Platform egyszeri bejelentkezés macOS-hez
A platformra történő egyszeri bejelentkezéssel (Platform SSO) a fejlesztők olyan SSO-bővítményeket készíthetnek, amelyek kiterjedhetnek a macOS bejelentkezési ablakáig, és lehetővé teszik, hogy a felhasználó szinkronizálja a helyi fiók bejelentkezési adatait egy identitásszolgáltatóval. A helyi fiókjelszót a rendszer automatikusan szinkronizálja, hogy a felhőben tárolt és a helyi jelszavak egyezzenek. A felhasználók feloldhatják a Macet a Touch ID-val és az Apple Watchcsal.
A platform SSO-hoz a következők szükségesek:
macOS 13 vagy újabb
Olyan mobileszköz-felügyeleti (MDM) megoldás amely támogatja a kibővíthető egyszeri bejelentkezés adatcsomagját, amely tartalmazza a Platform SSO támogatását
A Platform SSO hitelesítési protokoll támogatása az IdP-től
Két támogatott hitelesítési mód közül az egyik:
Hitelesítés Secure Enclave-alapú kulccsal: Ezzel a módszerrel a Macjére bejelentkező felhasználó használhatja a Secure Enclave-alapú kulcsot az IdP-vel jelszó nélkül történő hitelesítéshez. A Secure Enclave kulcs az IdP-vel van beállítva a felhasználóregisztrációs folyamat közben.
Jelszó-hitelesítés: Ezzel a módszerrel a felhasználó hitelesíti magát a helyi jelszóval vagy egy IdP-jelszóval.
Megjegyzés: Ha a Mac regisztrációja törölve van az MDM-megoldásból, akkor az IdP-ből is törölve lesz a regisztrációja.
Platform SSO funkciók
Funkció | Minimálisan támogatott operációs rendszer | Leírás |
|---|---|---|
Hitelesítést igényel | macOS 15 | IdP-hitelesítés igénylése a FileVault, a Zárolási képernyő és a bejelentkezési ablak alatt. |
Hitelesítést igényel | macOS 15 | Offline és hitelesítési türelmi időszakok konfigurálása, hogy a felhasználók offline módban is bejelentkezhessenek vagy feloldhassák a képernyőt. |
Hitelesítést igényel | macOS 15 | A Touch ID vagy az Apple Watch opcionálisan konfigurálható a képernyő feloldására. |
User enrollment and registration status in System Settings (Felhasználói regisztráció és regisztráció állapota a Rendszerbeállításokban) | macOS 14 | A felhasználók a Rendszerbeállításokban regisztrálhatják az eszközüket vagy felhasználói fiókjukat SSO használatára. Ebben a menüben látható a regisztráció jelenlegi állapota, és megjeleníti az esetleges hibákat is, így átláthatóságot biztosít a felhasználó számára. Ez tájékoztatja a felhasználót, hogy újra el kell-e végezni a regisztrációt. |
Local account creation by users (Helyi fiók létrehozása a felhasználó által) | macOS 14 | A fiókmenedzsment elősegítéséhez a megosztott telepítésekben, a felhasználók használhatják az identitásszolgáltatóhoz tartozó felhasználónevüket és jelszavukat a bejelentkezéshez a Macre feloldott FileVaulttal, és helyi fiókot hozhatnak létre. Az új
|
Using nonlocal IdP user accounts at authorization prompts (Nem helyi identitásszolgáltatói felhasználói fiókok használata hitelesítési felszólításokkor) | macOS 14 | A Platform SSO az identitásszolgáltatói hitelesítő adatok használatát kiterjeszti azon felhasználókra is, akik nem rendelkeznek helyi felhasználói fiókkal a Macen engedélyezési célokból. Ezek a fiókok ugyanazokat a csoportokat használják, mint a Csoportfelügyelet. Ha például a felhasználó az egyik adminisztrátori csoport tagja, a fiók használható a macOS adminisztrátori engedélyezést kérő üzeneteinél. Ez alól kivételt jelentenek az olyan engedélyezési üzeneteknél, amelyekhez biztonságos token, tulajdonosi engedélyek vagy a jelenleg bejelentkezett felhasználó hitelesítése szükséges. |
Updating group membership of users when they authenticate with their IdP (Felhasználók csoporttagságának frissítése, amikor az identitásszolgáltatójukkal hitelesítenek) | macOS 14 | A csoporttagságok használhatók az identitásszolgáltatót használó felhasználók engedélyeinek részletes kezelésére a macOS-ben. A csoporttagság minden alkalommal frissítve van, amikor a felhasználó az identitásszolgáltató használatával hitelesít. A csoporttagság definiálásához három tömbkulcs érhető el:
|
WS-Trust-összevonás | macOS 13.3 | Ez lehetővé teszi a Platform SSO számára, hogy sikeresen hitelesítse a felhasználókat, ha a fiókjukat egy Microsoft Entra ID-val összevont identitásszolgáltató felügyeli. |