Eenmalige platformaanmelding voor macOS
Overzicht
Met eenmalige platformaanmelding kun jij (of een ontwikkelaar die is gespecialiseerd in identiteitsbeheer) extensies voor eenmalige aanmelding bouwen waarmee gebruikers zich tijdens het uitvoeren van de configuratie-assistent op een Mac kunnen authenticeren bij de account van de identiteitsprovider (IdP) van je organisatie. Eenmalige platformaanmelding kan worden gecombineerd met andere extensies voor eenmalige aanmelding, waarbij rekening moet worden gehouden met de volgende zaken:
Een specifiek domein kan slechts door één extensie voor eenmalige aanmelding worden verwerkt.
syncLocalPasswordmoet in de Kerberos-configuratie voor eenmalige aanmelding opfalseworden ingesteld.
Functies
Eenmalige platformaanmelding ondersteunt de volgende functies:
Activering en afdwinging van eenmalige platformaanmelding tijdens automatische apparaatinschrijving om de inschrijving te authenticeren, in te loggen met een beheerde Apple Account en een lokale gebruiker aan te maken.
Eenmalige aanmelding voor ingebouwde apps en webapps.
De status en registratiegegevens van eenmalige platformaanmelding bekijken in Systeeminstellingen.
Wachtwoorden van lokale gebruikersaccounts synchroniseren met de IdP en inlogbeleid definiëren.
Groepsbevoegdheden voor IdP-accounts definiëren en toestaan dat gebruikers IdP-netwerkaccounts gebruiken voor autorisatieverzoeken.
Aanmaak op aanvraag van lokale gebruikersaccounts bij het inloggen met gegevens van een IdP-account.
Ondersteuning voor gastgebruikers die tijdelijk inloggen met hun IdP-gegevens op gedeelde Macs.
Opmerking: Voor de meeste functies is ondersteuning van de extensie voor eenmalige aanmelding vereist. Als je meer wilt weten over het implementeren van eenmalige platformaanmelding in je organisatie, raadpleeg je de documentatie van je IdP.
Vereisten
Een Mac met Apple silicon of een Intel-Mac met Touch ID
Een voorziening voor apparaatbeheer die de configuratie 'Uitbreidbare SSO' met instellingen voor eenmalige platformaanmelding ondersteunt
Een app met een extensie voor eenmalige platformaanmelding die compatibel is met de IdP
macOS 13 of nieuwer
Voor de volgende functies zijn aanvullende versievereisten van toepassing:
Functie | Minimale OS-versie | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Geauthenticeerde gastmodus | macOS 26 | ||||||||||
Tik om in te loggen | macOS 26 | ||||||||||
Eenmalige platformaanmelding tijdens automatische apparaatinschrijving | macOS 26 | ||||||||||
UPN-voorvoegsel als lokale accountnaam | macOS 15.4 | ||||||||||
Attestatie voor apparaat-ID's | macOS 15.4 | ||||||||||
Inlogbeleid | macOS 15 | ||||||||||
Aanmaak van accounts op aanvraag | macOS 14 | ||||||||||
Groepsbeheer en netwerkautorisatie | macOS 14 | ||||||||||
Eenmalige platformaanmelding in Systeeminstellingen | macOS 14 | ||||||||||
Eenmalige platformaanmelding configureren
Om eenmalige platformaanmelding te gebruiken, moeten de Mac en alle gebruikers zich bij de IdP registreren. Afhankelijk van de ondersteuning door de IdP en de toegepaste configuratie kan de Mac de apparaatregistratie op de achtergrond uitvoeren met behulp van:
Een registratietoken van de IdP dat is opgegeven in de uitbreidbare configuratie voor eenmalige aanmelding
Een attestatie die een sterke garantie biedt dat de Mac een echt Apple apparaat is en die optionele apparaat-ID's (UDID en serienummer) kan bevatten.
Voor een vertrouwde koppeling met de IdP die onafhankelijk is van de gebruiker, ondersteunt eenmalige platformaanmelding gedeelde apparaatsleutels. Gebruik indien mogelijk gedeelde apparaatsleutels, omdat deze vereist zijn voor automatische apparaatinschrijving, het op aanvraag aanmaken van accounts, netwerkautorisatie en de geauthenticeerde gastmodus.
