Eenmalige platformaanmelding voor macOS
Met eenmalige platformaanmelding kun jij (of een ontwikkelaar die is gespecialiseerd in identiteitsbeheer) extensies voor eenmalige aanmelding bouwen waarmee gebruikers de door een IdP verstrekte account van je organisatie tijdens de eerste configuratie op een Mac kunnen gebruiken.
Functies
Eenmalige platformaanmelding ondersteunt de volgende functies:
Activering en afdwinging van eenmalige platformaanmelding tijdens automatische apparaatinschrijving om de inschrijving te authenticeren, in te loggen met een beheerde Apple Account en een lokale gebruiker aan te maken.
Eenmalige aanmelding voor ingebouwde apps en webapps.
Informatie over eenmalige platformaanmelding weergeven in Systeeminstellingen.
Wachtwoorden van lokale gebruikersaccounts synchroniseren met de IdP en inlogbeleid definiëren.
Groepsbevoegdheden voor IdP-accounts definiëren en toestaan dat gebruikers IdP-netwerkaccounts gebruiken voor autorisatieverzoeken.
Aanmaak op aanvraag van lokale gebruikersaccounts bij het inloggen met gegevens van een IdP-account.
Ondersteuning voor gastgebruikers die tijdelijk inloggen met hun IdP-gegevens op gedeelde Macs.
Opmerking: Voor de meeste functies is ondersteuning van de extensie voor eenmalige aanmelding vereist. Als je meer wilt weten over het implementeren van eenmalige platformaanmelding in je organisatie, raadpleeg je de documentatie van je IdP.
Vereisten
Een Mac met Apple silicon of een Intel-Mac met Touch ID
Een voorziening voor apparaatbeheer die de configuratie 'Uitbreidbare SSO' met instellingen voor eenmalige platformaanmelding ondersteunt
Een app met een extensie voor eenmalige platformaanmelding die compatibel is met de IdP
macOS 13 of nieuwer
Voor de volgende functies zijn aanvullende versievereisten van toepassing:
Functie | Minimale OS-versie | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Geauthenticeerde gastmodus | macOS 26 | ||||||||||
Tik om in te loggen | macOS 26 | ||||||||||
Eenmalige platformaanmelding tijdens automatische apparaatinschrijving | macOS 26 | ||||||||||
UPN-voorvoegsel als lokale accountnaam | macOS 15.4 | ||||||||||
Attestatie voor apparaat-ID's | macOS 15.4 | ||||||||||
Inlogbeleid | macOS 15 | ||||||||||
Aanmaak van accounts op aanvraag | macOS 14 | ||||||||||
Groepsbeheer en netwerkautorisatie | macOS 14 | ||||||||||
Eenmalige platformaanmelding in Systeeminstellingen | macOS 14 | ||||||||||
Configuratie van eenmalige platformaanmelding
Om eenmalige platformaanmelding te gebruiken, moeten de Mac en alle gebruikers zich bij de IdP registreren. Afhankelijk van de ondersteuning door de IdP en de toegepaste configuratie kan de Mac de apparaatregistratie op de achtergrond uitvoeren met behulp van:
Een registratietoken dat is opgegeven in de configuratie voor apparaatbeheer
Een attestatie voor sterke verificatie van de apparaat-ID's (UDID en serienummer)
Voor een vertrouwde koppeling met de IdP die onafhankelijk is van de gebruiker, ondersteunt eenmalige platformaanmelding gedeelde apparaatsleutels. Gebruik indien mogelijk gedeelde apparaatsleutels, omdat deze vereist zijn voor functies zoals eenmalige platformaanmelding tijdens automatische apparaatinschrijving, het op aanvraag aanmaken van gebruikersaccounts op basis van informatie van de IdP, netwerkautorisatie en de geauthenticeerde gastmodus.
Nadat het apparaat is geregistreerd, registreert de gebruiker zich (tenzij de gebruikersaccount voor de geauthenticeerde gastmodus wordt gebruikt). Als de IdP dit vereist, kan de gebruiker tijdens de registratie worden gevraagd om de registratie te bevestigen. Voor lokale gebruikersaccounts die door eenmalige platformaanmelding op aanvraag worden aangemaakt, wordt de registratie van de gebruiker automatisch op de achtergrond uitgevoerd.
Opmerking: Als je een Mac uitschrijft bij de voorziening voor apparaatbeheer, wordt de registratie bij de IdP ook ongedaan gemaakt.
Authenticatiemethoden
Eenmalige platformaanmelding ondersteunt verschillende authenticatiemethoden bij een IdP. Ondersteuning voor elk van deze methoden is afhankelijk van de IdP en de extensie voor eenmalige platformaanmelding.
