Início de sessão único na plataforma para macOS
Com o início de sessão único na plataforma (SSO na plataforma), pode (ou um programador especializado em gestão de identidade) criar extensões de início de sessão único que permitem aos utilizadores usar a conta da sua organização a partir de um fornecedor de identidade (IdP) num Mac durante a configuração inicial.
Funcionalidades
O início de sessão único na plataforma suporta as seguintes funcionalidades:
Ative e aplique o início de sessão único na plataforma durante o registo automatizado de dispositivos para autenticar o registo, iniciar sessão com uma conta Apple gerida e criar um utilizador local.
Ofereça uma experiência de início de sessão único para aplicações nativas e web.
Obtenha informação sobre o início de sessão único na plataforma nas Definições do Sistema.
Sincronize palavras‑passe de contas de utilizador locais com o fornecedor de identidade (IdP) e defina políticas de início de sessão.
Defina permissões de grupo para contas de fornecedor de identidade (IdP) e permita que as pessoas usem contas de fornecedor de identidade (IdP) só de rede em pedidos de autorização.
Crie contas de utilizador locais a pedido ao iniciar sessão com credenciais de uma conta de um fornecedor de identidade (IdP).
Suporte para utilizadores convidados que iniciam sessão temporariamente com as credenciais do fornecedor de identidade (IdP) em computadores Mac partilhados.
Nota: a maioria das funcionalidades requer suporte da extensão do início de sessão único na plataforma. Para saber mais acerca da implementação do início de sessão único na plataforma na sua organização, consulte a documentação do fornecedor de identidade (IdP).
Requisitos
Um Mac com Apple Silicon ou um Mac com processador Intel e Touch ID
Um serviço de gestão de dispositivos que suporte a configuração do perfil de início de sessão único extensível e que inclua definições para o início de sessão único na plataforma.
Uma aplicação que contém uma extensão do início de sessão único na plataforma compatível com o fornecedor de identidade (IdP).
macOS 13 ou posterior
As seguintes funcionalidades têm requisitos de versão adicionais:
Funcionalidade | Versão dos sistemas operativos mínimos compatíveis | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Modo de convidado autenticado | macOS 26 | ||||||||||
Tocar para iniciar sessão | macOS 26 | ||||||||||
Início de sessão único na plataforma durante o registo automático de dispositivos | macOS 26 | ||||||||||
Prefixo UPN como nome de conta local | macOS 15.4 | ||||||||||
Comprovação para identificadores de dispositivo | macOS 15.4 | ||||||||||
Políticas de início de sessão | macOS 15 | ||||||||||
Criação de conta a pedido | macOS 14 | ||||||||||
Gestão de grupos e autorização de rede | macOS 14 | ||||||||||
Início de sessão único na plataforma nas Definições do Sistema | macOS 14 | ||||||||||
Configuração do início de sessão único na plataforma
Para usar o início de sessão único na plataforma, o Mac e cada utilizador têm de se registar no fornecedor de identidade (IdP). Consoante o suporte do fornecedor de identidade (IdP) e a configuração aplicada, o Mac pode efetuar o registo do dispositivo silenciosamente em segundo plano através de:
Um token de registo fornecido na configuração de gestão de dispositivos
Uma comprovação, que fornece uma garantia forte sobre os identificadores do dispositivo (UDID e número de série).
Para manter uma ligação de confiança com o fornecedor de identidade (IdP) independente do utilizador, o início de sessão único na plataforma suporta chaves de dispositivo partilhadas. Sempre que possível, use as chaves de dispositivos partilhadas, uma vez que são necessárias para funcionalidades como o início de sessão único na plataforma durante o registo automático de dispositivos, a criação de contas de utilizador a pedido com base na informação do fornecedor de identidade (IdP), a autorização de rede e o modo de convidado autenticado.
Após o registo bem‑sucedido do dispositivo, o utilizador regista‑se (salvo se a conta de utilizador estiver a usar o modo de convidado autenticado). Se o fornecedor de identidade (IdP) solicitar, o registo do utilizador pode envolver a confirmação do registo pelo utilizador. Para as contas de utilizador locais que o início de sessão único na plataforma cria a pedido, o registo do utilizador ocorre automaticamente em segundo plano.
