Daftar Diri Tunggal Platform untuk macOS
Gambaran Keseluruhan
Daftar Diri Tunggal Platform (SSO Platform) membolehkan anda—atau pembangun pengurusan identiti—membina sambungan SSO yang membolehkan pengguna mengesahkan dengan akaun pembekal identiti (IdP) organisasi anda pada Mac semasa Pembantu Persediaan. SSO Platform boleh digabungkan dengan sambungan SSO lain dengan pertimbangan berikut:
Domain tertentu hanya boleh dikendalikan oleh sambungan SSO tunggal.
syncLocalPasswordperlu ditetapkan kepadafalsedalam konfigurasi SSO Kerberos.
Ciri
SSO Platform menyokong ciri berikut:
Aktifkan dan laksanakan SSO Platform semasa Pendaftaran Peranti Automatik untuk mengesahkan pendaftaran, daftar masuk dengan Akaun Apple Terurus dan cipta pengguna setempat.
Sediakan pengalaman Daftar Diri Tunggal untuk app asli dan web.
Lihat status dan butiran pendaftaran SSO Platform dalam Seting Sistem.
Selaraskan kata laluan akaun pengguna setempat dengan IdP dan takrifkan dasar log masuk.
Takrifkan keizinan kumpulan akaun IdP dan benarkan orang menggunakan akaun IdP rangkaian sahaja semasa gesaan kebenaran.
Cipta akaun pengguna setempat atas permintaan semasa melog masuk dengan kelayakan daripada akaun IdP.
Sokong pengguna tetamu yang melog masuk buat sementara dengan kelayakan IdP mereka pada komputer Mac dikongsi.
Nota: Kebanyakan ciri memerlukan sokongan daripada sambungan SSO. Untuk mengetahui lebih lanjut tentang melaksanakan SSO Platform dalam organisasi anda, rujuk dokumentasi IdP anda.
Keperluan
Mac dengan Apple silicon atau Mac berasaskan Intel dengan Touch ID
Perkhidmatan pengurusan peranti yang menyokong konfigurasi Daftar Diri Tunggal Dilanjutkan, yang termasuk seting untuk SSO Platform
App yang mengandungi sambungan SSO Platform yang serasi dengan IdP
macOS 13 atau lebih baharu
Ciri berikut mempunyai keperluan versi tambahan:
Ciri | Versi sistem pengendalian disokong minimum | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Mod Tetamu Disahkan | macOS 26 | ||||||||||
Ketik untuk Log Masuk | macOS 26 | ||||||||||
SSO Platform semasa Pendaftaran Peranti Automatik | macOS 26 | ||||||||||
Awalan UPN sebagai nama akaun setempat | macOS 15.4 | ||||||||||
Pengakusaksian untuk pengecam peranti | macOS 15.4 | ||||||||||
Dasar log masuk | macOS 15 | ||||||||||
Penciptaan akaun atas permintaan | macOS 14 | ||||||||||
Pengurusan kumpulan dan kebenaran rangkaian | macOS 14 | ||||||||||
SSO Platform dalam Seting Sistem | macOS 14 | ||||||||||
Sediakan SSO Platform
Untuk menggunakan SSO Platform, Mac dan setiap pengguna perlu mendaftar dengan IdP. Bergantung pada sokongan IdP dan konfigurasi yang digunakan, Mac boleh melaksanakan pendaftaran peranti secara senyap di latar belakang menggunakan:
Token pendaftaran IdP yang disediakan dalam konfigurasi SSO boleh dikembangkan
Pengakusaksian, yang memberikan jaminan kukuh bahawa Mac ialah peranti Apple asli dan boleh menyertakan pengecam peranti secara pilihan (UDID dan nombor siri).
Untuk mengekalkan sambungan dipercayai dengan IdP yang bebas daripada pengguna, SSO Platform menyokong kunci peranti dikongsi. Gunakan kunci peranti dikongsi apabila boleh—ia diperlukan untuk Pendaftaran Peranti Diautomasikan, penciptaan akaun atas permintaan, kebenaran rangkaian dan Mod Tetamu Disahkan
Selepas peranti mendaftar dengan berjaya, pengguna juga mendaftar, melainkan akaun menggunakan Mod Tetamu Disahkan. Jika IdP memerlukannya, pengguna mungkin akan digesa untuk mengesahkan pendaftaran mereka. Untuk akaun setempat atas permintaan, SSO Platform mendaftarkan pengguna secara automatik di latar belakang.
