Autenticazione Single Sign-On su piattaforma per macOS
Con l’autenticazione Single Sign-On su piattaforma, tu o un’azienda di sviluppo specializzata nella gestione delle identità potete creare estensioni SSO che consentono agli utenti di utilizzare gli account della tua organizzazione da un provider di identità su un Mac durante la configurazione iniziale.
Funzionalità
L’autenticazione SSO su piattaforma consente:
Di attivare e applicare l’SSO della piattaforma durante la registrazione automatizzata dei dispositivi per autenticare la registrazione, accedere con un Apple Account gestito e creare un utente locale
Di offrire un’esperienza di autenticazione SSO per le app native e web
Di ottenere informazioni sull’autenticazione SSO su piattaforma in Impostazioni di Sistema
Di sincronizzare le password degli account utente locali con il provider di identità e di definire le politiche di accesso
Di definire permessi di gruppo per gli account del provider di identità e consentire alle persone di usare account IdP riservati alle reti negli avvisi di autorizzazione.
Di creare account utente locali su richiesta al momento dell’accesso con le credenziali di un account IdP
Di supportare gli utenti ospite che eseguono temporaneamente l’accesso con le proprie credenziali IdP su un Mac condiviso
Nota: la maggior parte delle funzionalità richiede il supporto per l’estensione SSO. Per ulteriori informazioni sull’implementazione dell’autenticazione SSO su piattaforma nella tua organizzazione, consulta la documentazione del provider di identità.
Requisiti
Un Mac con chip Apple o un Mac con chip Intel con Touch ID
Un servizio di gestione dei dispositivi che supporta la configurazione “Extensible Single Sign-on”, che include impostazioni per il Single Sign-On su piattaforma
Un’app che contiene un’estensione SSO piattaforma compatibile con il provider di identità
macOS 13 o versione successiva
Le funzionalità di seguito richiedono versioni specifiche.
Funzionalità | Versione minima dei sistemi operativi supportata | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Modalità ospite autenticata | macOS 26 | ||||||||||
Tocca per accedere | macOS 26 | ||||||||||
Autenticazione SSO su piattaforma durante la registrazione automatica dei dispositivi | macOS 26 | ||||||||||
Prefisso UPN come nome account locale | macOS 15.4 | ||||||||||
Attestazione per identificativi dispositivo | macOS 15.4 | ||||||||||
Politiche di login | macOS 15 | ||||||||||
Creazione di account on-demand | macOS 14 | ||||||||||
Gestione gruppi e autorizzazione di rete | macOS 14 | ||||||||||
Autenticazione SSO su piattaforma in Impostazioni di Sistema | macOS 14 | ||||||||||
Configurazione SSO piattaforma
Per utilizzare il Single Sign-On su piattaforma, il Mac e ogni utente devono registrarsi presso il provider di identità. A seconda del supporto del provider di servizi e della configurazione applicata, il Mac può eseguire in autonomia la registrazione del dispositivo in background utilizzando:
Un token di registrazione fornito al momento della configurazione della gestione dei dispositivi
Un’attestazione, che fornisce prove evidenti sugli identificativi del dispositivo (UDID e numero di serie)
Per mantenere una connessione affidabile con il provider di identità indipendentemente dall’utente, l’autenticazione SSO su piattaforma supporta le chiavi dispositivo condivise. Usa le chiavi dispositivo condivise ogni volta che è possibile, poiché sono richieste per funzionalità come l’autenticazione SSO su piattaforma durante la registrazione automatizzata dei dispositivi, la creazione di account utente su richiesta basata sulle informazioni dell’IdP, l’autorizzazione di rete e la modalità ospite autenticata.
Una volta che la registrazione del dispositivo va a buon fine, l’utente si registra (a meno che l’account utente non stia utilizzando la modalità ospite autenticata). Se richiesto dal provider di identità, la registrazione dell’utente può richiedere una richiesta di conferma della registrazione. Per gli account utente locali che l’autenticazione SSO su piattaforma crea su richiesta, la registrazione dell’utente avviene automaticamente in background.
Nota: quando la registrazione di un Mac viene annullata dal servizio di gestione dei dispositivi, anche la registrazione al provider di identità viene annullata.