Nota: se registar um Mac a partir do serviço de gestão de dispositivos, o registo também é anulado do fornecedor de identidade (IdP).
Métodos de autenticação
O início de sessão único na plataforma suporta diferentes métodos de autenticação com um fornecedor de identidade (IdP). O suporte depende do fornecedor de identidade (IdP) e da extensão do início de sessão único na plataforma.
Palavra‑passe: com este método, um utilizador efetua a autenticação com uma palavra‑passe local ou uma palavra‑passe de um fornecedor de identidade (IdP). Também suporta WS‑Trust, que permite ao utilizador autenticar‑se mesmo quando o fornecedor de identidade (IdP) que gere a sua conta seja federado.
Chave suportada pelo Secure Enclave: com este método, um utilizador que inicie sessão no Mac pode usar uma chave suportada pelo Secure Enclave para efetuar a autenticação com o fornecedor de identidade (IdP) sem uma palavra‑passe. O fornecedor de identidade (IdP) configura a chave do Secure Enclave durante o processo de registo do utilizador.
Smart card: com este método, um utilizador efetua a autenticação com o fornecedor de identidade (IdP) utilizando um smart card. Para usar este método, necessita de:
registar o smart card com o fornecedor de identidade (IdP);
configurar o mapeamento de atributos de smart card no Mac.
Para obter detalhes e uma configuração de exemplo do mapeamento de atributos, consulte a página man de projeto dos serviços de smart card.
Tecla de acesso: com este método, os utilizadores usam um cartão armazenado em Apple Wallet para se autenticarem junto do fornecedor de identidade (IdP). Tal como um smart card, a chave de acesso tem de ser registada junto do fornecedor de identidade (IdP).
Algumas funcionalidades, como a criação de contas de utilizador a pedido, requerem a utilização de um método de autenticação específico.
Funcionalidade | Palavra‑passe | Chave suportada pelo Secure Enclave | Smart card | Tecla de acesso | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gestão de grupos |  | | | | |||||||
Registo automático de dispositivos | | | |  | |||||||
Modo de convidado autenticado | | | | | |||||||
Criação de conta a pedido | | | | | |||||||
Sincronização da palavra‑passe | | | | | |||||||
Nota: a extensão de início de sessão único na plataforma tem de suportar o método solicitado para efetuar o registo. A mudança de métodos também é suportada. Por exemplo, quando é criada uma nova conta de utilizador durante o início de sessão com um nome de utilizador e palavra‑passe, essa conta pode depois mudar para usar uma chave ou cartão inteligente suportada pelo Secure Enclave após iniciar sessão com sucesso.
Início de sessão único na plataforma durante o registo automático de dispositivos
As organizações podem ativar e aplicar o início de sessão único na plataforma durante o Assistente de Configuração com o registo automático de dispositivos. Esta opção destina‑se a dispositivos de utilizador único, porque o utilizador que autentica o registo obtém automaticamente uma conta local e pode usar imediatamente o início de sessão único com aplicações nativas e web compatíveis.
O processo funciona da seguinte forma:
O macOS solicita o registo e informa o serviço de gestão de dispositivos de que suporta o início de sessão único na plataforma durante o registo.
O serviço de gestão de dispositivos devolve um erro 403 que inclui informação sobre onde encontrar a configuração do início de sessão único e o pacote que contém uma aplicação com a extensão do início de sessão único.
O macOS descarrega e instala a extensão e configuração do início de sessão único na plataforma.
O macOS configura o início de sessão único na plataforma e efetua o registo do dispositivo. Se a certificação estiver configurada, o registo é efetuado silenciosamente em segundo plano. Depois, o macOS solicita ao utilizador que se autentique junto do fornecedor de identidade (IdP) através de um dos métodos indicados anteriormente para efetuar o registo do utilizador. Os utilizadores não podem continuar sem um registo de início de sessão único na plataforma bem‑sucedido.
O fornecedor de identidade (IdP) trata da autenticação.
Após uma autenticação bem‑sucedida, o fornecedor de identidade (IdP) envia um token de acesso ao macOS.