Nadat het apparaat is geregistreerd, registreert de gebruiker zich ook, tenzij de gebruikersaccount voor de geauthenticeerde gastmodus wordt gebruikt. Als de IdP dit vereist, kan de gebruiker worden gevraagd om de registratie te bevestigen. Voor lokale accounts die op aanvraag worden aangemaakt, wordt de registratie van gebruikers automatisch op de achtergrond uitgevoerd door eenmalige platformaanmelding.
Opmerking: Als je een Mac uitschrijft bij de voorziening voor apparaatbeheer, wordt de registratie bij de IdP ook ongedaan gemaakt.
Authenticatiemethoden
Eenmalige platformaanmelding ondersteunt verschillende authenticatiemethoden bij een IdP. Ondersteuning voor elk van deze methoden is afhankelijk van de IdP en de extensie voor eenmalige platformaanmelding.
Wachtwoord: Bij deze methode authenticeert een gebruiker zich met een lokaal wachtwoord of een IdP-wachtwoord. Deze methode ondersteunt ook WS-Trust, zodat de gebruiker zich ook kan authenticeren wanneer de IdP die de account beheert, gebundeld is.
Sleutel die is opgeslagen in de Secure Enclave: Met deze methode kan een gebruiker die inlogt op een Mac een sleutel uit de Secure Enclave gebruiken om zich zonder wachtwoord bij de IdP te authenticeren. De IdP configureert de Secure Enclave-sleutel tijdens het registratieproces van de gebruiker.
Smartcard: Bij deze methode authenticeert een gebruiker zich bij de IdP door een smartcard te gebruiken. Om deze methode te gebruiken, moet je:
De smartcard bij de IdP registreren.
Toewijzing van smartcardkenmerken configureren op de Mac.
Zie de man-pagina voor het Smart Card Services-project voor meer informatie en een voorbeeld van een configuratie voor het toewijzen van kenmerken.
Toegangssleutel: Met deze methode kunnen gebruikers een kaart die is bewaard in Apple Wallet gebruiken om zich bij de IdP te authenticeren. Net als een smartcard moet de toegangssleutel bij de IdP zijn geregistreerd.
Voor bepaalde functies, zoals het op aanvraag aanmaken van accounts, is een specifieke authenticatiemethode vereist.
Functie | Wachtwoord | Secure Enclave-sleutel | Smartcard | Toegangssleutel | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Groepsbeheer |  | | | | |||||||
Automatische apparaatinschrijving | | | |  | |||||||
Geauthenticeerde gastmodus | | | | | |||||||
Aanmaak van accounts op aanvraag | | | | | |||||||
Wachtwoordsynchronisatie | | | | | |||||||
Opmerking: De extensie voor eenmalige aanmelding moet de gevraagde methode ondersteunen om de registratie te kunnen voltooien. Je kunt ook overschakelen naar een andere methode. Een account die is aangemaakt met een gebruikersnaam en wachtwoord kan na het inloggen bijvoorbeeld naar een sleutel in de Secure Enclave of naar een smartcard overschakelen.
Eenmalige platformaanmelding met automatische apparaatinschrijving
Organisaties kunnen met automatische apparaatinschrijving eenmalige platformaanmelding activeren en afdwingen in de configuratie-assistent. Deze optie werkt het best voor apparaten met één gebruiker. macOS maakt automatisch een lokale account aan voor de gebruiker die de inschrijving authenticeert, zodat deze gebruiker meteen eenmalige aanmelding kan gebruiken voor ondersteunde ingebouwde apps en webapps.
Indien geconfigureerd, downloadt en installeert macOS de extensie en configuratie voor eenmalige platformaanmelding. Dit kan gebeuren voordat de eigenlijke inschrijving bij de voorziening voor apparaatbeheer wordt uitgevoerd, zodat de inschrijving kan worden geauthenticeerd met eenmalige aanmelding, of na de inschrijving, wanneer de Mac op configuratie wacht. Tijdens deze procedure voert de Mac een apparaatregistratie uit, ofwel op de achtergrond, ofwel door de gebruiker te vragen om zich bij de IdP te authenticeren voor de gebruikersregistratie. Gebruikers kunnen pas doorgaan als de registratie voor eenmalige platformaanmelding is geslaagd.
Nadat de authenticatie is geslaagd, maakt macOS een lokale account aan en wordt het wachtwoord gesynchroniseerd met de IdP of stelt de gebruiker een lokaal wachtwoord in (wanneer voor eenmalige platformaanmelding een sleutel uit de Secure Enclave wordt gebruikt). Indien nodig kun je met de configuratie 'Toegangscode' de complexiteitsvereisten voor het lokale wachtwoord afdwingen.
