Início de sessão único na plataforma para macOS
Visão geral
Com início de sessão único na plataforma (SSO na plataforma), pode (ou um programador especializado em gestão de identidade pode) criar extensões de início de sessão único que permitem aos utilizadores autenticarem‑se com a conta do fornecedor de identidade (IdP) da sua organização num Mac durante o Assistente de configuração. O início de sessão único na plataforma pode ser combinado com outras extensões de início de sessão único tendo em conta o seguinte:
Um domínio específico só pode ser tratado por uma única extensão de início de sessão único.
É necessário definir
syncLocalPasswordcomofalsena configuração de início de sessão único Kerberos.
Funcionalidades
O início de sessão único na plataforma suporta as seguintes funcionalidades:
Ative e aplique o início de sessão único na plataforma durante o registo automatizado de dispositivos para autenticar o registo, iniciar sessão com uma conta Apple gerida e criar um utilizador local.
Ofereça uma experiência de início de sessão único para aplicações nativas e web.
Veja o estado e os detalhes de registo do início de sessão único na plataforma nas Definições do Sistema.
Sincronize palavras‑passe de contas de utilizador locais com o fornecedor de identidade (IdP) e defina políticas de início de sessão.
Defina permissões de grupo para contas de fornecedor de identidade (IdP) e permita que as pessoas usem contas de fornecedor de identidade (IdP) só de rede em pedidos de autorização.
Crie contas de utilizador locais a pedido ao iniciar sessão com credenciais de uma conta de um fornecedor de identidade (IdP).
Suporte para utilizadores convidados que iniciam sessão temporariamente com as credenciais do fornecedor de identidade (IdP) em computadores Mac partilhados.
Nota: a maioria das funcionalidades requer suporte da extensão do início de sessão único na plataforma. Para saber mais acerca da implementação do início de sessão único na plataforma na sua organização, consulte a documentação do fornecedor de identidade (IdP).
Requisitos
Um Mac com Apple Silicon ou um Mac com processador Intel e Touch ID
Um serviço de gestão de dispositivos que suporte a configuração do perfil de início de sessão único extensível e que inclua definições para o início de sessão único na plataforma.
Uma aplicação que contém uma extensão do início de sessão único na plataforma compatível com o fornecedor de identidade (IdP).
macOS 13 ou posterior
As seguintes funcionalidades têm requisitos de versão adicionais:
Funcionalidade | Versão dos sistemas operativos mínimos compatíveis | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Modo de convidado autenticado | macOS 26 | ||||||||||
Tocar para iniciar sessão | macOS 26 | ||||||||||
Início de sessão único na plataforma durante o registo automático de dispositivos | macOS 26 | ||||||||||
Prefixo UPN como nome de conta local | macOS 15.4 | ||||||||||
Comprovação para identificadores de dispositivo | macOS 15.4 | ||||||||||
Políticas de início de sessão | macOS 15 | ||||||||||
Criação de conta a pedido | macOS 14 | ||||||||||
Gestão de grupos e autorização de rede | macOS 14 | ||||||||||
Início de sessão único na plataforma nas Definições do Sistema | macOS 14 | ||||||||||
Configurar início de sessão único (SSO) na plataforma
Para usar o início de sessão único na plataforma, o Mac e cada utilizador têm de se registar no fornecedor de identidade (IdP). Consoante o suporte do fornecedor de identidade (IdP) e a configuração aplicada, o Mac pode efetuar o registo do dispositivo silenciosamente em segundo plano através de:
Um token de registo do fornecedor de identidade (IdP) fornecido na configuração de início de sessão único extensível.
Uma comprovação, que fornece uma garantia forte de que o Mac é um dispositivo Apple genuíno e pode incluir opcionalmente os identificadores do dispositivo (UDID e número de série).
Para manter uma ligação de confiança com o fornecedor de identidade (IdP) independente do utilizador, o início de sessão único na plataforma suporta chaves de dispositivo partilhadas. Utilize sempre que possível as chaves de dispositivos partilhados, que são necessárias para o registo automático de dispositivos, a criação de contas a pedido, a autorização de rede e o modo de convidado autenticado.
