Início de sessão único na plataforma para macOS
Com o início de sessão único na plataforma (SSO na plataforma), os programadores podem desenvolver extensões de início de sessão único que abrangem a janela de início de sessão do macOS, permitindo que os utilizadores sincronizem as credenciais da conta local com um fornecedor de identidade (IdP). A palavra-passe da conta local é automaticamente mantida em sincronização, para que a palavra-passe da nuvem e as palavras-passe locais coincidam. Os utilizadores também podem desbloquear o Mac com o Touch ID e o Apple Watch.
O início de sessão único na plataforma requer o seguinte:
macOS 13 ou posterior.
Uma solução de gestão de dispositivos móveis (MDM) que suporte a carga útil de perfil de início de sessão único extensível e que inclua suporte para o início de sessão único na plataforma.
Suporte do IdP para o protocolo de autenticação de início de sessão único na plataforma.
Um dos dois tipos de métodos de autenticação suportados:
Authentication with a Secure Enclave–backed key (Autenticação com uma chave suportada por Secure Enclave): com este método, um utilizador que inicie sessão no Mac pode usar uma chave suportada pelo Secure Enclave para efetuar a autenticação com o IdP sem uma palavra-passe. A chave do Secure Enclave é configurada com o IdP durante o processo de registo.
Password authentication (Autenticação de palavra‑passe): com este método, um utilizador efetua a autenticação com uma palavra-passe local ou uma palavra-passe de IdP.
Nota: se o registo do Mac for anulado da solução MDM, o registo também é anulado do IdP.
Federação WS-Trust
A federação WS-Trust é suportada no macOS 13.3 ou posterior. Isso permite que o início de sessão único na plataforma efetue a autenticação de utilizadores com sucesso quando a conta é gerida por um IdP federado com Microsoft Entra ID.
Funcionalidades adicionais de início de sessão único na plataforma no macOS 14
User enrollment and registration status in System Settings (Estado do registo do utilizador e do registo nas Definições do Sistema): os utilizadores podem registar o dispositivo ou a conta de utilizador para utilização com o início de sessão único nas Definições do Sistema. O elemento do menu também apresenta o estado atual do registo e indica quaisquer erros que possam ter ocorrido, fornecendo a transparência melhorada do utilizador. Isso informa o utilizador se o registo necessita de ser realizado novamente.
Local account creation by users (Criação de conta local pelos utilizadores): para facilitar a gestão de contas nas implementações partilhadas, os utilizadores podem usar o nome de utilizador e a palavra-passe do IdP ou um smart card para iniciar sessão num Mac com FileVault desbloqueado e criar uma conta local. A nova chave
TokenToUserMapping
pode ser usada para definir que atributo fornecido pelo IdP é usado para selecionar o nome de utilizador local. Para usar esta funcionalidade, o seguinte é necessário:O Assistente de Configuração tem de ser concluído e uma conta de administrador local inicial tem de ser criada.
Os dispositivos têm de ser registados numa solução MDM que suporte tokens bootstrap.
É necessário que o Mac do utilizador tenha uma carga útil de início de sessão único extensível com o início de sessão único na plataforma com as opções
UseSharedDeviceKeys
eEnableCreateUserAtLogin
ativadas.O suporte para smart card requer que o smart card seja registado com o IdP e que exista um mapeamento de atributos de smart card configurados no Mac.
Using nonlocal IdP user accounts at authorization prompts (Usar contas de utilizador de IdP não locais nos avisos de autorização): o início de sessão único na plataforma expande a utilização das credencias de IdP aos utilizadores que não têm uma conta de utilizador local no Mac para fins de autorização. Estas contas usam os mesmos grupos que a gestão de grupos. Por exemplo, se o utilizador for um membro de um dos grupos de administrador, a conta pode ser usada em avisos de autorização do administrador do macOS. Isso exclui quaisquer avisos de autorização que requerem tokens seguros, permissões de propriedade ou autenticação pelo utilizador com sessão iniciada atualmente.
Updating group membership of users when they authenticate with their IdP (Atualização da adesão a grupos pelos utilizadores quando efetuam a autenticação com o seu IdP): a adesão a grupos pode ser usada para gerir as permissões de utilizadores de IdP no macOS de forma granular. Sempre que um utilizador se autentique com o IdP, a sua adesão a grupos é atualizada. Há três chaves em sequência disponíveis para definir a adesão a grupos:
AdministratorGroups: se o utilizador fizer parte de um grupo listado nesta sequência, terá acesso de administrador local.
AuthorizationGroups: grupos específicos usados para gerir direitos de autorização integrados ou com definições personalizadas. O direito é concedido a todos os utilizadores que fazem parte do grupo especificado. Por exemplo, a adesão num grupo atribuído ao direito de autorização
system.preferences.network
permite que os utilizadores modifiquem as definições de rede ousystem.preferences.printing
permite que os utilizadores modifiquem as definições de impressão.AdditionalGroups: pode ser usado pelo sistema operativo, por exemplo, para definir o acesso
sudo
. Uma entrada nesta sequência cria um grupo dentro do diretório local se o grupo não existir.