Nadat de account is geconfigureerd, kan macOS de inlogprofielafbeelding voor de lokale account bij de IdP ophalen.
Met behulp van een afgedwongen software-update kun je eenmalige platformaanmelding tijdens automatische apparaatinschrijving gebruiken. In dit geval moet de voorziening voor apparaatbeheer eerst de update afdwingen.
Er wordt door macOS een beheerdersaccount aangemaakt als er nog geen andere account op de Mac aanwezig is. Als de voorziening voor apparaatbeheer een beheerdersaccount heeft aangemaakt met het commando voor accountconfiguratie, kun je aan de gebruikersaccount andere bevoegdheden toekennen met groepsbeheer voor eenmalige platformaanmelding.
Eenmalige aanmelding (SSO)
Omdat eenmalige platformaanmelding deel uitmaakt van uitbreidbare eenmalige aanmelding, hoeven gebruikers maar eenmaal in te loggen en gebruiken ze dat authenticatietoken om toegang te krijgen tot ondersteunde ingebouwde apps en webapps.
Als er geen tokens zijn, of als de tokens verlopen zijn of ouder zijn dan vier uur, probeert eenmalige platformaanmelding om ze te vernieuwen of om nieuwe tokens op te halen bij de IdP. Je kunt ook configureren hoelang (minimaal één uur, in seconden) het duurt voordat het token niet meer wordt vernieuwd en de gebruiker helemaal opnieuw moet inloggen. De standaardwaarde is 18 uur.
Eenmalige platformaanmelding in Systeeminstellingen
Nadat gebruikers zich bij eenmalige platformaanmelding hebben geregistreerd, kunnen ze hun registratiestatus bekijken door in Systeeminstellingen 'Gebruikers en groepen' > '[gebruikersnaam]' te kiezen. Van daaruit kunnen gebruikers de registratie repareren of hun authenticatietoken vernieuwen.
De status van de apparaatregistratie is zichtbaar in 'Gebruikers en groepen' > 'Netwerkaccountserver'. Hier vind je ook de optie om een reparatie uit te voeren.
Wachtwoordsynchronisatie en inlogbeleid
Als je de authenticatiemethode op basis van wachtwoorden gebruikt, wordt het lokale gebruikerswachtwoord automatisch gesynchroniseerd met de IdP wanneer een gebruiker het wachtwoord lokaal of op afstand wijzigt. Indien nodig vraagt macOS de gebruiker om het vorige wachtwoord.
Standaard is het wachtwoord van de lokale account vereist om FileVault, het toegangsscherm en het inlogvenster te ontgrendelen. Als het ingevoerde wachtwoord niet overeenkomt met het wachtwoord van de lokale gebruikersaccount, probeert macOS de IdP te bereiken om een live authenticatie uit te voeren. Als macOS de IdP niet kan bereiken of als het ingevoerde wachtwoord niet overeenkomt met het wachtwoord dat door de IdP is opgeslagen, mislukt de authenticatie.
Met inlogbeleid kun je het gebruik van het huidige accountwachtwoord van de IdP bij deze drie wachtwoordverzoeken onmiddellijk toestaan. Je kunt de volgende beleidsregels ook afzonderlijk instellen voor FileVault, het toegangsscherm en het inlogvenster:
Probeer te authenticeren.
Als deze beleidsregel is geconfigureerd, wordt geprobeerd om een live authenticatie bij de IdP uit te voeren.
Als de Mac online is, is een geslaagde authenticatie bij de IdP vereist om door te gaan, ook als de Mac na de eerste poging offline is.
Als de authenticatie is geslaagd, wordt het lokale wachtwoord door eenmalige platformaanmelding bijgewerkt.
Als de Mac offline is, kan de gebruiker het wachtwoord van de lokale account gebruiken.
Authenticatie vereist.
Als deze beleidsregel geconfigureerd, is live authenticatie bij de IdP vereist om door te gaan.
Als de Mac online is, is een geslaagde authenticatie bij de IdP vereist om door te gaan, ook als er een geldigheidsperiode voor offline authenticatie is geconfigureerd.
Als de authenticatie is geslaagd, wordt het lokale wachtwoord door eenmalige platformaanmelding bijgewerkt.