Wachtwoord: Bij deze methode authenticeert een gebruiker zich met een lokaal wachtwoord of een IdP-wachtwoord. Deze methode ondersteunt ook WS-Trust, zodat de gebruiker zich ook kan authenticeren wanneer de IdP die de account beheert, gebundeld is.
Sleutel die is opgeslagen in de Secure Enclave: Met deze methode kan een gebruiker die inlogt op een Mac een sleutel uit de Secure Enclave gebruiken om zich zonder wachtwoord bij de IdP te authenticeren. De IdP configureert de Secure Enclave-sleutel tijdens het registratieproces van de gebruiker.
Smartcard: Bij deze methode authenticeert een gebruiker zich bij de IdP door een smartcard te gebruiken. Om deze methode te gebruiken, moet je:
De smartcard bij de IdP registreren.
Toewijzing van smartcardkenmerken configureren op de Mac.
Zie de man-pagina voor het Smart Card Services-project voor meer informatie en een voorbeeld van een configuratie voor het toewijzen van kenmerken.
Toegangssleutel: Met deze methode kunnen gebruikers een kaart die is bewaard in Apple Wallet gebruiken om zich bij de IdP te authenticeren. Net als een smartcard moet de toegangssleutel bij de IdP zijn geregistreerd.
Voor bepaalde functies, zoals het op aanvraag aanmaken van gebruikersaccounts, moet je een specifieke authenticatiemethode gebruiken.
Functie | Wachtwoord | Secure Enclave-sleutel | Smartcard | Toegangssleutel | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Groepsbeheer |  | | | | |||||||
Automatische apparaatinschrijving | | | |  | |||||||
Geauthenticeerde gastmodus | | | | | |||||||
Aanmaak van accounts op aanvraag | | | | | |||||||
Wachtwoordsynchronisatie | | | | | |||||||
Opmerking: De extensie voor eenmalige aanmelding moet de gevraagde methode ondersteunen om de registratie te kunnen uitvoeren. Er kan ook worden overgeschakeld naar een andere methode. Wanneer er bijvoorbeeld een nieuwe gebruikersaccount wordt aangemaakt tijdens het inloggen met een gebruikersnaam en wachtwoord, kan die account na het inloggen overschakelen naar een sleutel die in de Secure Enclave is opgeslagen of naar een smartcard.
Eenmalige platformaanmelding tijdens automatische apparaatinschrijving
Organisaties kunnen met automatische apparaatinschrijving eenmalige platformaanmelding activeren en afdwingen in de configuratie-assistent. Dit is een mogelijkheid voor apparaten met één gebruiker, omdat er voor de gebruiker die de inschrijving authenticeert automatisch een lokale account wordt aangemaakt. Vervolgens kan deze gebruiker meteen eenmalige aanmelding gebruiken voor ondersteunde ingebouwde apps en webapps.
Het proces werkt als volgt:
macOS vraagt om te worden ingeschreven en laat de voorziening voor apparaatbeheer weten dat eenmalige platformaanmelding wordt ondersteund tijdens de inschrijving.
De voorziening voor apparaatbeheer retourneert een 403-fout met informatie over de locatie van de configuratie voor eenmalige aanmelding en de locatie van het pakket met daarin een app met de extensie voor eenmalige aanmelding.
macOS downloadt en installeert de extensie en configuratie voor eenmalige platformaanmelding.
macOS configureert eenmalige platformaanmelding en voert een apparaatregistratie uit. Als attestatie is geconfigureerd, wordt de registratie op de achtergrond uitgevoerd. Vervolgens vraagt macOS de gebruiker om zich bij de IdP te authenticeren met behulp van een van de eerder genoemde methoden om de gebruikersregistratie uit te voeren. Gebruikers kunnen pas doorgaan als de registratie voor eenmalige platformaanmelding is geslaagd.
De IdP regelt de authenticatie.
Na een geslaagde authenticatie stuurt de IdP een dragertoken terug naar macOS.
macOS gebruikt het dragertoken om de inschrijving bij de voorziening voor apparaatbeheer te authenticeren en kan (bij bundeling met dezelfde IdP) de gebruiker bij diens beheerde Apple Account inloggen zonder dat de gebruiker opnieuw inloggegevens hoeft in te voeren. Hiervoor moet het iCloud-paneel van de configuratie-assistent zichtbaar zijn voor de gebruiker.
macOS maakt een lokale account aan en het wachtwoord wordt gesynchroniseerd met de IdP of de gebruiker stelt een lokaal wachtwoord in (wanneer voor eenmalige platformaanmelding een sleutel uit de Secure Enclave wordt gebruikt). Indien nodig kun je met de configuratie 'Toegangscode' de complexiteitsvereisten voor het lokale wachtwoord afdwingen.
