macOSのプラットフォームシングルサインオン
概要
プラットフォームシングルサインオン(プラットフォームSSO)を使用すると、ID管理デベロッパは、ユーザが設定アシスタントでMac上の組織のIDプロバイダ(IdP)アカウントを使用して認証できるようにするSSO機能拡張を構築できます。以下の点を考慮して、プラットフォームSSOをほかのSSO機能拡張と組み合わせることができます:
特定の1つのドメインを扱うことができるのは、1つのSSO機能拡張のみです。
Kerberos SSO構成で
syncLocalPasswordをfalseに設定する必要があります。
機能
プラットフォームSSOは以下の機能に対応しています:
自動デバイス登録中にプラットフォームSSOを有効にして実行し、登録を認証し、管理対象Apple Accountでサインインし、ローカルユーザを作成します。
ネイティブおよびWebアプリでシングルサインオン操作を提供します。
「システム設定」でプラットフォームSSOの状態と登録の詳細情報を確認できます。
ローカルユーザアカウントのパスワードをIdPと同期し、ログインポリシーを定義します。
IdPアカウントのグループアクセス権を定義し、ユーザがネットワーク専用IdPアカウントを使用することを認証プロンプトで許可します。
IdPアカウントからの資格情報でログインするときにオンデマンドでローカルユーザアカウントを作成します。
共有Macコンピュータで一時的にログインするゲストユーザにIdP資格情報で対応します。
注記: ほとんどの機能はSSO機能拡張の対応を必要とします。組織でプラットフォームSSOを実装する方法について詳しくは、IdPの資料を参照してください。
要件
Appleシリコンを搭載したMacまたはTouch IDを搭載したIntelベースのMac
プラットフォームSSOの設定を含む、拡張シングルサインオン構成に対応するデバイス管理サービス
IdPと互換性のあるプラットフォームSSO機能拡張を含むアプリ
macOS 13以降
以下の機能には追加のバージョン要件があります:
機能 | 対応するオペレーティングシステムの最小バージョン | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
認証済みゲストモード | macOS 26 | ||||||||||
タップしてログイン | macOS 26 | ||||||||||
自動デバイス登録中のプラットフォームSSO | macOS 26 | ||||||||||
UPNプレフィックスをローカルアカウント名として使用 | macOS 15.4 | ||||||||||
デバイス識別子の認証 | macOS 15.4 | ||||||||||
ログインポリシー | macOS 15 | ||||||||||
オンデマンドアカウント作成 | macOS 14 | ||||||||||
グループ管理とネットワーク認証 | macOS 14 | ||||||||||
「システム設定」のプラットフォームSSO | macOS 14 | ||||||||||
プラットフォームSSOを設定する
プラットフォームSSOを使用するには、Macと各ユーザがIdPに登録されている必要があります。IdP対応および適用される構成によっては、Macは次の方法により、バックグラウンドでサイレントにデバイス登録を実行できます:
拡張SSO構成で提供されたIdPの登録トークン
Macが正規のAppleデバイスであるという強力な保証を提供する認証。デバイス識別子(UDIDとシリアル番号)を含めることもできます。
ユーザに依存することなくIdPと信頼できる接続を維持するために、プラットフォームSSOは共有デバイスキーに対応しています。可能な限り共有デバイスキーを使用してください。共有デバイスキーは、自動デバイス登録、オンデマンドアカウント作成、ネットワーク認証、および認証済みゲストモードに必要です。
デバイスが正常に登録されたあと、ユーザも登録されます。ただし、アカウントが認証済みゲストモードを使用する場合を除きます。IdPが要求する場合、ユーザに登録の確認を求めるプロンプトが表示されることがあります。オンデマンドのローカルアカウントの場合は、プラットフォームSSOによってユーザがバックグラウンドで自動的に登録されます。
注記: デバイス管理サービスからMacを登録解除すると、IdPからの登録解除も行われます。
認証方法
プラットフォームSSOはIdPとは異なる認証方式に対応します。それぞれの方式への対応は、IdPとプラットフォームSSO機能拡張によって異なります。
パスワード: この方法を使用すると、ユーザはローカルパスワードまたはIdPのパスワードで認証します。WS-Trustにも対応しています。アカウントを管理するIdPが連携されているときでもユーザを認証できます。
