Daftar Diri Tunggal Platform untuk macOS
Dengan Daftar Diri Tunggal Platform (SSO Platform), anda (atau pembangun yang mengkhusus dalam pengurusan identiti) boleh membina sambungan SSO yang membolehkan pengguna menggunakan akaun organisasi anda daripada IdP pada Mac semasa persediaan awal.
Ciri
SSO Platform menyokong ciri berikut:
Aktifkan dan laksanakan SSO Platform semasa Pendaftaran Peranti Automatik untuk mengesahkan pendaftaran, daftar masuk dengan Akaun Apple Terurus dan cipta pengguna setempat.
Sediakan pengalaman daftar diri tunggal untuk app asli dan web.
Dapatkan maklumat tentang SSO Platform dalam Seting Sistem.
Selaraskan kata laluan akaun pengguna setempat dengan IdP dan takrifkan dasar log masuk.
Takrifkan keizinan kumpulan akaun IdP dan benarkan orang menggunakan akaun IdP rangkaian sahaja semasa gesaan kebenaran.
Cipta akaun pengguna setempat atas permintaan semasa melog masuk dengan kelayakan daripada akaun IdP.
Sokong pengguna tetamu yang melog masuk buat sementara dengan kelayakan IdP mereka pada komputer Mac dikongsi.
Nota: Kebanyakan ciri memerlukan sokongan daripada sambungan SSO. Untuk mengetahui lebih lanjut tentang melaksanakan SSO Platform dalam organisasi anda, rujuk dokumentasi IdP anda.
Keperluan
Mac dengan Apple silicon atau Mac berasaskan Intel dengan Touch ID
Perkhidmatan pengurusan peranti yang menyokong konfigurasi Daftar Diri Tunggal Dilanjutkan, yang termasuk seting untuk SSO Platform
App yang mengandungi sambungan SSO Platform yang serasi dengan IdP
macOS 13 atau lebih baharu
Ciri berikut mempunyai keperluan versi tambahan:
Ciri | Versi sistem pengendalian disokong minimum | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Mod Tetamu Disahkan | macOS 26 | ||||||||||
Ketik untuk Log Masuk | macOS 26 | ||||||||||
SSO Platform semasa Pendaftaran Peranti Automatik | macOS 26 | ||||||||||
Awalan UPN sebagai nama akaun setempat | macOS 15.4 | ||||||||||
Pengakusaksian untuk pengecam peranti | macOS 15.4 | ||||||||||
Dasar log masuk | macOS 15 | ||||||||||
Penciptaan akaun atas permintaan | macOS 14 | ||||||||||
Pengurusan kumpulan dan kebenaran rangkaian | macOS 14 | ||||||||||
SSO Platform dalam Seting Sistem | macOS 14 | ||||||||||
Persediaan SSO Platform
Untuk menggunakan SSO Platform, Mac dan setiap pengguna perlu mendaftar dengan IdP. Bergantung pada sokongan IdP dan konfigurasi yang digunakan, Mac boleh melaksanakan pendaftaran peranti secara senyap di latar belakang menggunakan:
Token pendaftaran yang disediakan dalam konfigurasi pengurusan peranti
Pengakusaksian, yang memberikan jaminan kukuh tentang pengecam peranti (UDID dan nombor siri)
Untuk mengekalkan sambungan dipercayai dengan IdP yang bebas daripada pengguna, SSO Platform menyokong kunci peranti dikongsi. Gunakan kunci peranti dikongsi apabila boleh kerana ia diperlukan untuk ciri seperti SSO Platform semasa Pendaftaran Peranti Automatik, penciptaan akaun pengguna atas permintaan berdasarkan maklumat daripada IdP, kebenaran rangkaian dan Mod Tetamu Disahkan.
Selepas pendaftaran peranti yang berjaya, pengguna mendaftar (melainkan akaun pengguna menggunakan Mod Tetamu Disahkan). Jika IdP memerlukannya, pendaftaran pengguna boleh melibatkan menggesa pengguna untuk mengesahkan pendaftaran mereka. Untuk akaun pengguna setempat yang dicipta oleh SSO Platform atas permintaan, pendaftaran pengguna berlaku secara automatik di latar belakang.
Nota: Jika anda menyahdaftarkan Mac daripada perkhidmatan pengurusan peranti, ia juga dinyahdaftarkan daripada IdP.
Kaedah pengesahan
SSO Platform menyokong kaedah pengesahan berbeza dengan IdP. Sokongan untuk setiap satu bergantung pada IdP dan sambungan SSO Platform.
