Platform single sign-on (SSO) for macOS
Med engangspålogging på plattform (Platform SSO) kan du (eller en utvikler som har spesialisert seg på identitetsadministrasjon) bygge SSO-utvidelser som lar brukere bruke organisasjonens konto fra en IdP på en Mac under det første oppsettet.
Funksjoner
Platform SSO støtter følgende funksjoner:
Aktiver og håndhev Platform SSO under automatisert enhetsregistrering for å autentisere registreringen, logge på med en administrert Apple-konto og opprette en lokal bruker.
Tilby en opplevelse med engangspålogging for standardapper og nettapper.
Finn informasjon om Platform SSO i Systeminnstillinger.
Synkroniser passord for lokale brukerkontoer med identitetsleverandøren, og definer påloggingsregler.
Definer gruppetillatelser for IdP-kontoer, og tillat at personer bruker IdP-kontoer som kun er for nettverk, ved autoriseringsforespørsler.
Opprett lokale brukerkontoer ved behov ved pålogging med akkreditiver fra en IdP-konto.
Støtt gjestebrukere som logger på midlertidig med akkreditiver fra identitetsleverandør på delte Macer.
Merk: De fleste funksjoner krever støtte fra SSO-utvidelsen. Se dokumentasjonen fra identitetsleverandøren din for å finne ut mer om hvordan du kan implementere Platform SSO for organisasjonen din.
Krav
En Mac med Apple-chip eller en Intel-basert Mac med Touch ID.
En tjeneste for enhetsadministrering som støtter Extensible Single Sign-On-konfigurasjonen, som inkluderer innstillinger for Platform SSO.
En app som inneholder en Platform SSO-utvidelse som er kompatibel med IdP-en.
macOS 13 eller nyere
Følgende funksjoner har ytterligere versjonskrav:
Funksjon | Eldste støttede operativsystemversjon | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Autentisert gjestemodus | macOS 26 | ||||||||||
Trykk for å logge på | macOS 26 | ||||||||||
Platform SSO under automatisert enhetsregistrering | macOS 26 | ||||||||||
UPN-prefiks som lokalt kontonavn | macOS 15.4 | ||||||||||
Attestering for enhetsidentifikatorer | macOS 15.4 | ||||||||||
Påloggingsregler | macOS 15 | ||||||||||
Kontooppretting ved behov | macOS 14 | ||||||||||
Gruppeadministrasjon og nettverksautorisering | macOS 14 | ||||||||||
Platform SSO i Systeminnstillinger | macOS 14 | ||||||||||
Konfigurer Platform SSO
Hvis du vil bruke Platform SSO, må hver bruker registreres hos identitetsleverandøren. Avhengig av støtte for identitetsleverandør og konfigurasjonen som brukes, kan Macen utføre enhetsregistrering i bakgrunnen ved hjelp av:
et registreringskjennetegn som er oppgitt i konfigurasjonen for enhetsadministrering
en attestering som gir en sterk bekreftelse på enhetsidentifikatorer (UDID og serienummer)
For å opprettholde en godkjent tilkobling til identitetsleverandøren uavhengig av brukeren støtter Platform SSO delte enhetsnøkler. Bruk delte enhetsnøkler når det er mulig, siden de kreves for funksjoner som Platform SSO ved automatisert enhetsregistrering, oppretting av brukerkontoer ved behov basert på informasjon fra identitetsleverandøren, nettverksautentisering og Autentisert gjestemodus.
Etter en vellykket enhetsregistrering registreres brukeren (med mindre brukerkontoen bruker Autentisert gjestemodus). Hvis identitetsleverandøren krever det, kan brukerregistrering innebære at brukerne må bekrefte registreringen. For lokale brukerkontoer som Platform SSO oppretter ved behov, registreres brukerne automatisk i bakgrunnen.
Merk: Hvis du avregistrerer en Mac fra tjenesten for enhetsadministrering, avregistreres den også fra identitetsleverandøren.