Nadat de account is geconfigureerd, kan macOS de inlogprofielafbeelding voor de lokale account bij de IdP ophalen.
Met behulp van een afgedwongen software-update kun je eenmalige platformaanmelding tijdens automatische apparaatinschrijving gebruiken. In dit geval moet de voorziening voor apparaatbeheer eerst de update afdwingen.
Er wordt door macOS een beheerdersaccount aangemaakt als er nog geen andere account op de Mac aanwezig is. Als de voorziening voor apparaatbeheer een beheerdersaccount heeft aangemaakt met het commando voor accountconfiguratie, kun je aan de gebruikersaccount andere bevoegdheden toekennen met groepsbeheer voor eenmalige platformaanmelding.
Eenmalige aanmelding
Eenmalige platformaanmelding maakt deel uit van uitbreidbare eenmalige aanmelding en biedt daardoor dezelfde mogelijkheden voor eenmalige aanmelding. Gebruikers hoeven maar eenmaal in te loggen, waarna ze zich met het token dat tijdens de eerste authenticatie is verstrekt, kunnen authenticeren bij ondersteunde ingebouwde apps en webapps.
Als er geen tokens zijn, of als de tokens verlopen zijn of ouder zijn dan vier uur, probeert eenmalige platformaanmelding om ze te vernieuwen of om nieuwe tokens op te halen bij de IdP. Daarnaast kun je een tijdsduur in seconden configureren (minimaal 1 uur) waarna het token niet meer wordt vernieuwd en de gebruiker helemaal opnieuw moet inloggen. Standaard moet na 18 uur helemaal opnieuw worden ingelogd.
Eenmalige platformaanmelding in Systeeminstellingen
Nadat eenmalige platformaanmelding is geregistreerd, kan een gebruiker de registratiestatus bekijken door in Systeeminstellingen 'Gebruikers en groepen' > '[gebruikersnaam]' te kiezen. Indien nodig kunnen gebruikers een reparatie van de registratie starten en een vernieuwing van hun authenticatietoken afdwingen.
De status van de apparaatregistratie is zichtbaar in 'Gebruikers en groepen' > 'Netwerkaccountserver'. Hier vind je ook de optie om een reparatie uit te voeren.
Wachtwoordsynchronisatie en inlogbeleid
Als je de authenticatiemethode op basis van wachtwoorden gebruikt, wordt het lokale gebruikerswachtwoord automatisch gesynchroniseerd met de IdP wanneer een gebruiker het wachtwoord lokaal of op afstand wijzigt. Indien nodig vraagt macOS de gebruiker om het vorige wachtwoord.
Standaard is het wachtwoord van de lokale account vereist om FileVault, het toegangsscherm en het inlogvenster te ontgrendelen. Als het ingevoerde wachtwoord niet overeenkomt met het wachtwoord van de lokale gebruikersaccount, probeert macOS de IdP te bereiken om een live authenticatie uit te voeren. Als macOS de IdP niet kan bereiken of als het ingevoerde wachtwoord niet overeenkomt met het wachtwoord dat door de IdP is opgeslagen, mislukt de authenticatie.
Met inlogbeleid kun je het gebruik van het huidige accountwachtwoord van de IdP bij deze drie wachtwoordverzoeken onmiddellijk toestaan. Je kunt de volgende beleidsregels ook afzonderlijk instellen voor FileVault, het toegangsscherm en het inlogvenster:
Probeer te authenticeren.
Als deze beleidsregel is geconfigureerd, wordt geprobeerd om een live authenticatie bij de IdP uit te voeren.
Als de Mac online is, is een geslaagde authenticatie bij de IdP vereist om door te gaan, ook als de Mac na de eerste poging offline is.
Als de authenticatie is geslaagd, wordt het lokale wachtwoord door eenmalige platformaanmelding bijgewerkt.
Als de Mac offline is, kan de gebruiker het wachtwoord van de lokale account gebruiken.
Authenticatie vereist.
Als deze beleidsregel geconfigureerd, is live authenticatie bij de IdP vereist om door te gaan.
Als de Mac online is, is een geslaagde authenticatie bij de IdP vereist om door te gaan, ook als er een geldigheidsperiode voor offline authenticatie is geconfigureerd.
Als de authenticatie is geslaagd, wordt het lokale wachtwoord door eenmalige platformaanmelding bijgewerkt.