Secure Enclaveで保護されたキー: この方法を使用すると、自分のMacにログインするユーザは、Secure Enclaveで保護されたキーを使って、パスワードを入力せずにIdPで認証できます。Secure Enclave鍵は、ユーザ登録処理中にIdPによって設定されます。
スマートカード: この方法を使用すると、ユーザはスマートカードを使用してIdPで認証されます。この方法を使用するには、次の手順を実行する必要があります:
IdPにスマートカードを登録します。
Macでスマートカード属性マッピングを構成します。
詳細および属性のマッピング構成例については、スマートカードサービスプロジェクトのマニュアルページを参照してください。
アクセスキー: この方法では、ユーザはAppleウォレットに保存されているパスを使用してIdPで認証されます。スマートカードと同様に、IdPにアクセスキーを登録する必要があります。
オンデマンドアカウント作成などの一部の機能には、特定の認証方法が必要です。
機能 | パスワード | Secure Enclaveで保護されたキー | スマートカード | アクセスキー | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
グループ管理 |  | | | | |||||||
自動デバイス登録 | | | |  | |||||||
認証済みゲストモード | | | | | |||||||
オンデマンドアカウント作成 | | | | | |||||||
パスワード同期 | | | | | |||||||
注記: 登録を完了するには、SSO機能拡張が要求された方法に対応している必要があります。方法を切り替えることもできます。例えば、ユーザ名とパスワードで作成されたアカウントを、ログインが成功したあと、Secure Enclaveで保護されたキーまたはスマートカードに切り替えることができます。
自動デバイス登録でのプラットフォームSSO
組織は、自動デバイス登録使用時に、設定アシスタントでプラットフォームSSOを有効にして適用できます。このオプションはシングルユーザデバイスに最適です。登録が認証されたユーザのローカルアカウントがmacOSによって自動的に作成されるため、そのユーザは対応するネイティブアプリやWebアプリにSSOですぐにアクセスできます。
構成されている場合は、macOSによって、プラットフォームSSO機能拡張および構成がダウンロードされ、インストールされます。この処理は、SSOで登録を認証できるデバイス管理サービスで実際の登録を実行する前、または登録後にMacが構成を待機している状態のときに行われる可能性があります。 このフロー中に、サイレントに、またはユーザにプロンプトを表示することでデバイスの登録が実行され、ユーザはユーザ登録を行うためにIdPで認証するよう求められます。プラットフォームSSOの登録が完了しないと、ユーザは先に進むことができません。
認証が成功すると、macOSによってローカルアカウントが作成されます。パスワードはIdPと同期されるか、ユーザがローカルパスワードを設定します(プラットフォームSSOがSecure Enclaveで保護されたキーを使用する場合)。必要に応じて、パスコード構成を使用してローカルパスワードのパスワード複雑さ要件を適用できます。
構成されている場合、macOSによって、ローカルアカウントログインプロフィールピクチャがIdPから同期されます。
自動デバイス登録中は、ソフトウェアアップデートが適用されたプラットフォームSSOを使用できます。この場合、デバイス管理サービスが最初にアップデートを適用する必要があります。
macOSが作成するユーザアカウントがMac上にある唯一のアカウントである場合、そのアカウントは管理者アカウントになります。デバイス管理サービスがアカウント構成コマンドを使用して管理者アカウントを作成した場合は、プラットフォームSSOグループ管理を使用してユーザアカウントに別の権限を割り当てることができます。
シングルサインオン
プラットフォームSSOは拡張SSOの一部であるため、ユーザは一度ログインすると、その認証トークンを使って、対応するネイティブアプリおよびWebアプリにアクセスできます。
トークンが見つからない場合、有効期限が切れている場合、または4時間以上経過している場合、プラットフォームSSOはトークンの更新を試みるか、IdPから新しいものを取得しようとします。また、プラットフォームSSOがトークンが更新することなく完全なログインを要求するまでの時間(最小1時間、秒単位)を構成することもできます。デフォルトは18時間です。
「システム設定」のプラットフォームSSO
プラットフォームSSOの登録後、ユーザは「システム設定」>「ユーザとグループ」>[ユーザ名]でユーザの登録状況を確認できます。その画面から、登録を修復したり、認証トークンを更新したりできます。