Depois de o dispositivo registar‑se com êxito, o utilizador também regista‑se, salvo se a conta estiver a usar o modo de convidado autenticado. Se o fornecedor de identidade (IdP) o solicitar, o utilizador pode ser convidado a confirmar o registo. Para as contas locais a pedido, o início de sessão único na plataforma regista o utilizador automaticamente em segundo plano.
Nota: se anular a inscrição de um Mac a partir do serviço de gestão de dispositivos, o registo também é anulado do fornecedor de identidade (IdP).
Métodos de autenticação
O início de sessão único na plataforma suporta diferentes métodos de autenticação com um fornecedor de identidade (IdP). O suporte depende do fornecedor de identidade (IdP) e da extensão do início de sessão único na plataforma.
Palavra‑passe: com este método, um utilizador efetua a autenticação com uma palavra‑passe local ou uma palavra‑passe de um fornecedor de identidade (IdP). Também suporta WS‑Trust, que permite ao utilizador autenticar‑se mesmo quando o fornecedor de identidade (IdP) que gere a sua conta seja federado.
Chave suportada pelo Secure Enclave: com este método, um utilizador que inicie sessão no Mac pode usar uma chave suportada pelo Secure Enclave para efetuar a autenticação com o fornecedor de identidade (IdP) sem uma palavra‑passe. O fornecedor de identidade (IdP) configura a chave do Secure Enclave durante o processo de registo do utilizador.
Smart card: com este método, um utilizador efetua a autenticação com o fornecedor de identidade (IdP) utilizando um smart card. Para usar este método, necessita de:
registar o smart card com o fornecedor de identidade (IdP);
configurar o mapeamento de atributos de smart card no Mac.
Para obter detalhes e uma configuração de exemplo do mapeamento de atributos, consulte a página man de projeto dos serviços de smart card.
Tecla de acesso: com este método, os utilizadores usam um cartão armazenado em Apple Wallet para se autenticarem junto do fornecedor de identidade (IdP). Tal como um smart card, a chave de acesso tem de ser registada junto do fornecedor de identidade (IdP).
Algumas funcionalidades, como a criação de contas a pedido, requerem um método de autenticação específico.
Funcionalidade | Palavra‑passe | Chave suportada pelo Secure Enclave | Smart card | Tecla de acesso | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gestão de grupos |  | | | | |||||||
Registo automático de dispositivos | | | |  | |||||||
Modo de convidado autenticado | | | | | |||||||
Criação de conta a pedido | | | | | |||||||
Sincronização da palavra‑passe | | | | | |||||||
Nota: a extensão de início de sessão único na plataforma tem de suportar o método solicitado para concluir o registo. Também pode mudar de método, por exemplo, uma conta criada com um nome de utilizador e palavra‑passe pode mudar para usar uma chave ou cartão inteligente suportada pelo Secure Enclave após iniciar sessão com sucesso.
Início de sessão único na plataforma com o registo automático de dispositivos
As organizações podem ativar e aplicar o início de sessão único na plataforma durante o Assistente de Configuração com o registo automático de dispositivos. Esta opção funciona melhor em dispositivos para um único utilizador. O macOS cria automaticamente uma conta local para o utilizador que autentica a inscrição, dando‑lhe acesso de início de sessão único imediato a aplicações nativas e web suportadas.
Se estiver configurado, o macOS descarrega e instala a extensão e a configuração do início de sessão único na plataforma. Isto pode acontecer antes de efetuar o registo real com o serviço de gestão de dispositivos que permite autenticar o registo com o início de sessão único ou depois do registo, quando o Mac é mantido no estado de aguardar configuração. Durante este fluxo, o Mac efetua o registo do dispositivo silenciosamente ou solicita ao utilizador que o faça e solicita ao utilizador que se autentique junto do fornecedor de identidade (IdP) para efetuar o registo do utilizador. Os utilizadores não podem continuar sem um registo de início de sessão único na plataforma bem‑sucedido.
