igény szerinti létrehozása, megkövetelik egy adott hitelesítési módszer használatát.
Funkció | Jelszó | Secure Enclave által támogatott kulcs | Intelligens kártya | Hozzáférési billentyű | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Csoportfelügyelet |  | | | | |||||||
Automatizált eszközregisztráció | | | |  | |||||||
Hitelesített vendég mód | | | | | |||||||
Igény szerinti fióklétrehozás | | | | | |||||||
Jelszavak szinkronizálása | | | | | |||||||
Megjegyzés: Az SSO-bővítménynek támogatnia kell a kért módszert a regisztráció végrehajtásához. A módszerek váltása is támogatott. Például amikor egy új felhasználói fiók jön létre a bejelentkezés során egy felhasználónévvel és jelszóval, akkor a fiók átválthat a Secure Enclave által támogatott kulcs vagy intelligens kártya használatára a sikeres bejelentkezés után.
Platform SSO az automatizált eszközregisztráció során
A szervezetek aktiválhatják és kikényszeríthetik a Platform SSO-t a Beállítási asszisztens használata során az Automatizált eszközregisztrációval. Ez egy egyfelhasználós eszközökre vonatkozó beállítás, mivel a regisztrációt hitelesítő felhasználó automatikusan létrehoz egy helyi fiókot, és azonnal használhatja az SSO-t a támogatott natív és webes appokkal.
A folyamat a következőképpen működik:
A macOS kéri a regisztrációt, és tájékoztatja az eszközfelügyeleti szolgáltatást, hogy a regisztráció során támogatja a Platform SSO‑t.
Az eszközfelügyeleti szolgáltatás 403-as hibát ad vissza, amely információkat tartalmaz arról, hogy hol található az SSO-konfiguráció, illetve az SSO-bővítményt tartalmazó appot tartalmazó csomag.
A macOS letölti és telepíti a Platform SSO-bővítményt és -konfigurációt.
A macOS konfigurálja a Platform SSO‑t, és elvégzi az eszközregisztrációt. Ha az igazolás be van állítva, a regisztráció visszajelzés nélkül, a háttérben történik. A macOS ezután felkéri a felhasználót, hogy a felhasználói regisztrációhoz hitelesítse magát az IdP-nél a korábban felsorolt módszerek egyikével. A felhasználók nem folytathatják a Platform SSO sikeres regisztrációja nélkül.
Az IdP kezeli a hitelesítést.
A sikeres hitelesítés után az IdP egy tulajdonosi tokent küld vissza a macOS-nek.
A macOS a tulajdonosi tokent használja az eszközkezelési szolgáltatásba való regisztráció hitelesítéséhez, és – ha ugyanahhoz az IdP-hez van csatlakoztatva – be tudja jelentkeztetni a felhasználót a felügyelt Apple-fiókjába anélkül, hogy a felhasználónak újra meg kellene adnia a hitelesítő adatait. Ahhoz, hogy ez működjön, az iCloud beállítási asszisztens paneljének láthatónak kell lennie a felhasználó számára.
A macOS létrehoz egy helyi fiókot, és a jelszó vagy szinkronizálódik az IdP-vel, vagy a felhasználó beállít egy helyi jelszót (amikor a Platform SSO egy Secure Enclave által támogatott kulcsot használ). Szükség esetén a helyi jelszóhoz tartozó jelszóösszetettségi követelményeket a Jelszó konfigurációjával kényszerítheti ki.
Ha konfigurálva van, a macOS ezután képes szinkronizálni a helyi fiók bejelentkezési profilképét az IdP-ről.
A Platform SSO használható az automatizált eszközregisztráció során, ha a szoftverfrissítés kötelező. Ebben az esetben az eszközfelügyeleti szolgáltatásnak kell először kikényszerítenie a frissítést.
Ha a macOS által létrehozott felhasználói fiók az egyetlen fiók a Macen, akkor az adminisztrátori fiókká válik. Ha az eszközfelügyeleti szolgáltatás adminisztrátori fiókot hozott létre a fiókkonfigurációs parancs használatával, akkor a Platform SSO-csoportfelügyelet segítségével különböző jogosultságokat rendelhet a felhasználói fiókhoz.