Kata Laluan: Dengan kaedah ini, pengguna mengesahkan dengan kata laluan setempat atau kata laluan IdP. Ia turut menyokong WS-Trust, yang membenarkan pengguna mengesahkan walaupun IdP yang mengurus akaun mereka adalah bersekutu.
Kunci disandarkan Secure Enclave: Dengan kaedah ini, pengguna yang melog masuk ke Mac mereka boleh menggunakan kunci disandarkan Secure Enclave untuk disahkan dengan IdP tanpa kata laluan. IdP menyediakan kunci Secure Enclave semasa proses pendaftaran pengguna.
Kad pintar: Dengan kaedah ini, pengguna mengesahkan dengan IdP menggunakan kad pintar. Untuk menggunakan kaedah ini, anda perlu:
Daftarkan kad pintar dengan IdP.
Konfigurasikan pemetaan atribut kad pintar pada Mac.
Untuk butiran dan contoh konfigurasi pemetaan atribut, lihat halaman panduan untuk projek Perkhidmatan Kad Pintar.
Kekunci akses: Dengan kaedah ini, pengguna menggunakan pas yang disimpan dalam Apple Wallet untuk mengesahkan dengan IdP. Serupa dengan kad pintar, kunci akses perlu didaftarkan dengan IdP.
Fungsi tertentu, seperti mencipta akaun pengguna atas permintaan, memerlukan anda menggunakan kaedah pengesahan khusus.
Ciri | Kata Laluan | Kunci disandarkan Secure Enclave | Kad pintar | Kekunci akses | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Pengurusan kumpulan |  | | | | |||||||
Pendaftaran Peranti Diautomasikan | | | |  | |||||||
Mod Tetamu Disahkan | | | | | |||||||
Penciptaan akaun atas permintaan | | | | | |||||||
Penyelarasan kata laluan | | | | | |||||||
Nota: Sambungan SSO perlu menyokong kaedah yang diminta untuk melaksanakan pendaftaran. Menukar kaedah juga disokong. Sebagai contoh, apabila akaun pengguna baharu dicipta semasa log masuk dengan nama pengguna dan kata laluan, akaun tersebut kemudian boleh bertukar untuk menggunakan kunci atau kad pintar yang disandarkan Secure Enclave selepas log masuk berjaya.
SSO Platform semasa Pendaftaran Peranti Automatik
Organisasi boleh mengaktifkan dan menguatkuasakan SSO Platform semasa Pembantu Persediaan dengan Pendaftaran Peranti Automatik. Ini ialah pilihan untuk peranti pengguna tunggal kerana pengguna yang mengesahkan pendaftaran mendapat akaun setempat dicipta secara automatik dan boleh menggunakan SSO dengan app asli serta web yang disokong dengan serta-merta.
Proses berfungsi seperti ini:
macOS meminta pendaftaran dan memaklumkan perkhidmatan pengurusan peranti bahawa ia menyokong SSO Platform semasa pendaftaran.
Perkhidmatan pengurusan peranti mengembalikan ralat 403 yang termasuk maklumat tentang tempat untuk mencari konfigurasi SSO dan pakej yang mengandungi app dengan sambungan SSO.
macOS memuat turun dan memasang sambungan serta konfigurasi SSO Platform.
macOS mengkonfigurasi SSO Platform dan melaksanakan pendaftaran peranti. Jika pengakusaksian dikonfigurasikan, pendaftaran dilakukan secara senyap di latar belakang. macOS kemudian menggesa pengguna untuk mengesahkan dengan IdP mereka menggunakan salah satu kaedah yang disenaraikan sebelum ini untuk melakukan pendaftaran pengguna. Pengguna tidak boleh meneruskan tanpa pendaftaran SSO Platform yang berjaya.
IdP mengendalikan pengesahan.
Selepas pengesahan berjaya, IdP mengembalikan token pembawa kepada macOS.
macOS menggunakan token pembawa untuk mengesahkan pendaftaran dalam perkhidmatan pengurusan peranti dan—jika disekutukan ke IdP yang sama—boleh mendaftar masuk pengguna ke Akaun Apple Terurus mereka tanpa memerlukan mereka memasukkan kelayakan mereka sekali lagi. Untuk ini berfungsi, anak tetingkap Pembantu Persediaan iCloud perlu kelihatan kepada pengguna.
macOS mencipta akaun setempat dan kata laluan sama ada diselaraskan dengan IdP atau pengguna mengesetkan kata laluan setempat (apabila SSO Platform menggunakan kunci yang disandarkan Secure Enclave). Jika perlu, anda boleh menguatkuasakan keperluan kerumitan kata laluan untuk kata laluan setempat menggunakan konfigurasi Kod Laluan.