デバイス登録状況は「ユーザとグループ」>「ネットワークアカウントサーバ」に表示され、修復を実行するオプションも提供します。
パスワード同期とログインポリシー
パスワード認証方法を使用する場合、ユーザがローカルまたはリモートでパスワードを変更すると、ローカルユーザパスワードはIdPと自動的に同期されます。必要に応じて、macOSはユーザに以前のパスワードを入力するように求めます。
デフォルトでは、FileVault、ロック画面、およびログインウインドウをロック解除する際に、ローカルアカウントパスワードが必要です。入力されたパスワードがローカルユーザアカウントのパスワードと一致しない場合、macOSはライブ認証を実行するためにIdPへの接続を試みます。macOSがIdPに接続できないか、入力されたパスワードがIdPに保存されているパスワードと一致しない場合、認証は失敗します。
ログインポリシーによって、これらの3つのプロンプトで、IdPの現在のアカウントパスワードを使用することをすぐに許可できます。FileVault、ロック画面、およびログインウインドウに対して、以下のポリシーを個別に設定することもできます:
認証を試みる。
これが構成されている場合、IdPからのライブ認証を試みます。
Macがオンラインの場合、次に進むにはIdPからの認証が成功している必要があります。最初の試行後にMacがオフラインになった場合も同様です。
認証が成功すると、プラットフォームSSOによってローカルパスワードがアップデートされます。
Macがオフラインの場合、ユーザはローカルアカウントパスワードを使用できます。
認証が必要。
これが設定されている場合、次に進むにはIdPからのライブ認証が必要です。
Macがオンラインの場合、次に進むにはIdPからの認証が成功している必要があります。構成されているオフライン猶予期間は関係ありません。
認証が成功すると、プラットフォームSSOによってローカルパスワードがアップデートされます。
Macがオフラインの場合、ユーザはログインできません。そのような状況では、オフライン猶予期間を有効にして、前回正常にログインしてからの日数を設定できます。ユーザはこの期間中、ローカルアカウントパスワードを引き続き使用できます。
MacにログインするアカウントをすべてプラットフォームSSOで管理する必要があるか、ローカルのみのアカウントによるログインは引き続き許可されるかどうかを定義できます。ポリシーが適用されてから施行が始まるまでの猶予期間(日数)を設定することもできます。これにより、ローカルアカウントの一時使用が許可されます。例えば、プラットフォームSSOデバイス登録を実行または修復するため、デバイス管理サービスによって作成された管理者アカウントを一時的に使用できます。
ライブ認証の代わりに、ユーザがロック画面でTouch IDまたはApple Watchを使用することを許可することもできます。
必要に応じて、ローカルアカウント(あなたが定義したもの)にログインポリシーを適用しないこともできます。プラットフォームSSOへの登録が要求されなくなります。
グループ管理とネットワーク認可
プラットフォームSSOでは、ユーザが認証されるたびにアカウントに以下の権限を適用することで、詳細な権限管理を行うことができます:
標準: アカウントに標準ユーザの権限が設定されます。
管理者: アカウントをローカル管理者グループに追加します。
グループ: IdPでユーザが認証されるたびにアップデートされるグループメンバーシップによって権限を定義します。
グループを使用する場合、次のいずれかのメンバーシップに基づいてアカウントの権限が設定されます:
管理者グループ: アカウントがリストされたグループに含まれる場合、ローカル管理者アクセスが付与されます。
認証グループ: アカウントが内蔵またはカスタム定義の認証権限に割り当てられたグループに含まれる場合、そのグループに関連付けられた権限が付与されます。例えば、macOSでは次の認証権限が使用されます:
system.preferences.datetime。アカウントに時間設定の変更を許可します。system.preferences.energysaver。アカウントに省エネルギー設定の変更を許可します。system.preferences.network。アカウントのネットワーク設定の変更を許可します。system.preferences.printing。アカウントにプリンタの追加または削除を許可します。
追加グループ: macOSまたは特定のアプリ用にカスタム定義されたグループ。macOSによってローカルディレクトリ内に自動作成されます(すでに存在しない場合)。例えば、
sudo構成内で、sudoアクセスを定義する追加グループを使用できます。
