Platform Single Sign-on (SSO) for macOS
Oversikt
Med engangspålogging på plattform (Platform SSO) kan du – eller en utvikler som har spesialisert seg på identitetsadministrasjon – bygge SSO-utvidelser som lar brukere autentisere seg med organisasjonens konto for identitetsleverandør (IdP) på en Mac under bruk av Oppsettassistent. Platform SSO kan kombineres med andre SSO-utvidelser med følgende hensyn:
Et bestemt domene kan bare håndteres av én SSO-utvidelse.
syncLocalPasswordmå settes tilfalsei Kerberos SSO-konfigurasjonen.
Funksjoner
Platform SSO støtter følgende funksjoner:
Aktiver og håndhev Platform SSO under automatisert enhetsregistrering for å autentisere registreringen, logge på med en administrert Apple-konto og opprette en lokal bruker.
Tilby en opplevelse med Single Sign-on for standardapper og nettapper.
Se status og registreringsdetaljer for Platform SSO i Systeminnstillinger.
Synkroniser passord for lokale brukerkontoer med identitetsleverandøren, og definer påloggingsregler.
Definer gruppetillatelser for IdP-kontoer, og tillat at personer bruker IdP-kontoer som kun er for nettverk, ved autoriseringsforespørsler.
Opprett lokale brukerkontoer ved behov ved pålogging med akkreditiver fra en IdP-konto.
Støtt gjestebrukere som logger på midlertidig med akkreditiver fra identitetsleverandør på delte Macer.
Merk: De fleste funksjoner krever støtte fra SSO-utvidelsen. Se dokumentasjonen fra identitetsleverandøren din for å finne ut mer om hvordan du kan implementere Platform SSO for organisasjonen din.
Krav
En Mac med Apple-chip eller en Intel-basert Mac med Touch ID.
En tjeneste for enhetsadministrering som støtter Extensible Single Sign-on-konfigurasjonen, som inkluderer innstillinger for Platform SSO.
En app som inneholder en Platform SSO-utvidelse som er kompatibel med IdP-en.
macOS 13 eller nyere
Følgende funksjoner har ytterligere versjonskrav:
Funksjon | Eldste støttede operativsystemversjon | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Autentisert gjestemodus | macOS 26 | ||||||||||
Trykk for å logge på | macOS 26 | ||||||||||
Platform SSO under automatisert enhetsregistrering | macOS 26 | ||||||||||
UPN-prefiks som lokalt kontonavn | macOS 15.4 | ||||||||||
Attestering for enhetsidentifikatorer | macOS 15.4 | ||||||||||
Påloggingsregler | macOS 15 | ||||||||||
Kontooppretting ved behov | macOS 14 | ||||||||||
Gruppeadministrasjon og nettverksautorisering | macOS 14 | ||||||||||
Platform SSO i Systeminnstillinger | macOS 14 | ||||||||||
Konfigurer Platform SSO
Hvis du vil bruke Platform SSO, må hver bruker registreres hos identitetsleverandøren. Avhengig av støtte for identitetsleverandør og konfigurasjonen som brukes, kan Macen utføre enhetsregistrering i bakgrunnen ved hjelp av:
Et registreringskjennetegn fra identitetsleverandøren oppgitt i konfigurasjonen for den utvidbare SSO-konfigurasjonen.
en attestering som gir en sterk bekreftelse på at Macen er en ekte Apple-enhet, og kan eventuelt inkludere enhetsidentifikatorer (UDID og serienummer).
For å opprettholde en godkjent tilkobling til identitetsleverandøren uavhengig av brukeren støtter Platform SSO delte enhetsnøkler. Bruk delte enhetsnøkler når det er mulig – de kreves for automatisert enhetsregistrering, oppretting av kontoer ved behov, nettverksautentisering og Autentisert gjestemodus.
Når enheten er registrert, registreres brukeren også, med mindre kontoen bruker Autentisert gjestemodus. Hvis identitetsleverandøren krever det, kan brukeren bli bedt om å bekrefte registreringen. For lokale kontoer som opprettes ved behov, registrerer Platform SSO brukeren automatisk i bakgrunnen.
Merk: Hvis du avregistrerer en Mac fra tjenesten for enhetsadministrering, avregistreres den også fra identitetsleverandøren.
Autentiseringsmetoder
Platform SSO støtter forskjellige autentiseringsmetoder med en identitetsleverandør. Støtte for hver av dem avhenger av identitetsleverandøren og utvidelsen for Platform SSO.
Passord: Med denne metoden kan brukerne autentisere med et lokalt passord eller passord fra en identitetsleverandør. Den støtter også WS-Trust, som gjør det mulig for brukerne å autentisere seg, selv når identitetsleverandøren som administrerer kontoen, er forent.
