Daftar Diri Tunggal Platform untuk macOS
Dengan Daftar Diri Tunggal Platform (SSO Platform), pembangun boleh membina sambungan SSO yang dilanjutkan ke tetingkap log masuk macOS, membenarkan pengguna untuk menyelaraskan kelayakan akaun setempat dengan penyedia identiti (IdP). Kata laluan akaun setempat sentiasa diselaraskan secara automatik, supaya kata laluan awan dan kata laluan setempat sepadan. Pengguna juga boleh membuka kunci Mac mereka dengan Touch ID dan Apple Watch.
SSO Platform memerlukan yang berikut:
macOS 13 atau lebih baharu
Penyelesaian pengurusan peranti mudah alih (MDM) yang menyokong muat beban Daftar Diri Tunggal (SSO) Dilanjutkan yang termasuk sokongan untuk SSO Platform
Sokongan daripada IdP untuk protokol pengesahan SSO Platform
Satu daripada dua kaedah pengesahan yang disokong:
Pengesahan dengan kunci disandarkan Secure Enclave: Dengan kaedah ini, pengguna yang melog masuk ke Mac mereka boleh menggunakan kunci disandarkan Secure Enclave untuk disahkan dengan IdP tanpa kata laluan. Kunci Secure Enclave disediakan dengan IdP semasa proses pendaftaran pengguna.
Pengesahan kata laluan: Dengan kaedah ini, pengguna mengesahkan dengan kata laluan setempat atau kata laluan IdP.
Nota: Jika Mac dinyahdaftarkan daripada penyelesaian MDM, ia juga dinyahdaftarkan daripada IdP.
Persekutuan WS-Trust
Persekutuan WS-Trust disokong dalam macOS 13.3 atau lebih baharu. Ini membenarkan SSO Platform untuk berjaya mengesahkan pengguna apabila akaun mereka diurus oleh pengesahan IdP dengan Microsoft Entra ID.
Ciri SSO Platform tambahan dalam macOS 14 atau lebih baharu
Pendaftaran pengguna dan status pendaftaran dalam Seting Sistem: Pengguna boleh mendaftarkan peranti mereka atau akaun pengguna mereka untuk digunakan dengan SSO dalam Seting Sistem. Item menu juga memaparkan status pendaftaran semasa dan menunjukkan sebarang ralat yang mungkin berlaku, memberikan kelutsinaran pengguna yang dipertingkatkan. Ini membolehkan pengguna mengetahui jika pendaftaran perlu diselesaikan lagi.
Penciptaan akaun setempat oleh pengguna: Untuk memudahkan pengurusan akaun dalam pengerahan dikongsi, pengguna boleh menggunakan nama pengguna dan kata laluan IdP mereka atau kad pintar untuk mengelog masuk ke dalam Mac dengan FileVault dibuka kunci dan mencipta akaun setempat. Kunci
TokenToUserMappingbaharu yang boleh digunakan untuk mentakrifkan atribut yang diberikan oleh IdP digunakan untuk memilih nama pengguna setempat. Untuk menggunakan ciri ini, yang berikut diperlukan:Pembantu Persediaan mesti diselesaikan dan akaun pentadbir setempat awalan dicipta.
Peranti mesti didaftarkan dalam penyelesaian MDM yang menyokong token bootstrap.
Mac pengguna mesti mempunyai muat beban Daftar Diri Tunggal Boleh Dilanjutkan dengan SSO Platform dan dengan pilihan
UseSharedDeviceKeysdanEnableCreateUserAtLogindidayakan.Sokongan kad pintar memerlukan kad pintar didaftarkan dengan IdP dan terdapat pemetaan atribut kad pintar dikonfigurasikan pada Mac.
Menggunakan akaun pengguna IdP bukan setempat semasa gesaan kebenaran: SSO Platform memperluaskan penggunaan kelayakan IdP kepada pengguna yang tidak mempunyai akaun pengguna setempat pada Mac untuk tujuan kebenaran. Akaun ini menggunakan kumpulan yang sama seperti pengurusan Kumpulan. Sebagai contoh, jika pengguna ialah ahli salah satu kumpulan pentadbir, akaun boleh digunakan semasa gesaan kebenaran pentadbir macOS. Ini mengecualikan mana-mana gesaan kebenaran yang memerlukan token selamat, kebenaran pemilikan atau pengesahan oleh pengguna yang sedang dilog masuk.
Mengemas kini keahlian kumpulan pengguna apabila mereka mengesahkan dengan IdP mereka: Keahlian kumpulan boleh digunakan untuk mengurus kebenaran pengguna IdP dalam macOS secara berbutir. Setiap kali pengguna mengesahkan dengan IdP, keahlian kumpulan mereka dikemas kini. Terdapat tiga kekunci tatasusunan tersedia untuk mentakrifkan keahlian kumpulan:
AdministratorGroups: Jika pengguna ialah sebahagian daripada kumpulan yang disenaraikan dalam tatasusunan ini, mereka akan mempunyai akses pentadbir setempat.
AuthorizationGroups: Kumpulan khusus digunakan untuk mengurus hak kebenaran terbina dalam atau ditakrifkan secara tersuai. Hak diberikan kepada semua pengguna yang merupakan sebahagian daripada kumpulan yang ditentukan. Sebagai contoh, keahlian dalam kumpulan yang ditetapkan kepada hak kebenaran
system.preferences.networkmembenarkan pengguna untuk mengubah suai seting rangkaian atausystem.preferences.printingmembenarkan pengguna untuk mengubah suai seting pencetak.AdditionalGroups: Boleh digunakan oleh sistem pengendalian—sebagai contoh, untuk mentakrifkan akses
sudo. Entri dalam tatasusunan ini mencipta kumpulan di dalam direktori setempat jika kumpulan tidak wujud.