Depois de uma autenticação bem‑sucedida, o macOS cria uma conta local e a palavra‑passe é sincronizada com o fornecedor de identidade (IdP), ou o utilizador define uma palavra‑passe local (quando o início de sessão único na plataforma usa uma chave suportada pelo Secure Enclave). Se for necessário, pode aplicar os requisitos de complexidade de palavras‑passe para a palavra‑passe local através da configuração do código.
Se estiver configurado, o macOS pode sincronizar a fotografia de perfil de início de sessão da conta local a partir do fornecedor de identidade (IdP).
Pode usar o início de sessão único na plataforma durante o registo automático de dispositivos com uma atualização de software obrigatória. Neste caso, o serviço de gestão de dispositivos necessita de aplicar a atualização primeiro.
Se a conta de utilizador criada pelo macOS for a única no Mac, passa a ser uma conta de administrador. Se o serviço de gestão de dispositivos criou uma conta de administrador através do comando de configuração de conta, pode atribuir privilégios diferentes à conta de utilizador através da gestão de grupos de início de sessão único na plataforma.
início de sessão único
Como o início de sessão único na plataforma faz parte do início de sessão único extensível, os utilizadores iniciam sessão uma vez e utilizam esse token de autenticação para aceder a aplicações nativas e web suportadas.
Se os tokens estiverem em falta, tiverem caducado ou tiverem mais de quatro horas, o início de sessão único na plataforma tenta atualizá‑los ou obter novos do fornecedor de identidade (IdP). Também pode configurar o tempo que decorre (mínimo de uma hora, em segundos) até que o início de sessão único na plataforma exija um início de sessão completo em vez de uma atualização do token. O valor predefinido é 18 horas.
Início de sessão único na plataforma nas Definições do Sistema
Depois de registarem com o início de sessão único na plataforma, os utilizadores podem consultar o estado do registo em Definições do Sistema > Utilizadores e grupos > [nome de utilizador]. A partir daí, podem reparar o registo ou atualizar o respetivo token de autenticação.
O estado de registo do dispositivo é visível em Utilizadores e Grupos > Servidor de conta em rede e também oferece uma opção para efetuar uma reparação.
Políticas de início de sessão e sincronização da palavra‑passe
Se usar o método de autenticação por palavra‑passe, a palavra‑passe do utilizador local é sincronizada automaticamente com o fornecedor de identidade (IdP) sempre que um utilizador alterar a palavra‑passe, localmente ou remotamente. Se for necessário, o macOS pede a palavra‑passe anterior do utilizador.
Por predefinição, é necessária a palavra‑passe da conta local para desbloquear o FileVault, o ecrã bloqueado e a janela de início de sessão. Se a palavra‑passe introduzida não corresponder à palavra‑passe da conta de utilizador local, o macOS tenta contactar o fornecedor de identidade (IdP) para efetuar uma autenticação em tempo real. Se o macOS não conseguir aceder ao fornecedor de identidade (IdP) ou se a palavra‑passe introduzida não corresponder à palavra‑passe armazenada pelo fornecedor de identidade (IdP), a autenticação falha.
Com as políticas de início de sessão, pode permitir imediatamente a utilização da palavra‑passe da conta atual do fornecedor de identidade (IdP) nesses três pedidos. Também pode definir as seguintes políticas individualmente para o FileVault, o ecrã bloqueado e a janela de início de sessão:
Tentar autenticação.
Se estiver configurado, é efetuada uma tentativa de autenticação em tempo real com o fornecedor de identidade (IdP).
Se o Mac estiver online, é necessária uma autenticação bem‑sucedida com o fornecedor de identidade (IdP) para continuar, mesmo que o Mac esteja offline após a primeira tentativa.
Se a autenticação for bem‑sucedida, o início de sessão único na plataforma atualiza a palavra‑passe local.
Se o Mac estiver offline, o utilizador pode usar a palavra‑passe da conta local.
Pedir autenticação.