Autentiseringsmetoder
Platform SSO støtter forskjellige autentiseringsmetoder med en identitetsleverandør. Støtte for hver av dem avhenger av identitetsleverandøren og utvidelsen for Platform SSO.
Passord: Med denne metoden kan brukerne autentisere med et lokalt passord eller passord fra en identitetsleverandør. Den støtter også WS-Trust, som gjør det mulig for brukerne å autentisere seg, selv når identitetsleverandøren som administrerer kontoen, er forent.
Secure Enclave-støttet nøkkel: Med denne metoden kan en bruker som logger på Macen sin bruke en Secure Enclave-godkjent nøkkel til å autentisere med identitetsleverandøren uten et passord. Identitetsleverandøren konfigurerer Secure Enclave-nøkkelen under brukerregistreringsprosessen.
Smartkort: Med denne metoden kan brukerne autentisere med identitetsleverandøren ved hjelp av et smartkort. For å bruke denne metoden må du:
registrere smartkortet hos identitetsleverandøren
konfigurere smartkort-attributtilordning på Macen
Du finner mer informasjon og et eksempel på konfigurering av attributtilordning på man-siden for Smart Card Services-prosjektet.
Tilgangsnøkkel: Med denne metoden bruker brukerne et kort som er arkivert i Lommebok, til å autentisere seg hos identitetsleverandøren. I likhet med et smartkort må tilgangsnøkkelen være registrert hos identitetsleverandøren.
Enkelte funksjoner, som å opprette brukerkontoer på forespørsel, krever at du bruker en bestemt autentiseringsmetode.
Funksjon | Passord | Secure Enclave-støttet nøkkel | Smartkort | Tilgangsnøkkel | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gruppeadministrering |  | | | | |||||||
Automatisert enhetsregistrering | | | |  | |||||||
Autentisert gjestemodus | | | | | |||||||
Kontooppretting ved behov | | | | | |||||||
Synkronisering av passord | | | | | |||||||
Merk: SSO-utvidelsen må støtte den forespurte metoden for å utføre registreringen. Å bytte mellom metoder støttes også. Når for eksempel en ny brukerkonto opprettes under pålogging med brukernavn og passord, kan kontoen deretter bytte til å bruke en Secure Enclave-støttet nøkkel eller et smartkort etter at påloggingen er fullført.
Platform SSO under automatisert enhetsregistrering
Organisasjoner kan aktivere og håndheve Platform SSO under Oppsettassistent ved hjelp av automatisert enhetsregistrering. Dette er et valg for enheter med én bruker, siden brukeren som autentiserer registreringen, automatisk får en lokal konto og kan bruke engangspålogging med støttede innebygde og nettbaserte apper med en gang.
Slik fungerer prosessen:
macOS ber om registrering og informerer tjenesten for enhetsregistrering om at den støtter Platform SSO under registreringen.
Tjenesten for enhetsregistrering returnerer en 403-feil som inneholder informasjon om hvor du finner konfigurasjonen for engangspålogging samt pakken som inneholder en app med utvidelsen for engangspålogging.
macOS laster ned og installerer utvidelsen og konfigurasjonen for Platform SSO.
macOS konfigurerer Platform SSO og utfører en enhetsregistrering. Hvis attestering er konfigurert, utføres registreringen i bakgrunnen uten at brukerne blir varslet. Deretter ber macOS brukerne om å autentisere med identitetsleverandøren sin ved hjelp av en av metodene som nevnt tidligere, for å fullføre brukerregistreringen. Brukerne kan ikke fortsette uten å fullføre registrering for Platform SSO.
Identitetsleverandøren tar seg av autentiseringen.
Når godkjenningen er fullført, sender identitetsleverandøren et tilgangskjennetegn til macOS.
macOS bruker tilgangskjennetegnet til å godkjenne registrering i tjenesten for enhetsadministrasjon. Hvis den er forent til samme identitetsleverandør, kan macOS logge brukerne på sin administrerte Apple-konto, uten at de må oppgi akkreditivene på nytt. For at dette skal fungere, må skjermen for iCloud Oppsettassistent være synlig for brukeren.
macOS oppretter en lokal konto, og passordet synkroniseres enten med identitetsleverandøren, eller brukeren angir et lokalt passord (når Platform SSO bruker en Secure Enclave-støttet nøkkel). Ved behov kan du håndheve krav til passordkompleksitet for det lokale passordet ved hjelp av Kode-konfigurasjonen.