Nota: Jika anda menyahdaftarkan Mac daripada perkhidmatan pengurusan peranti, ia juga dinyahdaftarkan daripada IdP.
Kaedah pengesahan
SSO Platform menyokong kaedah pengesahan berbeza dengan IdP. Sokongan untuk setiap satu bergantung pada IdP dan sambungan SSO Platform.
Kata Laluan: Dengan kaedah ini, pengguna mengesahkan dengan kata laluan setempat atau kata laluan IdP. Ia turut menyokong WS-Trust, yang membenarkan pengguna mengesahkan walaupun IdP yang mengurus akaun mereka adalah bersekutu.
Kunci disandarkan Secure Enclave: Dengan kaedah ini, pengguna yang melog masuk ke Mac mereka boleh menggunakan kunci disandarkan Secure Enclave untuk disahkan dengan IdP tanpa kata laluan. IdP menyediakan kunci Secure Enclave semasa proses pendaftaran pengguna.
Kad pintar: Dengan kaedah ini, pengguna mengesahkan dengan IdP menggunakan kad pintar. Untuk menggunakan kaedah ini, anda perlu:
Daftarkan kad pintar dengan IdP.
Konfigurasikan pemetaan atribut kad pintar pada Mac.
Untuk butiran dan contoh konfigurasi pemetaan atribut, lihat halaman panduan untuk projek Perkhidmatan Kad Pintar.
Kekunci akses: Dengan kaedah ini, pengguna menggunakan pas yang disimpan dalam Apple Wallet untuk mengesahkan dengan IdP. Serupa dengan kad pintar, kunci akses perlu didaftarkan dengan IdP.
Sesetengah ciri, seperti penciptaan akaun atas permintaan, memerlukan kaedah pengesahan khusus.
Ciri | Kata Laluan | Kunci disandarkan Secure Enclave | Kad pintar | Kekunci akses | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Pengurusan kumpulan |  | | | | |||||||
Pendaftaran Peranti Diautomasikan | | | |  | |||||||
Mod Tetamu Disahkan | | | | | |||||||
Penciptaan akaun atas permintaan | | | | | |||||||
Penyelarasan kata laluan | | | | | |||||||
Nota: Sambungan SSO perlu menyokong kaedah yang diminta untuk melengkapkan pendaftaran. Anda juga boleh bertukar kaedah, sebagai contoh, akaun yang dicipta dengan nama pengguna dan kata laluan boleh bertukar kepada kunci atau kad pintar yang disandarkan Secure Enclave selepas log masuk berjaya.
SSO Platform dengan Pendaftaran Peranti Automatik
Organisasi boleh mengaktifkan dan menguatkuasakan SSO Platform semasa Pembantu Persediaan dengan Pendaftaran Peranti Automatik. Pilihan ini berfungsi terbaik untuk peranti pengguna tunggal. macOS mencipta akaun setempat secara automatik untuk pengguna yang mengesahkan pendaftaran, memberikan mereka akses SSO segera kepada app asli serta web yang disokong.
Jika dikonfigurasikan, macOS memuat turun dan memasang sambungan serta konfigurasi SSO Platform. Ini boleh berlaku sebelum melakukan pendaftaran sebenar dengan perkhidmatan pengurusan peranti yang membenarkan pengesahan pendaftaran dengan SSO atau selepas pendaftaran apabila Mac disimpan dalam keadaan menunggu konfigurasi. Semasa aliran ini, Mac melaksanakan pendaftaran peranti sama ada secara senyap atau dengan menggesa pengguna dan meminta pengguna untuk mengesahkan dengan IdP mereka untuk melakukan pendaftaran pengguna. Pengguna tidak boleh meneruskan tanpa pendaftaran SSO Platform yang berjaya.
Selepas pengesahan berjaya, macOS mencipta akaun setempat, dan kata laluan sama ada diselaraskan dengan IdP atau pengguna mengesetkan kata laluan setempat (apabila SSO Platform menggunakan kunci yang disandarkan Secure Enclave). Jika perlu, anda boleh menguatkuasakan keperluan kerumitan kata laluan untuk kata laluan setempat menggunakan konfigurasi Kod Laluan.