Als de Mac offline is, kunnen gebruikers niet inloggen. Voor dergelijke situaties kun je een geldigheidsperiode voor offline authenticatie inschakelen en instellen hoeveel dagen na een eerdere geslaagde inlogpoging de gebruiker het wachtwoord van de lokale account kan blijven gebruiken.
Je kunt opgeven of elke account waarmee op de Mac wordt ingelogd, moet worden beheerd met eenmalige platformaanmelding of dat inloggen met een lokale account ook is toegestaan. Je kunt ook een respijtperiode (in dagen) instellen die van kracht is tussen het toepassen van de beleidsregel en de afdwinging ervan. Hiermee kun je het tijdelijke gebruik van lokale accounts toestaan. Je kunt bijvoorbeeld tijdelijk een beheerdersaccount gebruiken die is aangemaakt door de voorziening voor apparaatbeheer om de apparaatregistratie voor eenmalige platformaanmelding uit te voeren of te repareren.
In plaats van live authenticatie kun je gebruikers ook de mogelijkheid geven om Touch ID of een Apple Watch te gebruiken om het toegangsscherm te ontgrendelen.
Indien nodig kun je opgeven dat bepaalde lokale accounts zijn uitgezonderd van het inlogbeleid en dat registratie voor eenmalige platformaanmelding niet op deze accounts van toepassing is.
Groepsbeheer en netwerkautorisatie
Eenmalige platformaanmelding kan nauwkeurig beheer van bevoegdheden mogelijk maken door de volgende bevoegdheden op een account toe te passen telkens wanneer de gebruiker zich authenticeert:
Standaard: Aan de account worden bevoegdheden voor een standaardgebruiker toegekend.
Beheerder: De account wordt aan de lokale beheerdersgroep toegevoegd.
Groepen: Hiermee ken je bevoegdheden op basis van groepslidmaatschap toe, die bij elke authenticatie bij de IdP worden bijgewerkt.
Wanneer je groepen gebruikt, worden bevoegdheden aan een account toegekend op basis van lidmaatschap van de volgende groepen:
Beheerdersgroepen: Als de account deel uitmaakt van een vermelde groep, heeft de account lokale beheerderstoegang.
Autorisatiegroepen: Als de account deel uitmaakt van een groep die is toegewezen aan een ingebouwd of aangepast autorisatierecht, heeft de account de bevoegdheden die aan die groep zijn gekoppeld. macOS gebruikt bijvoorbeeld de volgende autorisatierechten:
system.preferences.datetime, waarmee de account tijdinstellingen kan wijzigen.system.preferences.energysaver, waarmee de account de instellingen voor energiebesparing kan wijzigen.system.preferences.network, waarmee de account netwerkinstellingen kan wijzigen.system.preferences.printing, waarmee de account printers kan toevoegen of verwijderen.
Extra groepen: Aangepaste groepen voor macOS of specifieke apps, die automatisch door macOS in de lokale directory worden aangemaakt (als ze nog niet bestaan). Je kunt bijvoorbeeld een extra groep in de configuratie
sudogebruiken om toegang totsudote definiëren.
Netwerkautorisatie
Eenmalige platformaanmelding maakt het mogelijk voor gebruikers zonder een lokale Mac-account om hun IdP-inloggegevens te gebruiken voor autorisatie. Deze accounts gebruiken dezelfde groepen als groepsbeheer. Als de account bijvoorbeeld lid is van een van de beheerdersgroepen, kan de account worden gebruikt wanneer om autorisatie door een beheerder wordt gevraagd. Om deze functionaliteit te gebruiken, configureer je eenmalige platformaanmelding met gedeelde apparaatsleutels.
Netwerkautorisatie is niet mogelijk met autorisatieverzoeken waarvoor een Secure Token of authenticatie door de ingelogde gebruiker nodig is of eigenaarsbevoegdheden vereist zijn.
Aanmaak van accounts op aanvraag
In gedeelde implementaties kunnen gebruikers met hun IdP-gebruikersnaam en -wachtwoord of een smartcard inloggen om automatisch een lokale account aan te maken.
Je kunt de inrichting van apparaten volledig automatiseren met automatische apparaatinschrijving en automatische configuratie. Je moet de eerste lokale beheerdersaccount configureren met behulp van een voorziening voor apparaatbeheer en registratie via eenmalige platformaanmelding op de achtergrond uitvoeren.
Voor het op aanvraag aanmaken van accounts is het volgende vereist:
Schrijf de Mac in bij een voorziening voor apparaatbeheer die Bootstrap Tokens ondersteunt.