Hvis det er konfigurert, kan macOS deretter synkronisere profilbildet for pålogging for den lokale kontoen fra identitetsleverandøren.
Du kan bruke Platform SSO under automatisert enhetsregistrering med en håndhevet programvareoppdatering. I dette tilfellet må tjenesten for enhetsadministrering håndheve oppdateringen først.
Hvis brukerkontoen som macOS oppretter, er den eneste på Macen, blir den en administratorkonto. Hvis tjenesten for enhetsadministrering opprettet en administratorkonto ved hjelp av kommandoen for kontokonfigurering, kan du tilordne brukerkontoen andre rettigheter ved hjelp av gruppeadministrasjon for Platform SSO.
Engangspålogging
Siden Platform SSO er en del av utvidbar engangspålogging, gir den samme muligheter for engangspålogging og lar brukerne logge på én gang og deretter bruke kjennetegnet fra den første godkjenningen til å godkjenne med støttede innebygde og nettbaserte apper.
Hvis kjennetegn mangler, har utløpt eller er mer enn fire timer gamle, vil Platform SSO forsøke å oppdatere eller hente nye fra identitetsleverandøren. Du kan også konfigurere en varighet i sekunder (minimum én time) før Platform SSO krever full pålogging i stedet for en oppdatering av kjennetegnet. Standardinnstillingen er at det kreves full innlogging hver 18. time.
Platform SSO i Systeminnstillinger
Når Platform SSO er registrert, kan en bruker kontrollere status for registreringen i Systeminnstillinger > Brukere og grupper > [brukernavn]. Ved behov kan de starte en reparasjon av registreringen og håndheve en oppdatering av autentiseringskjennetegn.
Enhetens registreringsstatus vises i Brukere og grupper > Nettverkskontotjener, og den tilbyr også valget om å utføre en reparasjon.
Synkronisering av passord og påloggingsregler
Hvis du bruker metoden for godkjenning med passord, vil passordet for den lokale brukeren automatisk synkroniseres med identitetsleverandøren når brukeren endrer passordet sitt, enten lokalt eller eksternt. Ved behov vil macOS be brukeren om å oppgi det gamle passordet.
Som standard kreves passordet for den lokale kontoen for å låse opp FileVault, låst skjerm og påloggingsvinduet. Hvis passordet som oppgis ikke stemmer med passordet for den lokale brukerkontoen, forsøker macOS å nå identitetsleverandøren for å utføre en godkjenning i sanntid. Hvis macOS ikke kan nå identitetsleverandøren, eller hvis passordet som oppgis ikke stemmer med passordet som identitetsleverandøren har arkivert, mislykkes godkjenningen.
Med påloggingsregler kan du tillate at passordet for den gjeldende kontoen fra identitetsleverandøren brukes ved disse tre varslingene umiddelbart. Du kan også angi følgende regler for FileVault, låst skjerm og påloggingsvinduet:
Prøv å autentisere.
Hvis dette er konfigurert, forsøkes det å gjennomføre en godkjenning i sanntid hos identitetsleverandøren.
Hvis Macen er på nett, kreves det en vellykket godkjenning hos identitetsleverandøren for å fortsette, selv om Macen er frakoblet etter første forsøk.
Hvis godkjenningen er vellykket, oppdaterer Platform SSO det lokale passordet.
Hvis Macen er frakoblet, kan brukerne bruke passordet til den lokale kontoen.
Krev autentisering.
Hvis dette er konfigurert, kreves det godkjenning i sanntid hos identitetsleverandøren for å gå videre.
Hvis Macen er på nett, kreves det en vellykket godkjenning hos identitetsleverandøren for å fortsette, uavhengig av konfigurert forsinkelsestid ved frakobling.