Jika dikonfigurasikan, macOS kemudian boleh menyelaraskan gambar profil log masuk akaun setempat daripada IdP.
Anda boleh menggunakan SSO Platform semasa Pendaftaran Peranti Automatik dengan kemas kini perisian yang dikuatkuasakan. Dalam kes ini, perkhidmatan pengurusan peranti perlu menguatkuasakan kemas kini terlebih dahulu.
Jika akaun pengguna yang dicipta oleh macOS adalah satu-satunya pada Mac, ia menjadi akaun pentadbir. Jika perkhidmatan pengurusan peranti mencipta akaun pentadbir menggunakan perintah konfigurasi akaun, anda boleh menetapkan keistimewaan berbeza pada akaun pengguna menggunakan pengurusan kumpulan SSO Platform.
Daftar Diri Tunggal
Oleh kerana SSO Platform adalah sebahagian daripada SSO Boleh Dilanjutkan, pengguna mendaftar masuk sekali dan menggunakan token pengesahan tersebut untuk mengakses app asli dan web yang disokong.
Jika token tiada, tamat tempoh atau melebih empat jam, SSO Platform cuba menyegarkan semula atau mendapatkan token baharu daripada IdP. Anda juga boleh mengkonfigurasi tempoh (minimum satu jam, dalam saat) sebelum SSO Platform memerlukan log masuk penuh berbanding penyegaran semula token. Lalai ialah 18 jam.
SSO Platform dalam Seting Sistem
Selepas mendaftar dengan SSO Platform, pengguna boleh menyemak status pendaftaran mereka dalam Seting Sistem > Pengguna & Kumpulan > [nama pengguna]. Dari sana, mereka boleh membaiki pendaftaran atau menyegarkan semula token pengesahan mereka.
Status pendaftaran peranti kelihatan dalam Pengguna & Kumpulan > Pelayan akaun rangkaian dan turut memberikan pilihan untuk melakukan pembaikan.
Dasar penyelarasan kata laluan dan log masuk
Jika anda menggunakan kaedah pengesahan kata laluan, kata laluan pengguna setempat diselaraskan secara automatik dengan IdP setiap kali pengguna menukar kata laluan mereka, sama ada secara setempat atau dari jauh. Jika perlu, macOS menggesa pengguna untuk kata laluan mereka yang sebelumnya.
Secara lalai, kata laluan akaun setempat diperlukan untuk membuka kunci FileVault, Skrin Kunci dan tetingkap log masuk. Jika kata laluan yang dimasukkan tidak sepadan dengan kata laluan akaun pengguna setempat, macOS cuba menghubungi IdP untuk melaksanakan pengesahan langsung. Jika macOS tidak dapat mencapai IdP atau kata laluan yang dimasukkan tidak sepadan dengan kata laluan yang disimpan oleh IdP, pengesahan gagal.
Dengan dasar log masuk, anda boleh membenarkan penggunaan kata laluan akaun semasa daripada IdP pada tiga gesaan ini dengan serta-merta. Anda juga boleh mengesetkan dasar berikut secara berasingan untuk FileVault, Skrin Kunci dan tetingkap log masuk:
Cuba pengesahan.
Jika dikonfigurasikan, terdapat percubaan pada pengesahan langsung dengan IdP.
Jika Mac dalam talian, pengesahan yang berjaya dengan IdP diperlukan untuk meneruskan, walaupun Mac di luar talian selepas percubaan pertama.
Jika pengesahan berjaya, SSO Platform mengemas kini kata laluan setempat.
Jika Mac di luar talian, pengguna boleh menggunakan kata laluan akaun setempat mereka.
Memerlukan pengesahan.
Jika dikonfigurasikan, pengesahan langsung dengan IdP diperlukan untuk meneruskan.
Jika Mac dalam talian, pengesahan yang berjaya dengan IdP diperlukan untuk meneruskan, tanpa mengira tempoh ihsan luar talian yang dikonfigurasikan.
Jika pengesahan berjaya, SSO Platform mengemas kini kata laluan setempat.
Jika Mac di luar talian, pengguna tidak boleh log masuk. Dalam situasi tersebut, anda boleh mendayakan tempoh ihsan luar talian dan mengesetkannya kepada bilangan hari selepas log masuk berjaya sebelumnya, yang pada waktu itu pengguna boleh terus menggunakan kata laluan akaun setempat.