O macOS usa o token de acesso para autenticar o registo no serviço de gestão de dispositivos e, se federado no mesmo fornecedor de identidade (IdP), pode iniciar sessão na conta Apple gerida do utilizador sem que este tenha de voltar a introduzir as credenciais. Para que funcione, o painel do Assistente de Configuração de iCloud tem de estar visível para o utilizador.
O macOS cria uma conta local e a palavra‑passe é sincronizada com o fornecedor de identidade (IdP) ou o utilizador define uma palavra‑passe local (quando o início de sessão único na plataforma usa uma chave suportada pelo Secure Enclave). Se for necessário, pode aplicar os requisitos de complexidade de palavras‑passe para a palavra‑passe local através da configuração do código.
Se estiver configurado, o macOS pode sincronizar a fotografia de perfil de início de sessão da conta local a partir do fornecedor de identidade (IdP).
Pode usar o início de sessão único na plataforma durante o registo automático de dispositivos com uma atualização de software obrigatória. Neste caso, o serviço de gestão de dispositivos necessita de aplicar a atualização primeiro.
Se a conta de utilizador criada pelo macOS for a única no Mac, passa a ser uma conta de administrador. Se o serviço de gestão de dispositivos criou uma conta de administrador através do comando de configuração de conta, pode atribuir privilégios diferentes à conta de utilizador através da gestão de grupos de início de sessão único na plataforma.
Início de sessão único
Como o início de sessão único na plataforma faz parte do acesso único (SSO) extensível, este oferece as mesmas capacidades de início de sessão único e permite que os utilizadores iniciem sessão uma vez e, depois, usem o token fornecido pela autenticação inicial para se autenticarem em aplicações nativas e web suportadas.
Se os tokens estiverem em falta, tiverem caducado ou tiverem mais de quatro horas, o início de sessão único na plataforma tenta atualizá‑los ou obter novos do fornecedor de identidade (IdP). Além disso, pode configurar uma duração em segundos (mínimo de 1 hora) até que o início de sessão único na plataforma exija um início de sessão completo em vez de uma atualização do token. Por predefinição, é necessário iniciar sessão novamente a cada 18 horas.
Início de sessão único na plataforma nas Definições do Sistema
Depois do início de sessão único na plataforma ser registado, o utilizador pode consultar o estado do registo do utilizador em Definições do Sistema > Utilizadores e grupos > [nome de utilizador]. Se for necessário, podem iniciar a reparação do registo e forçar a atualização do respetivo token de autenticação.
O estado de registo do dispositivo é visível em Utilizadores e Grupos > Servidor de conta em rede e também oferece uma opção para efetuar uma reparação.
Políticas de início de sessão e sincronização da palavra‑passe
Se usar o método de autenticação por palavra‑passe, a palavra‑passe do utilizador local é sincronizada automaticamente com o fornecedor de identidade (IdP) sempre que um utilizador alterar a palavra‑passe, localmente ou remotamente. Se for necessário, o macOS pede a palavra‑passe anterior do utilizador.
Por predefinição, é necessária a palavra‑passe da conta local para desbloquear o FileVault, o ecrã bloqueado e a janela de início de sessão. Se a palavra‑passe introduzida não corresponder à palavra‑passe da conta de utilizador local, o macOS tenta contactar o fornecedor de identidade (IdP) para efetuar uma autenticação em tempo real. Se o macOS não conseguir aceder ao fornecedor de identidade (IdP) ou se a palavra‑passe introduzida não corresponder à palavra‑passe armazenada pelo fornecedor de identidade (IdP), a autenticação falha.
Com as políticas de início de sessão, pode permitir imediatamente a utilização da palavra‑passe da conta atual do fornecedor de identidade (IdP) nesses três pedidos. Também pode definir as seguintes políticas individualmente para o FileVault, o ecrã bloqueado e a janela de início de sessão:
Tentar autenticação.
Se estiver configurado, é efetuada uma tentativa de autenticação em tempo real com o fornecedor de identidade (IdP).
Se o Mac estiver online, é necessária uma autenticação bem‑sucedida com o fornecedor de identidade (IdP) para continuar, mesmo que o Mac esteja offline após a primeira tentativa.
Se a autenticação for bem‑sucedida, o início de sessão único na plataforma atualiza a palavra‑passe local.
Se o Mac estiver offline, o utilizador pode usar a palavra‑passe da conta local.