Jika dikonfigurasikan, macOS kemudian boleh menyelaraskan gambar profil log masuk akaun setempat daripada IdP.
Anda boleh menggunakan SSO Platform semasa Pendaftaran Peranti Automatik dengan kemas kini perisian yang dikuatkuasakan. Dalam kes ini, perkhidmatan pengurusan peranti perlu menguatkuasakan kemas kini terlebih dahulu.
Jika akaun pengguna yang dicipta oleh macOS adalah satu-satunya pada Mac, ia menjadi akaun pentadbir. Jika perkhidmatan pengurusan peranti mencipta akaun pentadbir menggunakan perintah konfigurasi akaun, anda boleh menetapkan keistimewaan berbeza pada akaun pengguna menggunakan pengurusan kumpulan SSO Platform.
Daftar diri tunggal
Oleh kerana SSO Platform adalah sebahagian daripada SSO Boleh Dilanjutkan, ia menyediakan keupayaan daftar diri tunggal yang sama dan membenarkan pengguna mendaftar masuk sekali, kemudian menggunakan token yang disediakan oleh pengesahan awal untuk mengesahkan dengan app asli dan web yang disokong.
Jika token tiada, tamat tempoh atau melebih empat jam, SSO Platform cuba menyegarkan semula atau mendapatkan token baharu daripada IdP. Selain itu, anda boleh mengkonfigurasi tempoh dalam saat (minimum 1 jam) sehingga SSO Platform memerlukan log masuk penuh berbanding penyegaran semula token. Secara lalai, log masuk penuh diperlukan setiap 18 jam.
SSO Platform dalam Seting Sistem
Selepas SSO Platform didaftarkan, pengguna boleh memeriksa status pendaftaran pengguna dalam Seting Sistem > Pengguna & Kumpulan > [nama pengguna]. Jika perlu, mereka boleh memulakan pembaikan pendaftaran dan menguatkuasakan penyegaran semula token pengesahan mereka.
Status pendaftaran peranti kelihatan dalam Pengguna & Kumpulan > Pelayan akaun rangkaian dan turut menawarkan pilihan untuk melakukan pembaikan.
Dasar penyelarasan kata laluan dan log masuk
Jika anda menggunakan kaedah pengesahan kata laluan, kata laluan pengguna setempat diselaraskan secara automatik dengan IdP setiap kali pengguna menukar kata laluan mereka, sama ada secara setempat atau dari jauh. Jika perlu, macOS menggesa pengguna untuk kata laluan mereka yang sebelumnya.
Secara lalai, kata laluan akaun setempat diperlukan untuk membuka kunci FileVault, Skrin Kunci dan pada tetingkap log masuk. Jika kata laluan yang dimasukkan tidak sepadan dengan kata laluan akaun pengguna setempat, macOS cuba menghubungi IdP untuk melaksanakan pengesahan langsung. Jika macOS tidak dapat mencapai IdP atau kata laluan yang dimasukkan tidak sepadan dengan kata laluan yang disimpan oleh IdP, pengesahan gagal.
Dengan dasar log masuk, anda boleh membenarkan penggunaan kata laluan akaun semasa daripada IdP pada tiga gesaan ini dengan serta-merta. Anda juga boleh mengesetkan dasar berikut secara berasingan untuk FileVault, Skrin Kunci dan tetingkap log masuk:
Cuba pengesahan.
Jika dikonfigurasikan, terdapat percubaan pada pengesahan langsung dengan IdP.
Jika Mac dalam talian, pengesahan yang berjaya dengan IdP diperlukan untuk meneruskan, walaupun Mac di luar talian selepas percubaan pertama.
Jika pengesahan berjaya, SSO Platform mengemas kini kata laluan setempat.
Jika Mac di luar talian, pengguna boleh menggunakan kata laluan akaun setempat mereka.
Memerlukan pengesahan.
Jika dikonfigurasikan, pengesahan langsung dengan IdP diperlukan untuk meneruskan.
Jika Mac dalam talian, pengesahan yang berjaya dengan IdP diperlukan untuk meneruskan, tanpa mengira tempoh ihsan luar talian yang dikonfigurasikan.
Jika pengesahan berjaya, SSO Platform mengemas kini kata laluan setempat.
Jika Mac di luar talian, pengguna tidak boleh log masuk. Dalam situasi tersebut, anda boleh mendayakan tempoh ihsan luar talian dan mengesetkannya kepada bilangan hari selepas log masuk berjaya sebelumnya, yang pada waktu itu pengguna boleh terus menggunakan kata laluan akaun setempat.