Secure Enclave-støttet nøkkel: Med denne metoden kan en bruker som logger på Macen sin bruke en Secure Enclave-godkjent nøkkel til å autentisere med identitetsleverandøren uten et passord. Identitetsleverandøren konfigurerer Secure Enclave-nøkkelen under brukerregistreringsprosessen.
Smartkort: Med denne metoden kan brukerne autentisere med identitetsleverandøren ved hjelp av et smartkort. For å bruke denne metoden må du:
registrere smartkortet hos identitetsleverandøren
konfigurere smartkort-attributtilordning på Macen
Du finner mer informasjon og et eksempel på konfigurering av attributtilordning på man-siden for Smart Card Services-prosjektet.
Tilgangsnøkkel: Med denne metoden bruker brukerne et kort som er arkivert i Lommebok, til å autentisere seg hos identitetsleverandøren. I likhet med et smartkort må tilgangsnøkkelen være registrert hos identitetsleverandøren.
Enkelte funksjoner, som oppretting av kontoer på forespørsel, krever en bestemt autentiseringsmetode.
Funksjon | Passord | Secure Enclave-støttet nøkkel | Smartkort | Tilgangsnøkkel | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gruppeadministrering |  | | | | |||||||
Automatisert enhetsregistrering | | | |  | |||||||
Autentisert gjestemodus | | | | | |||||||
Kontooppretting ved behov | | | | | |||||||
Synkronisering av passord | | | | | |||||||
Merk: SSO-utvidelsen må støtte den forespurte metoden for å fullføre registreringen. Du kan også bytte metode. En konto som er opprettet med brukernavn og passord, kan for eksempel bytte til en Secure Enclave-støttet nøkkel eller et smartkort etter at påloggingen er fullført.
Platform SSO med automatisert enhetsregistrering
Organisasjoner kan aktivere og håndheve Platform SSO under bruk av Oppsettassistent ved hjelp av automatisert enhetsregistrering. Dette valget fungerer best for enheter med én bruker. macOS oppretter automatisk en lokal konto for brukere som autentiserer registreringen, og gir dem umiddelbart tilgang til støttede innebygde og nettbaserte apper med engangspålogging.
Hvis det er konfigurert, laster macOS ned og installerer utvidelsen og konfigurasjonen for Platform SSO. Dette kan skje før selve registreringen utføres med tjenesten for enhetsregistrering, noe som tillater autentisering av registreringen med SSO, eller etter registreringen når Macen holdes i vent på konfigurasjon-tilstanden. I denne flyten utfører Macen en enhetsregistrering enten i bakgrunnen eller ved å be brukeren om det, og ber brukeren om å autentisere med identitetsleverandøren sin for å fullføre brukerregistreringen. Brukerne kan ikke fortsette uten å fullføre registrering for Platform SSO.
Etter en vellykket autentisering oppretter macOS en lokal konto, og passordet synkroniseres enten med identitetsleverandøren, eller brukeren angir et lokalt passord (når Platform SSO bruker en Secure Enclave-støttet nøkkel). Ved behov kan du håndheve krav til passordkompleksitet for det lokale passordet ved hjelp av Kode-konfigurasjonen.
Hvis det er konfigurert, kan macOS deretter synkronisere profilbildet for pålogging for den lokale kontoen fra identitetsleverandøren.
Du kan bruke Platform SSO under automatisert enhetsregistrering med en håndhevet programvareoppdatering. I dette tilfellet må tjenesten for enhetsadministrering håndheve oppdateringen først.
Hvis brukerkontoen som macOS oppretter, er den eneste på Macen, blir den en administratorkonto. Hvis tjenesten for enhetsadministrering opprettet en administratorkonto ved hjelp av kommandoen for kontokonfigurering, kan du tilordne brukerkontoen andre rettigheter ved hjelp av gruppeadministrasjon for Platform SSO.
Single Sign-on
Siden Platform SSO er en del av utvidbar engangspålogging, logger brukerne på én gang og bruker det autentiseringskjennetegnet til å få tilgang til støttede innebygde og nettbaserte apper.
Hvis kjennetegn mangler, har utløpt eller er mer enn fire timer gamle, vil Platform SSO forsøke å oppdatere dem eller hente nye fra identitetsleverandøren. Du kan også konfigurere hvor lang tid det skal ta (minimum én time, i sekunder) før Platform SSO krever full pålogging i stedet for en oppdatering av kjennetegnet. Standard er 18 timer.
Platform SSO i Systeminnstillinger
Etter å ha registrert seg med Platform SSO, kan brukere kontrollere status for registreringen i Systeminnstillinger > Brukere og grupper > [brukernavn]. Derfra kan de reparere registreringen eller oppdatere autentiseringskjennetegnene sine.