Egyszeri bejelentkezés
Mivel a Platform SSO az Extensible SSO része, ugyanazokat az egyszeri bejelentkezési funkciókat nyújtja, és lehetővé teszi a felhasználók számára, hogy egyszer bejelentkezzenek, majd a kezdeti hitelesítés által biztosított tokent használják a támogatott natív és webes appokban való hitelesítéshez.
Ha a tokenek hiányoznak, lejártak vagy több mint négy órája lettek kiadva, a Platform SSO megpróbálja frissíteni vagy lekérni az új tokeneket az IdP-től. Ezenkívül beállíthat egy időtartamot másodpercekben (minimum 1 óra), amíg a Platform SSO teljes bejelentkezést igényel a tokenfrissítés helyett. Alapértelmezés szerint 18 óránként teljes bejelentkezés szükséges.
Platform SSO a Rendszerbeállításokban
A Platform SSO regisztrálása után a felhasználó ellenőrizheti a felhasználói regisztráció állapotát a Rendszerbeállítások > Felhasználók és csoportok > [felhasználónév] menüpontban. Szükség esetén kezdeményezhetik a regisztráció javítását, és kényszeríthetik a hitelesítési token frissítését.
Az eszközregisztrációs állapot a Felhasználók és csoportok > Hálózati fiókszerver területen látható, és javítási lehetőséget is kínál.
Jelszavak szinkronizálása és bejelentkezési szabályzatok
Ha a jelszavas hitelesítési módszert használja, a helyi felhasználói jelszó automatikusan szinkronizálódik az IdP-vel, amikor egy felhasználó megváltoztatja a jelszavát, akár helyileg, akár távolról. Szükség esetén a macOS rákérdez a felhasználó korábbi jelszavára.
Alapértelmezés szerint a helyi fiók jelszava szükséges a FileVault feloldásához, a zárolási képernyőhöz és a bejelentkezési ablakhoz. Ha a megadott jelszó nem egyezik a helyi felhasználói fiók jelszavával, a macOS megpróbálja elérni az IdP‑t az élő hitelesítés végrehajtásához. Ha a macOS nem tudja elérni az IdP-t, vagy a megadott jelszó nem egyezik az IdP által tárolt jelszóval, a hitelesítés sikertelen lesz.
A bejelentkezési szabályzatokkal azonnal engedélyezheti az aktuális fiók jelszavának használatát az IdP-től ennél a három kérdésnél. A következő szabályzatokat egyenként is beállíthatja a FileVault, a zárolási képernyő és a bejelentkezési ablak esetében:
Hitelesítés megkísérlése.
Ha konfigurálva van, a rendszer megpróbálja élőben hitelesíteni az IdP-vel.
Ha a Mac online, akkor a folytatáshoz sikeres hitelesítés szükséges az IdP-vel, még akkor is, ha a Mac az első kísérlet után offline.
Ha a hitelesítés sikeres, a Platform SSO frissíti a helyi jelszót.
Ha a Mac offline állapotban van, a felhasználó használhatja a helyi fiókjának jelszavát.
Hitelesítést igényel.
Ha konfigurálva van, a folytatáshoz élő hitelesítés szükséges az IdP-vel.
Ha a Mac online, akkor a folytatáshoz sikeres hitelesítés szükséges az IdP-vel, a konfigurált offline türelmi időszaktól függetlenül.
Ha a hitelesítés sikeres, a Platform SSO frissíti a helyi jelszót.
Ha a Mac offline állapotban van, a felhasználók nem tudnak bejelentkezni. Ilyen helyzetekben engedélyezheti az offline türelmi időszakot, és beállíthatja, hogy a felhasználó hány nappal a korábbi sikeres bejelentkezés után használhassa továbbra is a helyi fiók jelszavát.
Megadhatja, hogy a Macre bejelentkező fiókokat a Platform SSO-nak kell-e kezelnie, vagy a helyi fiókokkal való bejelentkezés továbbra is engedélyezett. Azt is megadhatja, hogy a szabályzat alkalmazása vagy frissítése után hány napig legyen érvényben ez a beállítás. Ez lehetővé teszi a helyi fiókok ideiglenes használatát. Például ideiglenesen használhat egy eszközfelügyeleti szolgáltatás által létrehozott adminisztrátori fiókot a Platform SSO-eszközregisztráció végrehajtásához vagy javításához.
Az élő hitelesítés helyett engedélyezheti a felhasználóknak, hogy a zárolási képernyőn a Touch ID vagy az Apple Watch segítségével hitelesítsék magukat.