Metodi di autenticazione
L’autenticazione SSO su piattaforma supporta diversi metodi di autenticazione con il provider di identità. Il supporto per ciascuna opzione varia a seconda del provider di identità e dall’estensione SSO su piattaforma.
Password: con questo metodo, l’utente effettua l’autenticazione con una password locale o con una password di un provider di identità. Inoltre, supporta anche lo standard WS-Trust, che consente all’utente di eseguire l’autenticazione anche quando il provider di identità che gestisce l’account è federato.
Chiave basata su Secure Enclave: con questo metodo, l’utente che accede al Mac può usare una chiave basata su Secure Enclave per autenticarsi con un provider di identità, senza dover usare una password. Il provider di identità configura la chiave Secure Enclave durante il processo di registrazione dell’utente.
Smart card: con questo metodo, l’utente utilizza una smart card per effettuare l’autenticazione con un provider di identità. Per utilizzare questo metodo, occorre:
Registrare la smart card con il provider di identità
Configurare la mappatura degli attributi delle smart card sul Mac
Per ulteriori dettagli e per un esempio di configurazione della mappatura degli attributi, consulta la pagina man per Smart Card Services project.
Tasto di accesso: con questo metodo, gli utenti utilizzano un biglietto salvato in Wallet per autenticarsi con il provider di identità. Essendo simile a una smart card, la chiave di accesso deve essere registrata con il provider di identità.
Alcune funzionalità, come la creazione di account utente su richiesta, richiedono l’utilizzo di un metodo di autenticazione specifico.
Funzionalità | Password | Chiave basata su Secure Enclave | Smart card | Tasto di accesso | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gestione gruppi |  | | | | |||||||
Registrazione automatica dei dispositivi | | | |  | |||||||
Modalità ospite autenticata | | | | | |||||||
Creazione di account on-demand | | | | | |||||||
Sincronizzazione password | | | | | |||||||
Nota: per eseguire la registrazione, l’estensione SSO deve supportare il metodo richiesto. Inoltre, è previsto anche il supporto per il cambio di metodo. Ad esempio, quando viene creato un nuovo account utente durante il login con un nome utente e una password, l’account può quindi passare all’utilizzo di una chiave o di una smart card associata a Secure Enclave una volta completata correttamente la procedura di accesso.
SSO sulla piattaforma durante la registrazione automatica dei dispositivi
Le organizzazioni possono attivare e imporre l’autenticazione SSO della piattaforma durante Impostazione Assistita con la registrazione automatica dei dispositivi. L’opzione è disponibile per i dispositivi con un solo utente perché l’utente che autentica la registrazione ottiene automaticamente un account locale e può utilizzare immediatamente l’autenticazione SSO con le app native e web supportate.
Il processo è come segue:
macOS richiede la registrazione e informa il servizio di gestione dei dispositivi che l’autenticazione SSO su piattaforma è supportata durante la registrazione.
Il servizio di gestione dispositivi restituisce un errore 403 che include informazioni su dove trovare la configurazione SSO e il pacchetto contenente un’app con l’estensione SSO.
macOS scarica e installa l’estensione e la configurazione dell’autenticazione SSO su piattaforma.
macOS configura l’autenticazione SSO su piattaforma ed esegue la registrazione del dispositivo. Se l’attestazione è configurata, la registrazione avviene in background in modo silenzioso. Successivamente, macOS richiede all’utente di eseguire l’autenticazione con il provider di identità utilizzando uno dei metodi elencati in precedenza per eseguire la registrazione utente. Gli utenti non possono procedere senza aver completato con successo la registrazione SSO su piattaforma.
Il provider di identità gestisce l’autenticazione.
Dopo che la procedura di autenticazione è avvenuta con successo, il provider di identità restituisce un token portatore a macOS.
macOS utilizza il token portatore per autenticare la registrazione al servizio di gestione dei dispositivi e, se federato allo stesso provider di identità, consente all’utente di accedere al proprio Apple Account gestito senza richiedere nuovamente l’inserimento delle credenziali. Per poter funzionare, il pannello di Impostazione Assistita di iCloud deve essere visibile all’utente.
macOS crea un account locale. La relativa password può essere sincronizzata con il provider di identità oppure l’utente può impostare autonomamente una password locale (quando l’autenticazione SSO su piattaforma utilizza una chiave protetta da Secure Enclave). Se necessario, puoi applicare i requisiti di complessità della password per la password locale utilizzando la configurazione del codice.