Enhetens registreringsstatus vises i Brukere og grupper > Nettverkskontotjener, og den tilbyr også valget om å utføre en reparasjon.
Synkronisering av passord og påloggingsregler
Hvis du bruker metoden for godkjenning med passord, vil passordet for den lokale brukeren automatisk synkroniseres med identitetsleverandøren når brukeren endrer passordet sitt, enten lokalt eller eksternt. Ved behov vil macOS be brukeren om å oppgi det gamle passordet.
Som standard kreves passordet for den lokale kontoen for å låse opp FileVault, låst skjerm og påloggingsvinduet. Hvis passordet som oppgis ikke stemmer med passordet for den lokale brukerkontoen, forsøker macOS å nå identitetsleverandøren for å utføre en godkjenning i sanntid. Hvis macOS ikke kan nå identitetsleverandøren, eller hvis passordet som oppgis ikke stemmer med passordet som identitetsleverandøren har arkivert, mislykkes godkjenningen.
Med påloggingsregler kan du tillate at passordet for den gjeldende kontoen fra identitetsleverandøren brukes ved disse tre varslingene umiddelbart. Du kan også angi følgende regler for FileVault, låst skjerm og påloggingsvinduet:
Prøv å autentisere.
Hvis dette er konfigurert, forsøkes det å gjennomføre en godkjenning i sanntid hos identitetsleverandøren.
Hvis Macen er på nett, kreves det en vellykket godkjenning hos identitetsleverandøren for å fortsette, selv om Macen er frakoblet etter første forsøk.
Hvis godkjenningen er vellykket, oppdaterer Platform SSO det lokale passordet.
Hvis Macen er frakoblet, kan brukerne bruke passordet til den lokale kontoen.
Krev autentisering.
Hvis dette er konfigurert, kreves det godkjenning i sanntid hos identitetsleverandøren for å gå videre.
Hvis Macen er på nett, kreves det en vellykket godkjenning hos identitetsleverandøren for å fortsette, uavhengig av konfigurert forsinkelsestid ved frakobling.
Hvis godkjenningen er vellykket, oppdaterer Platform SSO det lokale passordet.
Hvis Macen er frakoblet, kan ikke brukere logge på. I slike situasjoner kan du aktivere en forsinkelsestid for frakoblet tilgang og velge det antall dager etter en vellykket pålogging brukeren kan fortsette å bruke passordet for den lokale kontoen.
Du kan definere om alle kontoer som logger på Macen, må administreres av Platform SSO, eller om pålogging med kun lokale kontoer fortsatt er tillatt. Du kan også angi en frist (i dager) etter at regelen er tatt i bruk, før håndhevingen starter. Dette tillater midlertidig bruk av lokale kontoer. Du kan for eksempel midlertidig bruke en administratorkonto opprettet av enhetsadministrasjonstjenesten til å utføre eller reparere registrering av enheter for Platform SSO.
I stedet for autentisering i sanntid kan du også tillate at brukerne bruker Touch ID eller Apple Watch på låst skjerm.
Ved behov kan lokale kontoer (som du definerer) unntas fra påloggingsregler og ikke bes om å registrere seg for Platform SSO.
Gruppeadministrasjon og nettverksautorisering
Platform SSO kan gi detaljert rettighetsadministrering ved å bruke følgende rettigheter for en konto hver gang brukeren autentiseres:
Standard: Kontoen får standard brukerrettigheter.
Administrator: Kontoen legges til i den lokale administratorgruppen.
Grupper: Definer rettigheter etter gruppemedlemskap, som oppdateres hver gang brukeren autentiseres hos identitetsleverandøren.
Når du bruker grupper, får en konto rettigheter basert på medlemskap i følgende:
Administratorgrupper: Hvis kontoen er en del av en oppført gruppe, har den lokal administratortilgang.
Autorisasjonsgrupper: Hvis kontoen er en del av en gruppe som er tilordnet en innebygd eller tilpasset autorisasjonsrettighet, har kontoen rettigheter knyttet til den gruppen. For eksempel bruker macOS følgende autorisasjonsrettigheter:
system.preferences.datetime, som gir kontoen tillatelse til å endre tidsinnstillinger.system.preferences.energysaver, som gir kontoen tillatelse til å endre Strømsparing-innstillinger.system.preferences.network, som gir kontoen tillatelse til å endre nettverksinnstillinger.system.preferences.printing, som gir kontoen tillatelse til å legge til eller fjerne skrivere.
Ytterligere grupper: Tilpassede grupper for macOS eller bestemte apper, som macOS oppretter automatisk i den lokale katalogen (hvis de ikke allerede finnes). Du kan for eksempel bruke en ekstra gruppe i
sudo-konfigurasjonen til å defineresudo-tilgang.