Szükség esetén a helyi fiókok (az Ön által meghatározottak) kivételt képezhetnek a bejelentkezési szabályok alól, és nem kell regisztrálniuk a Platform SSO-hoz.
Csoportfelügyelet és hálózati engedélyezés
A Platform SSO részletes jogkezelést kínál, hogy a felhasználók a megfelelő szintű jogosultságokkal rendelkezzenek a Macjükön. Ehhez a Platform SSO minden alkalommal, amikor a felhasználó hitelesíti magát, a következő jogosultságokat alkalmazhatja egy fiókra:
Szabványos: A fiók normál felhasználói jogosultságokat kap.
Adminisztrátor: Hozzáadja a fiókot a helyi adminisztrátori csoporthoz.
Csoportok: A jogosultságok csoporttagság alapján vannak meghatározva, amelyek minden alkalommal frissülnek, amikor a felhasználó hitelesíti magát az IdP-vel.
Ha csoportokat használ, egy fiók a következő tagság alapján kap jogosultságokat:
Adminisztrátori csoportok: Ha a fiók egy listázott csoport tagja, akkor helyi adminisztrátori hozzáféréssel rendelkezik.
Engedélyezési csoportok: Ha a fiók egy beépített vagy egyéni engedélyezési joghoz rendelt csoport tagja, akkor a fiók rendelkezik az adott csoporthoz tartozó jogosultságokkal. A macOS például a következő engedélyezési jogokat használja:
system.preferences.datetime, amely lehetővé teszi a fiók számára az időbeállítások módosítását.system.preferences.energysaver, amely lehetővé teszi a fiók számára az energiatakarékossági beállítások módosítását.system.preferences.network, amely lehetővé teszi a fiók számára a hálózati beállítások módosítását.system.preferences.printing, amely lehetővé teszi a fiók számára a nyomtatók hozzáadását vagy eltávolítását.
További csoportok: Egyéni csoportok a macOS-hez vagy bizonyos appokhoz, amelyeket a macOS hoz létre automatikusan a helyi könyvtárban (ha még nem léteznek). Például használhat egy további csoportot a
sudo-konfigurációban asudo-hozzáférés definiálásához.
Hálózati engedélyezés
A Platform SSO az identitásszolgáltatói hitelesítő adatok használatát kiterjeszti azon felhasználókra is, akik nem rendelkeznek helyi fiókkal a Macen engedélyezési célokból. Ezek a fiókok ugyanazokat a csoportokat használják, mint a Csoportfelügyelet. Ha például a fiók egy adminisztrátori csoport tagja, akkor adminisztrátori engedélyezési kéréseket hajthat végre. A funkció használatához konfigurálja a Platform SSO-t megosztott eszközkulcsokkal.
A hálózati engedélyezés nem lehetséges olyan engedélyezési kérésekkel, amelyek biztonságos tokent, tulajdonosi engedélyeket vagy a jelenleg bejelentkezett felhasználó általi hitelesítést igényelnek.
Igény szerinti fióklétrehozás
A fiókmenedzsment elősegítéséhez a megosztott telepítésekben, a felhasználók használhatják az identitásszolgáltatóhoz tartozó felhasználónevüket és jelszavukat a bejelentkezéshez a Macre, és helyi fiókot hozhatnak létre.
Az Automatizált eszközregisztráció és az Automatikus továbblépés funkciók használatával teljesen automatizált kiépítési folyamatot valósíthat meg. Az első helyi adminisztrátori fiókot egy eszközfelügyeleti szolgáltatás segítségével kell létrehoznia, és visszajelzés nélküli Platform SSO-regisztrációt kell végrehajtania.
A következőkre van szükség az igény szerinti fióklétrehozás használatához:
Regisztrálja a Macet egy olyan eszközfelügyeleti szolgáltatásban, amely támogatja a bootstrap tokeneket.
Adja hozzá a következőket: SSO-bővítménykonfiguráció Platform SSO-val, megosztott eszközkulcsokkal és a felhasználó bejelentkezéskor történő létrehozásának lehetőségével.
Fejezze be a Beállítási asszisztenst, és hozzon létre egy helyi adminisztrátori fiókot.
Állítsa a Macet a bejelentkezési ablakra, a FileVault legyen feloldva, és legyen hálózati kapcsolat.