ネットワーク認証
プラットフォームSSOでは、ローカルのMacアカウントを持たないユーザがIdPの資格情報を使用して認証を行うことができます。これらのアカウントはグループ管理と同じグループを使用します。例えば、アカウントがいずれかの管理者グループのメンバーである場合、管理者認証プロンプトを実行できます。この機能を使用するには、共有デバイスキーでプラットフォームSSOを構成してください。
セキュアトークン、所有権、または現在ログインしているユーザによる認証を必要とする認証プロンプトでは、ネットワーク認証はできません。
オンデマンドアカウント作成
共有導入では、ユーザはIdPユーザ名とパスワードまたはスマートカードを使用してログインし、ローカルアカウントを自動的に作成できます。
自動デバイス登録と自動進行を使用してプロビジョニングプロセスを完全に自動化できます。デバイス管理サービスを使用して最初のローカル管理者アカウントを作成し、サイレントプラットフォームSSO登録を実行する必要があります。
オンデマンドアカウント作成を使用するには、以下が必要になります:
ブートストラップトークンに対応するデバイス管理サービスにMacを登録します。
以下を追加します: プラットフォームSSO、共有デバイスキー、およびログイン時にユーザを作成するオプションを含むSSO機能拡張構成。
設定アシスタントを完了して、ローカル管理者アカウントを作成します。
FileVaultのロックが解除されているMacにログインウインドウが表示され、ネットワークに接続されています。
オプション構成を使用して、ローカルアカウント名(ユーザ名)とフルネームにどのIdP属性を使用するかを指定できます。管理者は、アカウント名のキーをcom.apple.PlatformSSO.AccountShortNameに設定してUPNプレフィックスを使用することもできます。
さらに、ログイン時に新しく作成されたアカウントに適用する権限を定義することもできます。グループ管理にも同じオプションを使用できます:
標準: アカウントに標準ユーザの権限が設定されます。
管理者: アカウントをローカル管理者グループに追加します。
グループ: IdPでユーザが認証されるたびにアップデートされるグループメンバーシップによって権限を定義します。
認証済みゲストモード
医療機関や学校など、ユーザが一時的にIdP資格情報でサインインするだけで、永続的なローカルアカウントを必要としない共有導入の場合は、認証済みゲストモードでログイン操作を効率化できます。デフォルトでは、ユーザには標準ユーザ権限が付与されますが、プラットフォームSSOグループ管理を使用してそれらの権限を変更できます。
要件はオンデマンドアカウント作成と同じです。ただし、ログイン時にユーザを作成するオプションの代わりに、認証済みゲストモードを構成します。
ユーザがログアウトすると、macOSはそのアカウントのすべてのローカルデータを消去し、共有Macは次のユーザがログインできるように準備されます。
タップしてログイン
「タップしてログイン」により、Appleウォレットのデジタル資格情報をmacOSで使用できるようになります。すでにAppleウォレットのデジタルバッジを使用している(ユーザがiPhoneまたはApple Watchでドアを解除できるようにしている)組織は、同じ操作をMacのログインにも拡張できるようになりました。
この認証方法は、教育機関、小売店、医療施設など、複数のユーザでMacを共有する組織にとって特に有用です。
「タップしてログイン」では、ユーザはiPhoneまたはApple Watchを接続されたNFCリーダーでタップすると、認証済みゲストモード用に構成されたMacで認証されます。これにより、安全なシングルサインオンプロセスが開始され、アプリやWebサイトでユーザが自動的に認証されるので、ユーザは素早くログインして作業を開始できます。
ユーザの資格情報は、iPhoneアプリまたはブラウザ経由で、Appleウォレットのアクセスキーとしてプロビジョニングされます。このアクセスキーはデバイスのSecure Enclaveに保存されて、ハードウェアによって保護され、暗号化されることで、改ざんや抽出の試みを防ぐのに役立ちます。エクスプレスモードにより、Appleウォレットの交通系ICカードのように、デバイスをスリープ解除またはロック解除する必要なくすぐに認証できます。
「タップしてログイン」機能を実装するには、Macが次の条件を満たしている必要があります:
認証済みゲストモードを構成済み
対応する外部NFCリーダーを接続済み
アクセスキーの作成と管理には、Appleウォレットアクセスプログラムへの参加が必要です。アクセスキーの作成方法について詳しくは、「Appleウォレットアクセスプログラムガイド」の「プロビジョニング」を参照してください。