Anda boleh mentakrifkan jika sebarang akaun yang melog masuk ke Mac perlu diurus oleh SSO Platform atau jika log masuk dengan akaun setempat sahaja masih dibenarkan. Terdapat juga kemungkinan untuk mentakrifkan bilangan hari selepas dasar digunakan atau dikemas kini sehingga apabila seting ini dikuatkuasakan. Ini membenarkan penggunaan sementara akaun setempat. Sebagai contoh, anda boleh menggunakan akaun pentadbir yang dicipta oleh perkhidmatan pengurusan peranti buat sementara untuk melaksanakan atau membaiki pendaftaran peranti SSO Platform.
Berbanding pengesahan langsung, anda juga boleh membenarkan pengguna menggunakan Touch ID atau Apple Watch pada Skrin Kunci.
Jika perlu, akaun setempat (seperti yang ditakrifkan oleh anda) boleh dikecualikan daripada dasar log masuk dan tidak digesa untuk mendaftar bagi SSO Platform.
Pengurusan kumpulan dan kebenaran rangkaian
SSO Platform menawarkan pengurusan hak terperinci untuk menyediakan pengguna dengan tahap keistimewaan yang betul yang mereka perlukan pada Mac mereka. Untuk berbuat demikian, SSO Platform boleh menggunakan keistimewaan berikut pada akaun setiap kali pengguna mengesahkan:
Standard: Akaun mendapat keistimewaan pengguna standard.
Pentadbir: Menambah akaun ke kumpulan pentadbir setempat.
Kumpulan: Takrifkan keistimewaan mengikut keahlian kumpulan, yang dikemas kini setiap kali pengguna mengesahkan dengan IdP.
Apabila anda menggunakan kumpulan, akaun mendapat keistimewaan berdasarkan keahlian yang berikut:
Kumpulan pentadbir: Jika akaun ialah sebahagian daripada kumpulan yang disenaraikan, mereka mempunyai akses pentadbir setempat.
Kumpulan kebenaran: Jika akaun ialah sebahagian daripada kumpulan yang ditugaskan kepada hak kebenaran terbina dalam atau ditakrifkan tersuai, maka akaun mempunyai keistimewaan yang dikaitkan dengan kumpulan tersebut. Sebagai contoh, macOS menggunakan hak kebenaran berikut:
system.preferences.datetime, yang membenarkan akaun mengubah suai seting masa.system.preferences.energysaver, yang membenarkan akaun mengubah suai seting penjimat kuasa.system.preferences.network, yang membenarkan akaun mengubah suai seting rangkaian.system.preferences.printing, yang membenarkan akaun menambah atau mengeluarkan pencetak.
Kumpulan tambahan: Kumpulan ditakrifkan tersuai untuk macOS atau app khusus, yang dicipta secara automatik oleh macOS dalam direktori setempat (jika ia belum wujud). Sebagai contoh, anda boleh menggunakan kumpulan tambahan dalam konfigurasi
sudountuk mentakrifkan aksessudo.
Kebenaran rangkaian
SSO Platform memperluaskan penggunaan kelayakan IdP kepada pengguna yang tidak mempunyai akaun setempat pada Mac untuk tujuan kebenaran. Akaun ini menggunakan kumpulan yang sama seperti pengurusan kumpulan. Sebagai contoh, jika akaun ialah ahli salah satu kumpulan pentadbir, ia boleh melaksanakan gesaan kebenaran pentadbir. Untuk menggunakan fungsi ini, konfigurasikan SSO Platform dengan kunci peranti dikongsi.
Kebenaran rangkaian adalah tidak mungkin dengan gesaan kebenaran yang memerlukan token selamat, keizinan pemilikan atau pengesahan oleh pengguna yang sedang dilog masuk.
Penciptaan akaun atas permintaan
Untuk memudahkan pengurusan akaun dalam pengerahan dikongsi, pengguna boleh menggunakan nama pengguna dan kata laluan IdP mereka atau kad pintar untuk mengelog masuk ke Mac untuk mencipta akaun setempat.
Anda boleh mencapai proses peruntukan yang diautomasikan sepenuhnya menggunakan Pendaftaran Peranti Automatik dengan Maju Auto. Anda perlu mencipta akaun pentadbir setempat pertama menggunakan perkhidmatan pengurusan peranti dan melaksanakan pendaftaran SSO Platform senyap.
Berikut diperlukan untuk menggunakan penciptaan akaun atas permintaan:
Daftarkan Mac dalam perkhidmatan pengurusan peranti yang menyokong token bootstrap.