Se l’opzione è configurata, macOS può sincronizzare l'immagine del profilo di login dell’account locale dal provider di identità.
Puoi utilizzare l’autenticazione SSO su piattaforma durante la registrazione automatica dei dispositivi con un aggiornamento software obbligatorio. In questo caso, il servizio di gestione dei dispositivi deve prima imporre l’aggiornamento.
Se l’account utente che macOS crea è l’unico account presente sul Mac, allora diventa un account amministratore. Se il servizio di gestione dei dispositivi ha creato un account amministratore utilizzando il comando di configurazione degli account, puoi assegnare all’account utente privilegi diversi utilizzando la gestione dei gruppi SSO sulla piattaforma.
SSO
Facendo parte dell’autenticazione SSO estensibile, l’autenticazione SSO su piattaforma offre le stesse funzionalità di accesso unico e consente agli utenti di accedere una sola volta, quindi di utilizzare il token fornito mediante autenticazione iniziale per autenticarsi con le app native e web supportate.
Se i token non risultano mancanti, sono scaduti o hanno più di quattro ore, l’autenticazione SSO su piattaforma tenta di aggiornarli o di recuperarne di nuovi dal provider di identità. Inoltre, puoi configurare una durata in secondi (per un minimo di un’ora) dopo la quale l’autenticazione SSO su piattaforma richiede di effettuare l’accesso completo invece di aggiornare il token. Per impostazione predefinita, è richiesto un accesso completo ogni 18 ore.
SSO sulla piattaforma in Impostazioni di Sistema
Una volta registrato il Single Sign-On su piattaforma, l’utente può controllare lo stato della registrazione in Impostazioni di Sistema > Utenti e gruppi > [nome utente]. Se necessario, è possibile avviare la riparazione della registrazione e richiedere l’aggiornamento del token di autenticazione.
Lo stato della registrazione del dispositivo è visibile in Utenti e gruppi > Server account di rete, ed è inoltre disponibile un’opzione per eseguire la riparazione.
Sincronizzare password e politiche di accesso
Se utilizzi il metodo di autenticazione con password, la password dell’utente locale viene automaticamente sincronizzata con il provider di identità ogni volta che un utente modifica la password, sia localmente sia da remoto. Se necessario, macOS richiede all’utente la password precedente.
Di default, per sbloccare FileVault, la schermata di blocco e la finestra di login, è richiesta la password dell’account locale. Quando la password inserita non corrisponde alla password dell’account utente locale, macOS tenta di raggiungere il provider di identità per eseguire un’autenticazione in tempo reale. Se macOS non riesce a raggiungere il provider d’identità o se la password inserita non corrisponde a quella salvata dal provider di identità, l’autenticazione non va a buon fine.
Con le politiche di login, in queste tre situazioni, puoi consentire immediatamente l’uso della password dell’account attuale del provider di identità. Puoi anche impostare le seguenti politiche individualmente per FileVault, la schermata di blocco e la finestra di accesso:
Tenta di eseguire l’autenticazione.
Se l’opzione è configurata, viene effettuato un tentativo di autenticazione in tempo reale con il provider di identità.
Se il Mac è in online, per procedere è necessario che l’autenticazione con il provider di identità venga eseguita con successo, anche quando il Mac è offline dopo il primo tentativo.
Se l’autenticazione ha successo, l’autenticazione SSO su piattaforma aggiorna la password locale.
Se il Mac è offline, l’utente può utilizzare la password del proprio account locale.
Richiede l’autenticazione.
Se l’opzione è configurata, per procedere è richiesta l’autenticazione in tempo reale con il provider di identità.
Se il Mac è online, per procedere è richiesta l’autenticazione con il provider di identità, indipendentemente dal periodo di grazia configurato per l’accesso offline.
Se l’autenticazione ha successo, l’autenticazione SSO su piattaforma aggiorna la password locale.
Se il Mac è offline, gli utenti non possono eseguire il login. In tali situazioni, è possibile abilitare un periodo di tolleranza offline e impostare tale finestra in base al numero di giorni successivi a un precedente accesso riuscito (durante tale lasso di tempo l’utente potrà continuare a utilizzare la password dell’account locale).