Nettverksautorisering
Platform SSO lar brukere som ikke har en lokal Mac-konto, bruke identitetsleverandør-akkreditiver til autorisering. Disse kontoene bruker samme grupper som gruppeadministrasjon. Hvis kontoen for eksempel er medlem av en av administratorgruppene, kan den utføre forespørsler om administratorgodkjenning. Konfigurer Platform SSO med delte enhetsnøkler for å bruke denne funksjonaliteten.
Nettverksgodkjenning er ikke mulig med godkjenningsforespørsler som krever et sikkert kjennetegn, eiertillatelser eller godkjenning av brukeren som er logget på.
Kontooppretting ved behov
I utrullinger med delte enheter kan brukerne logge på med et smartkort eller IdP-brukernavn og passord for å opprette en lokal konto automatisk.
Du kan oppnå en fullstendig automatisert klargjøring ved å bruke automatisert enhetsregistrering med Auto Advance. Du må opprette den første lokale administratorkontoen ved hjelp av en tjeneste for enhetsadministrering og utføre registrering for Platform SSO i bakgrunnen.
Følgende kreves for å bruke kontooppretting ved behov:
Registrer Macen i en tjeneste for enhetsadministrering som støtter Bootstrap-kjennetegn.
Legg til følgende: en SSO-utvidelseskonfigurasjon med Platform SSO, delte enhetsnøkler og muligheten til å opprette en bruker ved pålogging.
Fullfør Oppsettassistent og opprett en lokal administratorkonto.
Macen må være i påloggingsvinduet med FileVault låst opp og en nettverksforbindelse.
Du kan bruke en valgfri konfigurasjon til å angi hvilket IdP-attributt som skal brukes for det lokale kontonavnet (kortnavn) og det fullstendige navnet. Administratorer kan også angi nøkkelen for kontonavnet til com.apple.PlatformSSO.AccountShortName for å bruke UPN-prefikset.
Du kan også definere hvilke rettigheter som skal brukes for nyopprettede kontoer ved pålogging. De samme valgene for gruppeadministrering er tilgjengelige:
Standard: Kontoen får standard brukerrettigheter.
Administrator: Kontoen legges til i den lokale administratorgruppen.
Grupper: Definer rettigheter etter gruppemedlemskap, som oppdateres hver gang brukeren autentiseres hos identitetsleverandøren.
Autentisert gjestemodus
Autentisert gjestemodus gir en mer strømlinjeformet påloggingsprosess for delte utrullinger, som legekontorer eller skoler, der brukere logger på midlertidig med IdP-akkreditivene sine og ikke trenger en vedvarende lokal konto. Brukeren får standard brukerrettigheter som standard, men du kan endre rettighetene ved hjelp av gruppeadministrasjon for Platform SSO.
Kravene er de samme som ved oppretting av kontoer ved behov, bortsett fra at du konfigurerer Autentisert gjestemodus i stedet for valget om å opprette en bruker ved pålogging.
Når en bruker logger av, sletter macOS alle lokale data for den kontoen, og den delte Macen er klar for at neste bruker kan logge på.
Trykk for å logge på
Trykk for å logge på inkluderer støtte for digitale akkreditiver i Lommebok i macOS. Organisasjoner som allerede bruker digitale adgangskort i Lommebok (slik at brukerne kan låse opp dører med en iPhone eller Apple Watch), kan nå utvide den samme opplevelsen til Mac-pålogging.
Denne autentiseringsmetoden er ekstra nyttig for organisasjoner der flere brukere deler én Mac, inkludert utdanningsinstitusjoner, butikker og helseinstitusjoner.
Med Trykk for å logge på kan brukere autentisere seg på en Mac som er konfigurert for Autentisert gjestemodus, ved å holde iPhonen eller Apple Watch mot en tilkoblet NFC-leser. Dette starter en sikker prosess for Single Sign-on som automatisk autentiserer brukerne til apper og nettsteder, slik at de kan logge på raskt og komme i gang med arbeidet.
Brukerakkreditiver klargjøres som tilgangsnøkler i et Lommebok-kort via en iPhone-app eller nettleser. Disse tilgangsnøklene arkiveres i enhetens Secure Enclave, slik at de blir maskinvarebaserte og krypterte, og slik at de beskyttes mot forsøk på tukling eller uthenting. Ekspressmodus tillater umiddelbar autentisering uten at enheten må vekkes eller låses opp, på samme måte som reisekort fungerer i Lommebok.
For å implementere Trykk for å logge på må Macen være:
konfigurert for Autentisert gjestemodus
utstyrt med en støttet ekstern NFC-leser
Oppretting og administrasjon av tilgangsnøkler krever deltakelse i Apple Wallet Access Program. Du finner mer informasjon om hvordan du oppretter en tilgangsnøkkel, i Provisioning i brukerveiledningen for Apple Wallet Access Program.