Tambah yang berikut: konfigurasi sambungan SSO dengan SSO Platform, kunci peranti dikongsi dan pilihan untuk mencipta pengguna pada masa log masuk.
Lengkapkan Pembantu Persediaan dan cipta akaun pentadbir setempat.
Pastikan Mac berada di tetingkap log masuk dengan FileVault dibuka kunci dan sambungan rangkaian.
Menggunakan pilihan konfigurasi pilihan, anda boleh mentakrifkan atribut daripada IdP untuk digunakan bagi nama akaun setempat (selalunya dipanggil nama pendek pengguna) dan nama penuh. Pentadbir juga boleh mengesetkan kunci bagi nama akaun kepada com.apple.PlatformSSO.AccountShortName untuk menggunakan awalan UPN.
Selain itu, anda boleh mentakrifkan keistimewaan yang hendak digunakan pada akaun yang baru dicipta semasa log masuk. Pilihan yang sama untuk pengurusan kumpulan tersedia:
Standard: Akaun mendapat keistimewaan pengguna standard.
Pentadbir: Menambah akaun ke kumpulan pentadbir setempat.
Kumpulan: Takrifkan keistimewaan mengikut keahlian kumpulan, yang dikemas kini setiap kali pengguna mengesahkan dengan IdP.
Mod Tetamu Disahkan
Mod Tetamu Disahkan memberikan pengalaman log masuk dipercepat untuk pengerahan dikongsi, seperti pejabat perubatan atau sekolah, yang pengguna berbeza tidak memerlukan akaun setempat dicipta, kerana mereka hanya perlu mendaftar masuk dengan kelayakan IdP mereka untuk tempoh masa yang singkat. Pengguna mendapat keistimewaan pengguna standard secara lalai, tetapi anda boleh menukar keistimewaan tersebut menggunakan pengurusan kumpulan SSO Platform.
Untuk menggunakan ciri ini, anda memerlukan keperluan yang sama seperti penciptaan akaun atas permintaan, tetapi berbanding pilihan untuk mencipta pengguna semasa log masuk, anda mengkonfigurasi Mod Tetamu Disahkan.
Apabila pengguna melog keluar, macOS memadamkan semua data setempat untuk akaun tersebut dan Mac dikongsi sedia untuk pengguna seterusnya log masuk.
Ketik untuk Log Masuk
Ketik untuk Log Masuk meluaskan fungsi kelayakan digital daripada Apple Wallet ke macOS. Sepanjang beberapa tahun lalu, organisasi telah menerima pakai lencana digital dalam Apple Wallet, membolehkan pengguna membuka kunci pintu hanya dengan ketikan iPhone atau Apple Watch tanpa memerlukan lencana fizikal. Pengalaman yang sama ini tersedia pada Mac.
Kaedah pengesahan ini amat berharga untuk organisasi yang berkongsi Mac merentas berbilang pengguna, termasuk institusi pendidikan, persekitaran runcit dan kemudahan jagaan kesihatan.
Dengan Ketik untuk Log Masuk, pengguna boleh mengesahkan pada Mac yang dikonfigurasikan untuk Mod Tetamu Disahkan apabila mereka mengetik iPhone atau Apple Watch mereka pada pembaca NFC yang dilampirkan. Ini memulakan proses daftar diri tunggal selamat yang mengesahkan pengguna secara automatik ke app dan tapak web mereka, membenarkan mereka log masuk dengan cepat dan mula bekerja.
Kelayakan pengguna diperuntukkan sebagai kunci akses dalam pas Apple Wallet menerusi app iPhone atau pelayar. Kunci akses ini disimpan dalam Secure Enclave peranti, menjadikannya disandarkan perkakasan, disulitkan dan membantu melindungi daripada percubaan pengubahsuaian atau pengekstrakan. Fungsi Mod Ekspres meningkatkan kemudahan dengan membenarkan pengesahan segera tanpa memerlukan pengguna untuk membangunkan atau membuka kunci peranti mereka, serupa dengan cara kad transit berfungsi dalam Apple Wallet.
Untuk melaksanakan fungsi Ketik untuk Log Masuk, Mac perlu:
Dikonfigurasikan untuk Mod Tetamu Disahkan
Dilengkapi dengan pembaca NFC luaran yang disokong
Penciptaan dan pengurusan akses kunci memerlukan penyertaan dalam Program Akses Apple Wallet. Untuk mendapatkan maklumat lanjut tentang cara mencipta kunci akses, lihat Peruntukan dalam Panduan Program Akses Apple Wallet.