Se estiver configurado, é necessária a autenticação em tempo real com o fornecedor de identidade (IdP) para continuar.
Se o Mac estiver online, é necessária uma autenticação bem‑sucedida com o fornecedor de identidade (IdP) para continuar, independentemente de existir um período de tolerância configurado para o modo offline.
Se a autenticação for bem‑sucedida, o início de sessão único na plataforma atualiza a palavra‑passe local.
Se o Mac estiver offline, os utilizadores não podem iniciar sessão. Nesses casos, pode ativar um período de tolerância offline e defini‑lo para o número de dias após um início de sessão anterior bem‑sucedido, durante o qual o utilizador pode continuar a usar a palavra‑passe da conta local.
Pode definir se qualquer conta que inicie sessão no Mac deve ser gerida pelo início de sessão único na plataforma ou se ainda é permitido iniciar sessão com contas locais. Também pode definir um período de tolerância (em dias) após a aplicação da política antes de iniciar a aplicação. Permite o uso temporário de contas locais. Por exemplo, pode usar temporariamente uma conta de administrador criada pelo serviço de gestão de dispositivos para efetuar ou reparar o registo do dispositivo de início de sessão único na plataforma.
Em vez da autenticação em tempo real, também pode permitir que os utilizadores usem o Touch ID ou o Apple Watch no ecrã bloqueado.
Se for necessário, as contas locais (definidas por si) podem ser isentas das políticas de início de sessão e não ser solicitadas a registarem‑se para o início de sessão único na plataforma.
Gestão de grupos e autorização de rede
O início de sessão único na plataforma pode proporcionar uma gestão granular de direitos aplicando os seguintes privilégios a uma conta sempre que o utilizador se autenticar:
Padrão: a conta obtém privilégios de utilizador padrão.
Administrador: adiciona a conta ao grupo de administradores local.
Grupos: defina privilégios através da adesão a grupos, que são atualizados sempre que o utilizador se autentica junto do fornecedor de identidade (IdP).
Quando usa grupos, uma conta obtém privilégios com base na adesão aos seguintes:
Grupos de administradores: se a conta fizer parte de um grupo listado, tem acesso de administrador local.
Grupos de autorização: se a conta fizer parte de um grupo atribuído a um direito de autorização integrado ou definido pelo utilizador, então a conta tem privilégios associados a esse grupo. Por exemplo, o macOS usa os seguintes direitos de autorização:
system.preferences.datetime, que permite à conta modificar as definições de hora.system.preferences.energysaver, que permite à conta modificar as definições de poupança de energia.system.preferences.network, que permite à conta modificar as definições de rede.system.preferences.printing, que permite à conta adicionar ou remover impressoras.
Grupos adicionais: grupos personalizados definidos para o macOS ou aplicações específicas, que o macOS cria automaticamente dentro do diretório local (se ainda não existirem). Por exemplo, pode usar um grupo adicional na configuração
sudopara definir o acessosudo.
Autorização de rede
O início de sessão único na plataforma permite aos utilizadores que não têm uma conta de utilizador local no Mac usar as credenciais do fornecedor de identidade (IdP) para fins de autorização. Estas contas usam os mesmos grupos que a gestão de grupos. Por exemplo, se a conta pertencer a um dos grupos de administradores, pode efetuar pedidos de autorização de administrador. Para usar esta funcionalidade, configure o início de sessão único na plataforma com chaves de dispositivo partilhadas.
Não é possível a autorização de rede com avisos de autorização que requerem tokens seguros, permissões de propriedade ou autenticação pelo utilizador com sessão iniciada atualmente.
Criação de conta a pedido
Nas implementações partilhadas, os utilizadores podem iniciar sessão com o nome de utilizador e a palavra‑passe do fornecedor de identidade (IdP) ou um smart card para criar automaticamente uma conta local.
Pode obter um processo de fornecimento totalmente automatizado com o registo automático de dispositivos e o avanço automático. É necessário criar a primeira conta de administrador local através de um serviço de gestão de dispositivos e efetuar o registo silencioso de início de sessão único na plataforma.