Pedir autenticação.
Se estiver configurado, é necessária a autenticação em tempo real com o fornecedor de identidade (IdP) para continuar.
Se o Mac estiver online, é necessária uma autenticação bem‑sucedida com o fornecedor de identidade (IdP) para continuar, independentemente de existir um período de tolerância configurado para o modo offline.
Se a autenticação for bem‑sucedida, o início de sessão único na plataforma atualiza a palavra‑passe local.
Se o Mac estiver offline, os utilizadores não podem iniciar sessão. Nesses casos, pode ativar um período de tolerância offline e defini‑lo para o número de dias após um início de sessão anterior bem‑sucedido, durante o qual o utilizador pode continuar a usar a palavra‑passe da conta local.
Pode definir se qualquer conta que inicie sessão no Mac deve ser gerida pelo início de sessão único na plataforma ou se ainda é permitido iniciar sessão com contas locais. Também é possível definir o número de dias após a aplicação ou atualização da política até que esta definição seja aplicada. Permite o uso temporário de contas locais. Por exemplo, pode usar temporariamente uma conta de administrador criada pelo serviço de gestão de dispositivos para efetuar ou reparar o registo do dispositivo de início de sessão único na plataforma.
Em vez da autenticação em tempo real, também pode permitir que os utilizadores usem o Touch ID ou o Apple Watch no ecrã bloqueado.
Se for necessário, as contas locais (definidas por si) podem ser isentas das políticas de início de sessão e não ser solicitadas a registarem‑se para o início de sessão único na plataforma.
Gestão de grupos e autorização de rede
O início de sessão único na plataforma oferece uma gestão granular de direitos para proporcionar aos utilizadores o nível adequado de privilégios de que necessitam no Mac. Para isso, o início de sessão único na plataforma pode aplicar os seguintes privilégios a uma conta sempre que o utilizador se autenticar:
Padrão: a conta obtém privilégios de utilizador padrão.
Administrador: adiciona a conta ao grupo de administradores local.
Grupos: defina privilégios através da adesão a grupos, que são atualizados sempre que o utilizador se autentica junto do fornecedor de identidade (IdP).
Quando usa grupos, uma conta obtém privilégios com base na adesão aos seguintes:
Grupos de administradores: se a conta fizer parte de um grupo listado, tem acesso de administrador local.
Grupos de autorização: se a conta fizer parte de um grupo atribuído a um direito de autorização integrado ou definido pelo utilizador, então a conta tem privilégios associados a esse grupo. Por exemplo, o macOS usa os seguintes direitos de autorização:
system.preferences.datetime, que permite à conta modificar as definições de hora.system.preferences.energysaver, que permite à conta modificar as definições de poupança de energia.system.preferences.network, que permite à conta modificar as definições de rede.system.preferences.printing, que permite à conta adicionar ou remover impressoras.
Grupos adicionais: grupos personalizados definidos para o macOS ou aplicações específicas, que o macOS cria automaticamente dentro do diretório local (se ainda não existirem). Por exemplo, pode usar um grupo adicional na configuração
sudopara definir o acessosudo.
Autorização de rede
O início de sessão único na plataforma expande a utilização das credencias do fornecedor de identidade (IdP) aos utilizadores que não têm uma conta de utilizador local no Mac para fins de autorização. Estas contas usam os mesmos grupos que a gestão de grupos. Por exemplo, se a conta pertencer a um dos grupos de administradores, pode efetuar pedidos de autorização de administrador. Para usar esta funcionalidade, configure o início de sessão único na plataforma com chaves de dispositivo partilhadas.
Não é possível a autorização de rede com avisos de autorização que requerem tokens seguros, permissões de propriedade ou autenticação pelo utilizador com sessão iniciada atualmente.
Criação de conta a pedido
Para facilitar a gestão de contas nas implementações partilhadas, os utilizadores podem usar o nome de utilizador e a palavra‑passe do fornecedor de identidade (IdP) ou um smart card para iniciar sessão num Mac para criar uma conta local.
Pode obter um processo de fornecimento totalmente automatizado com o registo automático de dispositivos e o avanço automático. É necessário criar a primeira conta de administrador local através de um serviço de gestão de dispositivos e efetuar o registo silencioso de início de sessão único na plataforma.