Anda boleh menentukan jika sebarang akaun yang log masuk ke Mac perlu diuruskan oleh SSO Platform atau sama ada akaun setempat sahaja masih dibenarkan. Anda juga boleh mengesetkan tempoh ihsan (dalam hari) selepas dasar digunakan sebelum penguatkuasaan bermula. Ini membenarkan penggunaan sementara akaun setempat. Sebagai contoh, anda boleh menggunakan akaun pentadbir yang dicipta oleh perkhidmatan pengurusan peranti buat sementara untuk melaksanakan atau membaiki pendaftaran peranti SSO Platform.
Berbanding pengesahan langsung, anda juga boleh membenarkan pengguna menggunakan Touch ID atau Apple Watch pada Skrin Kunci.
Jika perlu, akaun setempat (seperti yang ditakrifkan oleh anda) boleh dikecualikan daripada dasar log masuk dan tidak digesa untuk mendaftar bagi SSO Platform.
Pengurusan kumpulan dan kebenaran rangkaian
SSO Platform boleh menyediakan pengurusan hak terperinci dengan menggunakan keistimewaan berikut pada akaun setiap kali pengguna mengesahkan:
Standard: Akaun mendapat keistimewaan pengguna standard.
Pentadbir: Menambah akaun ke kumpulan pentadbir setempat.
Kumpulan: Takrifkan keistimewaan mengikut keahlian kumpulan, yang dikemas kini setiap kali pengguna mengesahkan dengan IdP.
Apabila anda menggunakan kumpulan, akaun mendapat keistimewaan berdasarkan keahlian yang berikut:
Kumpulan pentadbir: Jika akaun ialah sebahagian daripada kumpulan yang disenaraikan, mereka mempunyai akses pentadbir setempat.
Kumpulan kebenaran: Jika akaun ialah sebahagian daripada kumpulan yang ditugaskan kepada hak kebenaran terbina dalam atau ditakrifkan tersuai, maka akaun mempunyai keistimewaan yang dikaitkan dengan kumpulan tersebut. Sebagai contoh, macOS menggunakan hak kebenaran berikut:
system.preferences.datetime, yang membenarkan akaun mengubah suai seting masa.system.preferences.energysaver, yang membenarkan akaun mengubah suai seting penjimat kuasa.system.preferences.network, yang membenarkan akaun mengubah suai seting rangkaian.system.preferences.printing, yang membenarkan akaun menambah atau mengeluarkan pencetak.
Kumpulan tambahan: Kumpulan ditakrifkan tersuai untuk macOS atau app khusus, yang dicipta secara automatik oleh macOS dalam direktori setempat (jika ia belum wujud). Sebagai contoh, anda boleh menggunakan kumpulan tambahan dalam konfigurasi
sudountuk mentakrifkan aksessudo.
Kebenaran rangkaian
SSO Platform membenarkan pengguna tanpa akaun Mac setempat untuk menggunakan kelayakan IdP mereka untuk kebenaran. Akaun ini menggunakan kumpulan yang sama seperti pengurusan kumpulan. Sebagai contoh, jika akaun ialah ahli salah satu kumpulan pentadbir, ia boleh melaksanakan gesaan kebenaran pentadbir. Untuk menggunakan fungsi ini, konfigurasikan SSO Platform dengan kunci peranti dikongsi.
Kebenaran rangkaian adalah tidak mungkin dengan gesaan kebenaran yang memerlukan token selamat, keizinan pemilikan atau pengesahan oleh pengguna yang sedang dilog masuk.
Penciptaan akaun atas permintaan
Dalam pengerahan dikongsi, pengguna boleh mengelog masuk dengan nama pengguna dan kata laluan IdP mereka atau kad pintar untuk mencipta akaun setempat secara automatik.
Anda boleh mencapai proses peruntukan yang diautomasikan sepenuhnya menggunakan Pendaftaran Peranti Automatik dengan Maju Auto. Anda perlu mencipta akaun pentadbir setempat pertama menggunakan perkhidmatan pengurusan peranti dan melaksanakan pendaftaran SSO Platform senyap.
Berikut diperlukan untuk menggunakan penciptaan akaun atas permintaan:
Daftarkan Mac dalam perkhidmatan pengurusan peranti yang menyokong token bootstrap.