Para usar a criação de contas a pedido, necessita do seguinte:
Registe o Mac num serviço de gestão de dispositivos que suporte tokens bootstrap.
Adicione o seguinte: uma configuração da extensão de início de sessão único com o início de sessão único na plataforma, chaves de dispositivo partilhadas e a opção para criar um utilizador ao iniciar sessão.
Conclua o Assistente de Configuração e crie uma conta de administrador local.
O Mac tem de estar na janela de início de sessão com o FileVault desbloqueado e com ligação estabelecida à rede.
Usando uma opção de configuração opcional, pode especificar qual o atributo do fornecedor de identidade (IdP) que pretende usar para o nome da conta local (nome curto) e nome completo. Os administradores também podem definir a chave para o nome de conta como com.apple.PlatformSSO.AccountShortName para usar o prefixo UPN.
Além disso, pode definir os privilégios a aplicar às contas criadas recentemente no início de sessão. Estão disponíveis as mesmas opções de gestão de grupos:
Padrão: a conta obtém privilégios de utilizador padrão.
Administrador: adiciona a conta ao grupo de administradores local.
Grupos: defina privilégios através da adesão a grupos, que são atualizados sempre que o utilizador se autentica junto do fornecedor de identidade (IdP).
Modo de convidado autenticado
O modo de convidado autenticado proporciona uma experiência de início de sessão mais rápida para implementações partilhadas, como consultórios médicos ou escolas, onde os utilizadores iniciam sessão temporariamente com as credenciais do fornecedor de identidade (IdP) e não precisam de uma conta local persistente. O utilizador obtém privilégios de utilizador padrão por predefinição, mas pode alterar esses privilégios através da gestão de grupos de início de sessão único na plataforma.
Os requisitos são os mesmos da criação de contas a pedido, exceto que configura o modo de convidado autenticado em vez da opção para criar um utilizador ao iniciar sessão.
Quando um utilizador termina sessão, o macOS apaga todos os dados locais dessa conta e o Mac partilhado fica pronto para o início de sessão do próximo utilizador.
Tocar para iniciar sessão
A funcionalidade “Tocar para iniciar sessão” adiciona suporte de credenciais digitais da aplicação Carteira ao macOS. As organizações que já utilizam cartões digitais na aplicação Carteira (que permitem aos utilizadores destrancar portas com um iPhone ou Apple Watch) podem agora estender essa mesma experiência ao início de sessão no Mac.
Este método de autenticação é particularmente útil para organizações que partilham um Mac entre vários utilizadores, incluindo instituições de ensino, ambientes de retalho e instalações de saúde.
Com a funcionalidade “Tocar para iniciar sessão”, os utilizadores podem autenticar‑se num Mac configurado para o modo de convidado autenticado quando aproximam o iPhone ou o Apple Watch de um leitor NFC ligado. Este processo inicia um processo de início de sessão único seguro que autentica automaticamente os utilizadores nas respetivas aplicações e sites, permitindo‑lhes iniciar sessão rapidamente e começar de imediato a trabalhar.
As credenciais de utilizador são fornecidas como chaves de acesso num cartão da aplicação Carteira através de uma aplicação ou navegador do iPhone. Estas chaves de acesso são armazenadas no Secure Enclave do dispositivo, o que significa que são protegidas por hardware e cifradas, e ajudam a proteger contra tentativas de adulteração ou extração. O modo expresso permite a autenticação imediata sem solicitar que o dispositivo seja desbloqueado ou ativado, tal como acontece com os passes de transportes públicos na aplicação Carteira.
Para implementar a funcionalidade “Tocar para iniciar sessão”, o Mac tem de:
Configurado para modo de convidado autenticado
Equipado com um leitor NFC externo compatível
A criação e gestão de chaves de acesso requer a participação no Programa de Acesso da aplicação Carteira. Encontrará mais informação sobre como criar uma chave de acesso em Fornecimento no Manual do Programa de Acesso da aplicação Carteira.