Para usar a criação de contas a pedido, necessita do seguinte:
Registe o Mac num serviço de gestão de dispositivos que suporte tokens bootstrap.
Adicione o seguinte: uma configuração da extensão de início de sessão único com o início de sessão único na plataforma, chaves de dispositivo partilhadas e a opção para criar um utilizador ao iniciar sessão.
Conclua o Assistente de Configuração e crie uma conta de administrador local.
O Mac tem de estar na janela de início de sessão com o FileVault desbloqueado e com ligação estabelecida à rede.
Usando uma opção de configuração opcional, pode definir qual o atributo do fornecedor de identidade (IdP) que pretende usar para o nome da conta local (frequentemente chamado nome curto do utilizador) e nome completo. Os administradores também podem definir a chave para o nome de conta como com.apple.PlatformSSO.AccountShortName para usar o prefixo UPN.
Além disso, pode definir os privilégios a aplicar às contas criadas recentemente no início de sessão. Estão disponíveis as mesmas opções de gestão de grupos:
Padrão: a conta obtém privilégios de utilizador padrão.
Administrador: adiciona a conta ao grupo de administradores local.
Grupos: defina privilégios através da adesão a grupos, que são atualizados sempre que o utilizador se autentica junto do fornecedor de identidade (IdP).
Modo de convidado autenticado
O modo de convidado autenticado proporciona uma experiência de início de sessão mais rápida para implementações partilhadas, como consultórios médicos ou escolas, onde não é necessário criar uma conta local para diferentes utilizadores, porque basta iniciar sessão com as credenciais do fornecedor de identidade (IdP) durante um curto período de tempo. O utilizador obtém privilégios de utilizador padrão por predefinição, mas pode alterar esses privilégios através da gestão de grupos de início de sessão único na plataforma.
Para usar esta funcionalidade, necessita dos mesmos requisitos da criação de conta a pedido, mas, em vez da opção para criar um utilizador ao iniciar sessão, configura o modo de convidado autenticado.
Quando um utilizador termina sessão, o macOS apaga todos os dados locais dessa conta e o Mac partilhado fica pronto para o início de sessão do próximo utilizador.
Tocar para iniciar sessão
A funcionalidade “Tocar para iniciar sessão” estende a funcionalidade de credenciais digitais da aplicação Carteira ao macOS. Nos últimos anos, as organizações têm adotado cartões digitais na aplicação Carteira, permitindo aos utilizadores destrancar portas com um simples toque num iPhone ou Apple Watch, sem necessidade do cartão físico. Esta mesma experiência está disponível num Mac.
Este método de autenticação é particularmente útil para organizações que partilham um Mac entre vários utilizadores, incluindo instituições de ensino, ambientes de retalho e instalações de saúde.
Com a funcionalidade “Tocar para iniciar sessão”, os utilizadores podem autenticar‑se num Mac configurado para o modo de convidado autenticado quando aproximam o iPhone ou o Apple Watch de um leitor NFC ligado. Este processo inicia um processo de início de sessão único seguro que autentica automaticamente os utilizadores nas respetivas aplicações e sites, permitindo‑lhes iniciar sessão rapidamente e começar de imediato a trabalhar.
As credenciais de utilizador são fornecidas como chaves de acesso num cartão da aplicação Carteira através de uma aplicação ou navegador do iPhone. Estas chaves de acesso são armazenadas no Secure Enclave do dispositivo, o que significa que são protegidas por hardware e cifradas, e ajudam a proteger contra tentativas de adulteração ou extração. A funcionalidade do modo expresso aumenta a conveniência ao permitir a autenticação imediata sem solicitar que o dispositivo seja desbloqueado ou ativado, tal como acontece com os passes de transportes públicos na aplicação Carteira.
Para implementar a funcionalidade “Tocar para iniciar sessão”, o Mac tem de:
Configurado para modo de convidado autenticado
Equipado com um leitor NFC externo compatível
A criação e gestão de chaves de acesso requer a participação no Programa de acesso à aplicação Carteira da Apple. Encontrará mais informação sobre como criar uma chave de acesso em Fornecimento no Manual do Programa de Acesso da aplicação Carteira.