Egy opcionális konfigurációs beállítás használatával megadhatja, hogy az IdP melyik attribútumát használja a helyi fiók nevéhez (gyakran a felhasználó rövid neve) és a teljes nevéhez. Az adminisztrátorok beállíthatják a fióknevek kulcsát is com.apple.PlatformSSO.AccountShortName értékre az UPN-előtag használatához.
Ezenkívül megadhatja, hogy milyen jogosultságok vonatkozzanak az újonnan létrehozott fiókokra a bejelentkezéskor. A csoportfelügyelethez ugyanazok az opciók állnak rendelkezésre:
Szabványos: A fiók normál felhasználói jogosultságokat kap.
Adminisztrátor: Hozzáadja a fiókot a helyi adminisztrátori csoporthoz.
Csoportok: A jogosultságok csoporttagság alapján vannak meghatározva, amelyek minden alkalommal frissülnek, amikor a felhasználó hitelesíti magát az IdP-vel.
Hitelesített vendégmód
A hitelesített vendégmód gyors bejelentkezési élményt nyújt a megosztott telepítésekhez, például orvosi rendelőkben vagy iskolákban, ahol a különböző felhasználóknak nincs szükségük helyi fiók létrehozására, mert csak rövid időre kell bejelentkezniük az IdP-hitelesítő adataikkal. A felhasználó alapértelmezés szerint normál felhasználói jogosultságokat kap, de ezek a jogosultságok a Platform SSO-csoportfelügyelet segítségével módosíthatók.
A funkció használatához ugyanazokra a követelményekre van szükség, mint az igény szerinti fióklétrehozásnál, de ahelyett, hogy a felhasználó létrehozásának lehetősége a bejelentkezéskor jelenne meg, az Hitelesített vendégmódot kell beállítania.
Amikor egy felhasználó kijelentkezik, a macOS törli az adott fiók összes helyi adatát, és a megosztott Mac készen áll a következő felhasználó bejelentkezésére.
Érintse meg a bejelentkezéshez
A Bejelentkezés koppintással funkció kiterjeszti a digitális hitelesítő adatok funkcióit az Apple Walletből a macOS-re. Az elmúlt években a szervezetek digitális belépőkártyákat vezettek be az Apple Walletben, lehetővé téve a felhasználók számára, hogy az iPhone-juk vagy Apple Watchuk egyszerű érintésével kinyissák az ajtókat a fizikai belépőkártya használata nélkül. Ez az élmény Macen is elérhető.
Ez a hitelesítési módszer különösen hasznos olyan szervezetek számára, amelyek egy Macet osztanak meg több felhasználó között, beleértve az oktatási intézményeket, a kiskereskedelmi környezeteket és az egészségügyi intézményeket.
A Bejelentkezés koppintással funkcióval a felhasználók hitelesíthetik magukat a hitelesített vendégmódra konfigurált Macen, amikor az iPhone-jukat vagy az Apple Watchukat egy csatlakoztatott NFC-olvasóhoz koppintják. Ez egy biztonságos egyszeri bejelentkezési folyamatot indít el, amely automatikusan hitelesíti a felhasználókat az alkalmazásaikban és a webhelyeiken, lehetővé téve számukra a gyors bejelentkezést és a munkavégzést.
A felhasználói hitelesítő adatok hozzáférési kulcsként vannak kiépítve egy Apple Wallet jegyben egy iPhone-appon vagy böngészőn keresztül. Ezek a hozzáférési kulcsok az eszköz Secure Enclave-jében vannak tárolva, így hardveresen támogatottak és titkosítottak, valamint segítenek a manipulációs vagy kinyerési kísérletek elleni védelemben. Az Express mód növeli a kényelmet azáltal, hogy lehetővé teszi az azonnali hitelesítést anélkül, hogy a felhasználóknak fel kellene ébreszteniük vagy fel kellene oldaniuk az eszközüket, hasonlóan ahhoz, ahogy a tömegközlekedési kártyák működnek az Apple Walletben.
A Bejelentkezés koppintással funkció megvalósításához a Macnek a következőknek kell megfelelnie:
Hitelesített vendégmódhoz konfigurálva
Támogatott külső NFC-olvasóval rendelkezik
A hozzáférési kulcsok létrehozásához és kezeléséhez részt kell vennie az Apple Wallet Access Programban A hozzáférési kulcs létrehozásával kapcsolatos további információkért tekintse meg az Apple Wallet Access Program útmutatójának Előkészítés című részét.