Voeg het volgende toe: een configuratie met een extensie voor eenmalige aanmelding met ondersteuning voor eenmalige platformaanmelding, gedeelde apparaatsleutels en de optie om bij het inloggen een gebruiker aan te maken.
Voltooi de configuratie-assistent en maak een lokale beheerdersaccount aan.
Zorg dat het inlogvenster wordt weergegeven op de Mac, dat FileVault ontgrendeld is en dat de Mac verbonden is met een netwerk.
Met een optionele configuratie kun je opgeven welk IdP-kenmerk voor de naam van de lokale account (korte naam) en de volledige naam moet worden gebruikt. Beheerders kunnen de sleutel voor de accountnaam ook instellen op com.apple.PlatformSSO.AccountShortName zodat het UPN-voorvoegsel wordt gebruikt.
Daarnaast kun je opgeven welke bevoegdheden moeten worden toegepast op nieuwe accounts die bij het inloggen zijn aangemaakt. Dezelfde opties voor groepsbeheer zijn beschikbaar:
Standaard: Aan de account worden bevoegdheden voor een standaardgebruiker toegekend.
Beheerder: De account wordt aan de lokale beheerdersgroep toegevoegd.
Groepen: Hiermee ken je bevoegdheden op basis van groepslidmaatschap toe, die bij elke authenticatie bij de IdP worden bijgewerkt.
Geauthenticeerde gastmodus
Met de geauthenticeerde gastmodus kunnen gebruikers sneller inloggen bij gedeelde implementaties waarvoor geen lokale account hoeft te worden aangemaakt, zoals gezondheidscentra of scholen, omdat gebruikers slechts tijdelijk hoeven in te loggen met hun IdP-gegevens. Aan de gebruiker worden de bevoegdheden van een standaardgebruiker toegekend, maar je kunt deze bevoegdheden wijzigen via groepsbeheer voor eenmalige platformaanmelding.
De vereisten zijn hetzelfde als voor het op aanvraag aanmaken van accounts, maar in plaats van de optie om bij het inloggen een gebruiker aan te maken, configureer je de geauthenticeerde gastmodus.
Wanneer een gebruiker uitlogt, wist macOS alle lokale gegevens voor die account en kan de volgende gebruiker op de gedeelde Mac inloggen.
Tik om in te loggen
Met 'Tik om in te loggen' wordt ondersteuning voor digitale inloggegevens in Apple Wallet uitgebreid naar macOS. Organisaties die al gebruikmaken van digitale badges in Apple Wallet (waarmee gebruikers deuren kunnen ontgrendelen met een iPhone of Apple Watch), kunnen deze functionaliteit nu ook gebruiken om in te loggen op de Mac.
Deze authenticatiemethode is vooral handig voor organisaties waar meerdere personen dezelfde Mac gebruiken, zoals onderwijsinstellingen, winkels en zorginstellingen.
Met 'Tik om in te loggen' kunnen gebruikers zich authenticeren op een Mac die is geconfigureerd voor de geauthenticeerde gastmodus door met hun iPhone of Apple Watch op een aangesloten NFC-lezer te tikken. Hiermee wordt een veilig proces voor eenmalige aanmelding gestart waarmee gebruikers automatisch worden geauthenticeerd bij hun apps en websites, zodat ze snel kunnen inloggen en aan de slag kunnen.
Inloggegevens worden als toegangssleutels in een Apple Wallet-kaart verstrekt via een iPhone-app of browser. Deze toegangssleutels worden opgeslagen in de Secure Enclave van het apparaat. Doordat ze hardwarematig ondersteund en versleuteld zijn, zijn ze beveiligd tegen manipulatie of extractie. In de Express-modus kunnen gebruikers zich onmiddellijk authenticeren zonder dat ze hun apparaat uit de sluimerstand hoeven te halen of hoeven te ontgrendelen, op dezelfde manier als waarop ov-kaarten werken in Apple Wallet.
Om de functie 'Tik om in te loggen' te implementeren, moet de Mac aan de volgende vereisten voldoen:
Geconfigureerd voor de geauthenticeerde gastmodus
Voorzien van een ondersteunde externe NFC-lezer
Voor het aanmaken en beheren van toegangssleutels is deelname aan het Apple Wallet Access Program vereist. Zie Provisioning in de Apple Wallet Access Program Guide voor meer informatie over het aanmaken van een toegangssleutel (Engelstalig).