Tambah yang berikut: konfigurasi sambungan SSO dengan SSO Platform, kunci peranti dikongsi dan pilihan untuk mencipta pengguna pada masa log masuk.
Lengkapkan Pembantu Persediaan dan cipta akaun pentadbir setempat.
Pastikan Mac berada di tetingkap log masuk dengan FileVault dibuka kunci dan sambungan rangkaian.
Menggunakan konfigurasi pilihan, anda boleh menentukan atribut IdP yang hendak digunakan bagi nama akaun setempat (nama pendek) dan nama penuh. Pentadbir juga boleh mengesetkan kunci bagi nama akaun kepada com.apple.PlatformSSO.AccountShortName untuk menggunakan awalan UPN.
Selain itu, anda boleh mentakrifkan keistimewaan yang hendak digunakan pada akaun yang baru dicipta semasa log masuk. Pilihan yang sama untuk pengurusan kumpulan tersedia:
Standard: Akaun mendapat keistimewaan pengguna standard.
Pentadbir: Menambah akaun ke kumpulan pentadbir setempat.
Kumpulan: Takrifkan keistimewaan mengikut keahlian kumpulan, yang dikemas kini setiap kali pengguna mengesahkan dengan IdP.
Mod Tetamu Disahkan
Mod Tetamu Disahkan memberikan pengalaman log masuk diperkemas untuk pengerahan dikongsi, seperti pejabat perubatan atau sekolah, yang pengguna mendaftar masuk sementara dengan kelayakan IdP mereka dan tidak memerlukan akaun setempat kekal. Pengguna mendapat keistimewaan pengguna standard secara lalai, tetapi anda boleh menukar keistimewaan tersebut menggunakan pengurusan kumpulan SSO Platform.
Keperluan adalah sama seperti penciptaan akaun atas permintaan, kecuali anda mengkonfigurasi Mod Tetamu Disahkan berbanding pilihan untuk mencipta pengguna semasa log masuk.
Apabila pengguna melog keluar, macOS memadamkan semua data setempat untuk akaun tersebut dan Mac dikongsi sedia untuk pengguna seterusnya log masuk.
Ketik untuk Log Masuk
Ketik untuk Log Masuk membawa sokongan kelayakan digital Apple Wallet ke macOS. Organisasi yang telah menggunakan lencana digital dalam Apple Wallet (membenarkan pengguna membuka kunci pintu dengan iPhone atau Apple Watch) kini boleh melanjutkan pengalaman yang sama kepada log masuk Mac.
Kaedah pengesahan ini amat berharga untuk organisasi yang berkongsi Mac merentas berbilang pengguna, termasuk institusi pendidikan, persekitaran runcit dan kemudahan jagaan kesihatan.
Dengan Ketik untuk Log Masuk, pengguna boleh mengesahkan pada Mac yang dikonfigurasikan untuk Mod Tetamu Disahkan apabila mereka mengetik iPhone atau Apple Watch mereka pada pembaca NFC yang dilampirkan. Ini memulakan proses Daftar Diri Tunggal selamat yang mengesahkan pengguna secara automatik ke app dan tapak web mereka, membenarkan mereka log masuk dengan cepat dan mula bekerja.
Kelayakan pengguna diperuntukkan sebagai kunci akses dalam pas Apple Wallet menerusi app iPhone atau pelayar. Kunci akses ini disimpan dalam Secure Enclave peranti, menjadikannya disandarkan perkakasan, disulitkan dan membantu melindungi daripada percubaan pengubahsuaian atau pengekstrakan. Mod Ekspres membolehkan pengesahan segera tanpa memerlukan pengguna untuk membangunkan atau membuka kunci peranti mereka, serupa dengan cara kad transit berfungsi dalam Apple Wallet.
Untuk melaksanakan fungsi Ketik untuk Log Masuk, Mac perlu:
Dikonfigurasikan untuk Mod Tetamu Disahkan
Dilengkapi dengan pembaca NFC luaran yang disokong
Penciptaan dan pengurusan akses kunci memerlukan penyertaan dalam Program Akses Apple Wallet. Untuk mendapatkan maklumat lanjut tentang cara mencipta kunci akses, lihat Peruntukan dalam Panduan Program Akses Apple Wallet.