Puoi definire se tutti i login sul Mac con qualsiasi account devono essere gestiti tramite Single Sign-On su piattaforma o se continuare a consentire l’accesso con account solo locali. È inoltre possibile definire il numero di giorni successivi all’applicazione o all’aggiornamento del criterio fino alla data in cui l’impostazione non viene applicata. In questo modo, è possibile usare temporaneamente gli account locali. Ad esempio, puoi utilizzare temporaneamente un account amministratore creato dal servizio di gestione dei dispositivi per eseguire o riparare la registrazione del dispositivo per l’autenticazione SSO della piattaforma.
In alternativa all’autenticazione in tempo reale, puoi anche consentire agli utenti di utilizzare Touch ID o Apple Watch sulla schermata di blocco.
Se necessario, gli account locali (come definiti da te) possono essere esentati dalle politiche di accesso e non prevedere la registrazione per il Single Sign-On su piattaforma.
Gestione gruppi e autorizzazione di rete
L’autenticazione Single Sign-On su piattaforma offre una gestione dei privilegi granulare per fornire agli utenti il livello di privilegi adeguato di cui hanno bisogno sul Mac. Per farlo, l’autenticazione SSO su piattaforma può applicare i seguenti privilegi all’account ogni volta che l’utente si autentica:
Standard: l’account ottiene privilegi utente standard.
Amministratore: l’account viene aggiunto al gruppo di amministratori locali.
Gruppi: definisce i privilegi in base all’appartenenza a un gruppo, che viene aggiornata ogni volta che l’utente esegue l’autenticazione con il proprio provider di identità.
Quando utilizzi i gruppi, gli account ottengono privilegi in base all’appartenenza alle categorie di seguito.
Gruppi amministratore: se l’account fa parte di un gruppo elencato, avrà accesso come amministratore locale.
Gruppi di autorizzazione: se l’account fa parte di un gruppo assegnato a un diritto di autorizzazione integrato o definito in modo personalizzato, allora tale account dispone dei privilegi associati a quel gruppo specifico. Ad esempio, macOS utilizza i seguenti diritti di autorizzazione:
system.preferences.datetime, che consente all’account di modificare le impostazioni dell’ora.system.preferences.energysaver, che consente all’account di modificare le impostazioni del risparmio energetico.system.preferences.network, che consente all’account di modificare le impostazioni di rete.system.preferences.printing, che consente all’account di aggiungere o rimuovere stampanti.
Gruppi aggiuntivi: gruppi definiti in modo personalizzato per macOS o app specifiche, che macOS crea automaticamente all’interno della directory locale (se non esistono già). Ad esempio, puoi utilizzare un gruppo aggiuntivo nella configurazione
sudoper definire l’accessosudo.
Autorizzazione di rete
L’autenticazione Single Sign-On su piattaforma espande l’uso delle credenziali dei provider di identità agli utenti che non hanno un account utente locale sul Mac per eseguire le autorizzazioni. Questi account utilizzano gli stessi gruppi che si trovano nella gestione dei gruppi. Ad esempio, se l’account fa parte di uno dei gruppi amministratore può eseguire le richieste di autorizzazione per amministratori. Per utilizzare questa funzionalità, configura il Single Sign-On su piattaforma con le chiavi dispositivo condivise.
L’autorizzazione di rete non è possibile con i messaggi di richiesta di autorizzazione che richiedono un token sicuro, permessi di proprietà o l’autenticazione da parte dell’utente attualmente connesso.
Creazione di account on-demand
Per facilitare la gestione degli account nelle distribuzioni condivise, gli utenti possono utilizzare il nome utente fornito dal loro provider di identità o una smart card per accedere a un Mac e creare un account locale.
Puoi ottenere un processo di provisioning completamente automatizzato utilizzando la registrazione automatica dei dispositivi con l’opzione “Avanzamento automatico”. Per farlo, è necessario creare il primo account amministratore locale utilizzando un servizio di gestione dei dispositivi ed eseguire la registrazione Single Sign-On su piattaforma silenziosa.