Hvis godkjenningen er vellykket, oppdaterer Platform SSO det lokale passordet.
Hvis Macen er frakoblet, kan ikke brukere logge på. I slike situasjoner kan du aktivere en forsinkelsestid for frakoblet tilgang og velge det antall dager etter en vellykket pålogging brukeren kan fortsette å bruke passordet for den lokale kontoen.
Du kan definere om alle kontoer som logger på Macen, må administreres av Platform SSO, eller om pålogging med kun lokale kontoer fortsatt er tillatt. Det er også mulig å definere hvor mange dager etter at regelen er tatt i bruk eller oppdatert, at innstillingen skal håndheves. Dette tillater midlertidig bruk av lokale kontoer. Du kan for eksempel midlertidig bruke en administratorkonto opprettet av enhetsadministrasjonstjenesten til å utføre eller reparere registrering av enheter for Platform SSO.
I stedet for autentisering i sanntid kan du også tillate at brukerne bruker Touch ID eller Apple Watch på låst skjerm.
Ved behov kan lokale kontoer (som du definerer) unntas fra påloggingsregler og ikke bes om å registrere seg for Platform SSO.
Gruppeadministrasjon og nettverksautorisering
Platform SSO gir detaljert rettighetsadministrering, slik at brukerne får de rettighetene de trenger på Macen. Dette kan gjøres ved at Platform SSO bruker følgende rettigheter for en konto hver gang brukeren autentiseres:
Standard: Kontoen får standard brukerrettigheter.
Administrator: Kontoen legges til i den lokale administratorgruppen.
Grupper: Definer rettigheter etter gruppemedlemskap, som oppdateres hver gang brukeren autentiseres hos identitetsleverandøren.
Når du bruker grupper, får en konto rettigheter basert på medlemskap i følgende:
Administratorgrupper: Hvis kontoen er en del av en oppført gruppe, har den lokal administratortilgang.
Autorisasjonsgrupper: Hvis kontoen er en del av en gruppe som er tilordnet en innebygd eller tilpasset autorisasjonsrettighet, har kontoen rettigheter knyttet til den gruppen. For eksempel bruker macOS følgende autorisasjonsrettigheter:
system.preferences.datetime, som gir kontoen tillatelse til å endre tidsinnstillinger.system.preferences.energysaver, som gir kontoen tillatelse til å endre Strømsparing-innstillinger.system.preferences.network, som gir kontoen tillatelse til å endre nettverksinnstillinger.system.preferences.printing, som gir kontoen tillatelse til å legge til eller fjerne skrivere.
Ytterligere grupper: Tilpassede grupper for macOS eller bestemte apper, som macOS oppretter automatisk i den lokale katalogen (hvis de ikke allerede finnes). Du kan for eksempel bruke en ekstra gruppe i
sudo-konfigurasjonen til å defineresudo-tilgang.
Nettverksautorisering
Platform SSO utvider bruken av identitetsleverandør-akkreditiver til brukere som ikke har en lokal konto på Macen til autorisasjonsformål. Disse kontoene bruker samme grupper som gruppeadministrasjon. Hvis kontoen for eksempel er medlem av en av administratorgruppene, kan den utføre forespørsler om administratorgodkjenning. Konfigurer Platform SSO med delte enhetsnøkler for å bruke denne funksjonaliteten.
Nettverksgodkjenning er ikke mulig med godkjenningsforespørsler som krever et sikkert kjennetegn, eiertillatelser eller godkjenning av brukeren som er logget på.
Kontooppretting ved behov
For å tilrettelegge for administrering av kontoer i utrullinger med delte enheter kan brukerne bruke et smartkort eller IdP-brukernavn og passord til å logge på en Mac for å opprette en lokal konto.
Du kan oppnå en fullstendig automatisert klargjøring ved å bruke automatisert enhetsregistrering med Auto Advance. Du må opprette den første lokale administratorkontoen ved hjelp av en tjeneste for enhetsadministrering og utføre registrering for Platform SSO i bakgrunnen.