Als de Mac offline is, kunnen gebruikers niet inloggen. Voor dergelijke situaties kun je een geldigheidsperiode voor offline authenticatie inschakelen en instellen hoeveel dagen na een eerdere geslaagde inlogpoging de gebruiker het wachtwoord van de lokale account kan blijven gebruiken.
Je kunt opgeven of elke account waarmee op de Mac wordt ingelogd, moet worden beheerd met eenmalige platformaanmelding of dat inloggen met een lokale account ook is toegestaan. Je kunt ook opgeven na hoeveel dagen na het toepassen of bijwerken van de beleidsregel deze instelling wordt afgedwongen. Hiermee kun je het tijdelijke gebruik van lokale accounts toestaan. Je kunt bijvoorbeeld tijdelijk een beheerdersaccount gebruiken die is aangemaakt door de voorziening voor apparaatbeheer om de apparaatregistratie voor eenmalige platformaanmelding uit te voeren of te repareren.
In plaats van live authenticatie kun je gebruikers ook de mogelijkheid geven om Touch ID of een Apple Watch te gebruiken om het toegangsscherm te ontgrendelen.
Indien nodig kun je opgeven dat bepaalde lokale accounts zijn uitgezonderd van het inlogbeleid en dat registratie voor eenmalige platformaanmelding niet op deze accounts van toepassing is.
Groepsbeheer en netwerkautorisatie
Eenmalige platformaanmelding maakt nauwkeurig beheer van bevoegdheden mogelijk zodat je het juiste bevoegdhedenniveau aan gebruikers kunt toekennen dat ze nodig hebben voor het gebruik van hun Mac. Hiervoor kun je met eenmalige platformaanmelding de volgende bevoegdheden op een account toepassen telkens wanneer de gebruiker zich authenticeert:
Standaard: Aan de account worden bevoegdheden voor een standaardgebruiker toegekend.
Beheerder: De account wordt aan de lokale beheerdersgroep toegevoegd.
Groepen: Hiermee ken je bevoegdheden op basis van groepslidmaatschap toe, die bij elke authenticatie bij de IdP worden bijgewerkt.
Wanneer je groepen gebruikt, worden bevoegdheden aan een account toegekend op basis van lidmaatschap van de volgende groepen:
Beheerdersgroepen: Als de account deel uitmaakt van een vermelde groep, heeft de account lokale beheerderstoegang.
Autorisatiegroepen: Als de account deel uitmaakt van een groep die is toegewezen aan een ingebouwd of aangepast autorisatierecht, heeft de account de bevoegdheden die aan die groep zijn gekoppeld. macOS gebruikt bijvoorbeeld de volgende autorisatierechten:
system.preferences.datetime, waarmee de account tijdinstellingen kan wijzigen.system.preferences.energysaver, waarmee de account de instellingen voor energiebesparing kan wijzigen.system.preferences.network, waarmee de account netwerkinstellingen kan wijzigen.system.preferences.printing, waarmee de account printers kan toevoegen of verwijderen.
Extra groepen: Aangepaste groepen voor macOS of specifieke apps, die automatisch door macOS in de lokale directory worden aangemaakt (als ze nog niet bestaan). Je kunt bijvoorbeeld een extra groep in de configuratie
sudogebruiken om toegang totsudote definiëren.
Netwerkautorisatie
Eenmalige platformaanmelding maakt het ook mogelijk voor gebruikers zonder een lokale account op de Mac om IdP-inloggegevens te gebruiken voor autorisatie. Deze accounts gebruiken dezelfde groepen als groepsbeheer. Als de account bijvoorbeeld lid is van een van de beheerdersgroepen, kan de account worden gebruikt wanneer om autorisatie door een beheerder wordt gevraagd. Om deze functionaliteit te gebruiken, configureer je eenmalige platformaanmelding met gedeelde apparaatsleutels.
Netwerkautorisatie is niet mogelijk met autorisatieverzoeken waarvoor een Secure Token of authenticatie door de ingelogde gebruiker nodig is of eigenaarsbevoegdheden vereist zijn.
Aanmaak van accounts op aanvraag
Om accountbeheer in gedeelde implementaties mogelijk te maken, kunnen gebruikers met hun IdP-gebruikersnaam en -wachtwoord of een smartcard inloggen op een Mac om een lokale account aan te maken.
Je kunt de inrichting van apparaten volledig automatiseren met automatische apparaatinschrijving en automatische configuratie. Je moet de eerste lokale beheerdersaccount configureren met behulp van een voorziening voor apparaatbeheer en registratie via eenmalige platformaanmelding op de achtergrond uitvoeren.
Voor het op aanvraag aanmaken van accounts is het volgende vereist:
Schrijf de Mac in bij een voorziening voor apparaatbeheer die Bootstrap Tokens ondersteunt.