Per utilizzare la creazione di account su richiesta, occorre:
Registrare il Mac in un servizio di gestione dei dispositivi che supporta i token Bootstrap.
Aggiungere una configurazione dell’estensione SSO con il Single Sign-On su piattaforma, chiavi del dispositivo condivise e l’opzione per creare l’utente al login.
Completare la procedura di Impostazione Assistita e creare un account amministratore locale.
Assicurarsi che il Mac si trovi nella finestra di accesso con FileVault sbloccato e una connessione di rete disponibile.
Utilizzando un’opzione di configurazione facoltativa, puoi definire quale attributo del provider di identità utilizzare per il nome account locale (spesso chiamato “Nome breve dell’utente”) e per il nome completo. Le persone con ruolo di amministratore possono anche impostare la chiave per il nome dell’account su com.apple.PlatformSSO.AccountShortName in modo da utilizzare il prefisso UPN.
Inoltre, puoi definire quali privilegi applicare ai nuovi account creati al momento del login. Sono disponibili le stesse opzioni per la gestione dei gruppi:
Standard: l’account ottiene privilegi utente standard.
Amministratore: l’account viene aggiunto al gruppo di amministratori locali.
Gruppi: definisce i privilegi in base all’appartenenza a un gruppo, che viene aggiornata ogni volta che l’utente esegue l’autenticazione con il proprio provider di identità.
Modalità ospite autenticata
La modalità ospite autenticata offre unʼesperienza di accesso semplificata per le distribuzioni condivise, ad esempio, nel caso di studi medici o scuole, dove non occorre che i diversi utenti creino un account locale, perché non devono far altro che effettuare l’accesso con le credenziali fornite dal proprio provider di identità per un breve periodo di tempo. L’utente ottiene di default i privilegi utente standard, ma possono essere modificati utilizzando la gestione del gruppo SSO della piattaforma.
Per utilizzare questa funzionalità, occorrono gli stessi requisiti richiesti per la creazione degli account on-demand. Tuttavia, al posto dell’opzione per creare un utente al momento del login, è necessario configurare la modalità ospite autenticata.
Quando un utente esegue il logout, macOS elimina tutti i dati locali per quel determinato account e il Mac condiviso è pronto per il login dell’utente successivo.
Tocca per accedere
“Tocca per accedere” estende la funzionalità delle credenziali digitali da Wallet a macOS. Negli ultimi anni, le organizzazioni hanno adottato i badge digitali in Wallet, consentendo agli utenti di sbloccare le porte semplicemente avvicinando iPhone o Apple Watch, senza dover utilizzare il badge fisico. La stessa esperienza è disponibile anche su Mac.
Questo metodo di autenticazione è particolarmente utile per le organizzazioni che condividono un Mac tra più utenti, ad esempio, istituti scolastici, ambienti commerciali e strutture sanitarie.
Con “Avvicina per accedere”, gli utenti possono eseguire l’autenticazione su un Mac configurato per la modalità ospite autenticata avvicinando iPhone o Apple Watch a un lettore NFC collegato. L’operazione avvia un processo di autenticazione SSO sicura che autentica automaticamente gli utenti sulle app e sui siti web, consentendo loro di accedere rapidamente e iniziare a lavorare.
Le credenziali utente vengono fornite come chiavi di accesso in un biglietto Apple Wallet tramite un’app o un browser di iPhone. Queste chiavi di accesso sono archiviate nella Secure Enclave del dispositivo, il che le rende protette dall’hardware e crittografate, e contribuisce a proteggerle da eventuali tentativi di manomissione o estrazione. La modalità rapida aggiunge praticità consentendo l’autenticazione immediata senza richiedere agli utenti di attivare o sbloccare il dispositivo, in un modo simile a come funzionano le carte dei mezzi di trasporto in Wallet.
Per implementare la funzionalità “Tocca per accedere”, il Mac deve soddisfare i seguenti requisiti:
Deve essere configurato per la modalità ospite autenticata
Deve essere dotato di un lettore NFC esterno supportato
Per creare e gestire le chiavi di accesso, è necessario partecipare al Programma di accesso di Apple Wallet. Per ulteriori informazioni su come creare una chiave di accesso, consulta Provisioning nella guida al Programma di accesso di Wallet di Apple.