Følgende kreves for å bruke kontooppretting ved behov:
Registrer Macen i en tjeneste for enhetsadministrering som støtter Bootstrap-kjennetegn.
Legg til følgende: en SSO-utvidelseskonfigurasjon med Platform SSO, delte enhetsnøkler og muligheten til å opprette en bruker ved pålogging.
Fullfør Oppsettassistent og opprett en lokal administratorkonto.
Macen må være i påloggingsvinduet med FileVault låst opp og en nettverksforbindelse.
Du kan bruke et valgfritt konfigurasjonsvalg til å definere hvilket attributt fra IdP som skal brukes for det lokale kontonavnet (ofte kalt brukerens kortnavn) og det fullstendige navnet. Administratorer kan også angi nøkkelen for kontonavnet til com.apple.PlatformSSO.AccountShortName for å bruke UPN-prefikset.
Du kan også definere hvilke rettigheter som skal brukes for nyopprettede kontoer ved pålogging. De samme valgene for gruppeadministrering er tilgjengelige:
Standard: Kontoen får standard brukerrettigheter.
Administrator: Kontoen legges til i den lokale administratorgruppen.
Grupper: Definer rettigheter etter gruppemedlemskap, som oppdateres hver gang brukeren autentiseres hos identitetsleverandøren.
Autentisert gjestemodus
Autentisert gjestemodus gir raskere påloggingsprosess for delte utrullinger, som legekontorer eller skoler, der ulike brukere ikke trenger å opprette en lokal konto, siden de bare trenger å logge på med IdP-akkreditivene sine i en kort periode. Brukeren får standard brukerrettigheter som standard, men du kan endre rettighetene ved hjelp av gruppeadministrasjon for Platform SSO.
Hvis du vil bruke denne funksjonen, gjelder de samme kravene som ved oppretting av kontoer ved behov, men i stedet for valget om å opprette en bruker ved pålogging konfigurerer du Autentisert gjestemodus.
Når en bruker logger av, sletter macOS alle lokale data for den kontoen, og den delte Macen er klar for at neste bruker kan logge på.
Trykk for å logge på
Trykk for å logge på utvider funksjonaliteten for digitale akkreditiver fra Lommebok til macOS. De siste årene har organisasjoner tatt i bruk digitale adgangskort i Lommebok, slik at brukere kan låse opp dører ved å holde en iPhone eller Apple Watch nær leseren, uten å måtte bruke et fysisk adgangskort. Den samme opplevelsen er tilgjengelig på Mac.
Denne autentiseringsmetoden er ekstra nyttig for organisasjoner der flere brukere deler én Mac, inkludert utdanningsinstitusjoner, butikker og helseinstitusjoner.
Med Trykk for å logge på kan brukere autentisere seg på en Mac som er konfigurert for Autentisert gjestemodus, ved å holde iPhonen eller Apple Watch mot en tilkoblet NFC-leser. Dette starter en sikker prosess for engangspålogging som automatisk autentiserer brukerne til apper og nettsteder, slik at de kan logge på raskt og komme i gang med arbeidet.
Brukerakkreditiver klargjøres som tilgangsnøkler i et Lommebok-kort via en iPhone-app eller nettleser. Disse tilgangsnøklene arkiveres i enhetens Secure Enclave, slik at de blir maskinvarebaserte og krypterte, og slik at de beskyttes mot forsøk på tukling eller uthenting. Ekspressmodus gjør det enklere ved å tillate umiddelbar autentisering uten at enheten må vekkes eller låses opp, på samme måte som reisekort fungerer i Lommebok.
For å implementere Trykk for å logge på må Macen være:
konfigurert for Autentisert gjestemodus
utstyrt med en støttet ekstern NFC-leser
Oppretting og administrasjon av tilgangsnøkler krever deltakelse i Apple Wallet Access Program. Du finner mer informasjon om hvordan du oppretter en tilgangsnøkkel, i Provisioning i brukerveiledningen for Apple Wallet Access Program.