macOSのプラットフォームシングルサインオン
プラットフォームシングルサインオン(プラットフォームSSO)で、デベロッパはmacOSのログインウインドウにまでおよぶSSO機能拡張を構築して、ユーザがローカルアカウントの資格情報をIDプロバイダ(IdP)と同期できるようにできます。ローカルアカウントのパスワードが自動的に同期された状態で保存されるため、クラウドのパスワードとローカルパスワードが一致します。ユーザは、Touch IDやApple WatchでMacのロックを解除することもできます。
プラットフォームSSOには以下のものが必要です:
Appleシリコンを搭載したMac、またはTouch BarとTouch IDを搭載したMac。
macOS 13以降がインストールされていること。
プラットフォームSSOへの対応を含む拡張シングルサインオンペイロードに対応するモバイルデバイス管理(MDM)ソリューション。
IdPによるプラットフォームSSO認証プロトコルの対応
対応している3つの認証方法のいずれか:
Secure Enclaveで裏付けられた鍵での認証: この方法を使用すると、自分のMacにログインするユーザは、Secure Enclaveで裏付けられた鍵を使って、パスワードを入力せずにIdPで認証できます。Secure Enclave鍵は、ユーザ登録処理中にIdPで設定されます。
パスワード認証: この方法を使用すると、ユーザはローカルパスワードまたはIdPのパスワードで認証します。
スマートカード: この方法を使用すると、ユーザはスマートカードを使用してIdPで認証します。
注記: MacがMDMソリューションから登録解除されると、IdPからも登録解除されます。
プラットフォームSSO機能
機能 | 対応する最小オペレーティングシステム | 説明 |
|---|---|---|
認証が必要 | macOS 15 | FileVault、ロック画面、およびログインウインドウでIdP認証を要求します。 |
認証が必要 | macOS 15 | オプションで、オフラインおよび認証猶予期間を構成して、ユーザがオフラインのときにログインしたり画面のロックを解除したりできるようにします。 |
認証が必要 | macOS 15 | オプションで、Touch IDまたはApple Watchで画面をロック解除するように構成します。 |
「システム設定」でのユーザ登録と登録ステータス | macOS 14 | ユーザはSSOで使用するデバイスまたはユーザアカウントを「システム設定」で登録できます。このメニュー項目には、現在の登録ステータスが表示され、発生した可能性があるエラーも示されるので、ユーザ透過性が向上します。これにより、ユーザは登録を再度完了する必要があるかどうかを知ることができます。 |
ユーザによるローカルアカウント作成 | macOS 14 | 共有導入でのアカウント管理を円滑化するために、ユーザはIdPユーザ名とパスワードまたはスマートカードを使用してFileVaultがロック解除されたMacにログインし、ローカルアカウントを作成できます。その後、 macOS 15.4以降を搭載したMacでは、管理者が この機能を使用するには、以下が必要です:
|
認証プロンプトでローカル以外のIdPユーザアカウントを使用 | macOS 14 | プラットフォームSSOは、IdP資格情報の使用をMac上に認証目的のローカルユーザアカウントを持たないユーザに拡張します。これらのアカウントはグループ管理と同じグループを使用します。例えば、ユーザがいずれかの管理者グループのメンバーである場合、macOS管理者認証プロンプトでそのアカウントを使用できます。セキュアトークン、所有権、または現在ログインしているユーザによる認証を必要とする認証プロンプトは対象外です。 |
IdPで認証されるときにユーザのグループメンバーシップをアップデート | macOS 14 | グループメンバーシップを使用して、macOSでIdPユーザのアクセス権を細かく管理できます。IdPでユーザが認証されるたびに、グループメンバーシップがアップデートされます。グループメンバーシップを定義するために3つの配列キーが用意されています:
|
WS-Trustフェデレーション | macOS 13.3 | ユーザのアカウントがMicrosoft Entra IDと連携するIdPによって管理されているときに、プラットフォームSSOでユーザを正常に認証できます。 |