Voeg het volgende toe: een configuratie met een extensie voor eenmalige aanmelding met ondersteuning voor eenmalige platformaanmelding, gedeelde apparaatsleutels en de optie om bij het inloggen een gebruiker aan te maken.
Voltooi de configuratie-assistent en maak een lokale beheerdersaccount aan.
Zorg dat het inlogvenster wordt weergegeven op de Mac, dat FileVault ontgrendeld is en dat de Mac verbonden is met een netwerk.
Met een configuratie-optie kun je opgeven welk kenmerk van de IdP voor de naam van de lokale account (ook wel de korte gebruikersnaam genoemd) en de volledige naam moet worden gebruikt. Beheerders kunnen de sleutel voor de accountnaam ook instellen op com.apple.PlatformSSO.AccountShortName zodat het UPN-voorvoegsel wordt gebruikt.
Daarnaast kun je opgeven welke bevoegdheden moeten worden toegepast op nieuwe accounts die bij het inloggen zijn aangemaakt. Dezelfde opties voor groepsbeheer zijn beschikbaar:
Standaard: Aan de account worden bevoegdheden voor een standaardgebruiker toegekend.
Beheerder: De account wordt aan de lokale beheerdersgroep toegevoegd.
Groepen: Hiermee ken je bevoegdheden op basis van groepslidmaatschap toe, die bij elke authenticatie bij de IdP worden bijgewerkt.
Geauthenticeerde gastmodus
Met de geauthenticeerde gastmodus kunnen gebruikers sneller inloggen bij gedeelde implementaties waarvoor geen lokale account hoeft te worden aangemaakt, zoals gezondheidscentra of scholen, omdat gebruikers slechts tijdelijk hoeven in te loggen met hun IdP-gegevens. Aan de gebruiker worden de bevoegdheden van een standaardgebruiker toegekend, maar je kunt deze bevoegdheden wijzigen via groepsbeheer voor eenmalige platformaanmelding.
Voor het gebruik van deze functie gelden dezelfde vereisten als voor het op aanvraag aanmaken van accounts, maar in plaats van de optie om bij het inloggen een gebruiker aan te maken, configureer je de geauthenticeerde gastmodus.
Wanneer een gebruiker uitlogt, wist macOS alle lokale gegevens voor die account en kan de volgende gebruiker op de gedeelde Mac inloggen.
Tik om in te loggen
Met 'Tik om in te loggen' wordt de functionaliteit van Apple Wallet voor digitale inloggegevens uitgebreid naar macOS. In de afgelopen jaren zijn organisaties digitale badges in Apple Wallet gaan gebruiken, waarmee gebruikers deuren kunnen ontgrendelen met een tikje van hun iPhone of Apple Watch, zonder dat ze een fysieke badge nodig hebben. Deze mogelijkheid is ook beschikbaar op de Mac.
Deze authenticatiemethode is vooral handig voor organisaties waar meerdere personen dezelfde Mac gebruiken, zoals onderwijsinstellingen, winkels en zorginstellingen.
Met 'Tik om in te loggen' kunnen gebruikers zich authenticeren op een Mac die is geconfigureerd voor de geauthenticeerde gastmodus door met hun iPhone of Apple Watch op een aangesloten NFC-lezer te tikken. Hiermee wordt een veilig proces voor eenmalige aanmelding gestart waarmee gebruikers automatisch worden geauthenticeerd bij hun apps en websites, zodat ze snel kunnen inloggen en aan de slag kunnen.
Inloggegevens worden als toegangssleutels in een Apple Wallet-kaart verstrekt via een iPhone-app of browser. Deze toegangssleutels worden opgeslagen in de Secure Enclave van het apparaat. Doordat ze hardwarematig ondersteund en versleuteld zijn, zijn ze beveiligd tegen manipulatie of extractie. De functionaliteit van de Express-modus vergroot het gemak door onmiddellijke authenticatie mogelijk te maken zonder dat gebruikers hun apparaat uit de sluimerstand hoeven te halen of hoeven te ontgrendelen, op dezelfde manier als waarop ov-kaarten werken in Apple Wallet.
Om de functie 'Tik om in te loggen' te implementeren, moet een Mac aan de volgende vereisten voldoen:
Geconfigureerd voor de geauthenticeerde gastmodus
Voorzien van een ondersteunde externe NFC-lezer
Voor het aanmaken en beheren van toegangssleutels is deelname aan het Apple Wallet Access Program vereist. Zie Provisioning in de Apple Wallet Access Program Guide voor meer informatie over het aanmaken van een toegangssleutel (Engelstalig).