Autentificarea unică la nivel de platformă pentru macOS
Cu autentificarea unică (SSO) la nivel de platformă, dvs. (sau un dezvoltator specializat în gestionarea identităților) puteți construi extensii SSO care permit utilizatorilor să utilizeze contul organizației dvs. de la un furnizor de identitate (IdP) pe un Mac în timpul configurării inițiale.
Funcționalități
Platforma SSO este compatibilă cu următoarele funcționalități:
Activați și impuneți „SSO platformă” în timpul înscrierii automate a dispozitivului pentru a autentifica înscrierea, conectați‑vă cu un cont Apple gestionat și creați un utilizator local.
Oferiți o experiență de autentificare unică pentru aplicațiile native și web.
Obțineți informații despre „SSO platformă” în Configurări sistem.
Sincronizați parolele conturilor de utilizator local cu IdP‑ul și definiți politicile de autentificare.
Definiți permisiunile de grup ale conturilor IdP și permiteți persoanelor să utilizeze conturi IdP numai la nivel de rețea la solicitările de autorizare.
Creați conturi de utilizator local la cerere, la efectuarea de login cu acreditările unui cont IdP.
Acceptați utilizatori oaspeți care se efectuează login temporar cu acreditările IdP proprii pe computerele Mac partajate.
Notă: majoritatea funcționalităților necesită asistență din extensia SSO. Pentru a afla mai multe despre implementarea „SSO platformă” în organizația dvs., consultați documentația furnizată de IdP.
Cerințe
Un Mac cu cip Apple sau un Mac cu procesor Intel cu Touch ID
Un serviciu de gestionare a dispozitivelor compatibil cu configurația Autentificare unică extensibilă, care include configurări pentru „SSO platformă”
O aplicație care conține o extensie „SSO platformă” compatibilă cu IdP
macOS 13 sau ulterior
Următoarele funcționalități au cerințe suplimentare legate de versiune:
Funcționalitate | Versiune minimă acceptată a sistemului de operare | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Mod Oaspete autentificat | macOS 26 | ||||||||||
Atingeți pentru a efectua login | macOS 26 | ||||||||||
„SSO platformă” în timpul înscrierii automate a dispozitivului | macOS 26 | ||||||||||
Prefix UPN ca nume de cont local | macOS 15.4 | ||||||||||
Atestare pentru identificatorii de dispozitiv | macOS 15.4 | ||||||||||
Politici de login | macOS 15 | ||||||||||
Creare cont la cerere | macOS 14 | ||||||||||
Gestionarea grupurilor și autorizarea rețelei | macOS 14 | ||||||||||
„SSO platformă” în Configurări sistem | macOS 14 | ||||||||||
Configurare SSO platformă
Pentru a utiliza „SSO platformă”, Mac‑ul și fiecare utilizator trebuie să se înregistreze cu IdP. În funcție de compatibilitatea cu IdP și de configurația aplicată, Mac‑ul poate efectua înregistrarea dispozitivului în mod silențios pe fundal utilizând:
Un token de înregistrare furnizat în configurația de gestionare a dispozitivului
O atestare, care oferă asigurări puternice în legătură cu identificatorii dispozitivului (UDID și numărul serial).
Pentru a menține o conexiune de încredere cu IdP‑ul independent de utilizator, „SSO platformă” acceptă chei de dispozitiv partajate. Utilizați cheile de dispozitiv partajate ori de câte ori este posibil, deoarece acestea sunt necesare pentru funcționalități precum „SSO platformă” în timpul înscrierii automate a dispozitivului, crearea la cerere a conturilor de utilizator pe baza informațiilor de la IdP, autorizarea rețelei și modul Oaspete autentificat.
După o înregistrare reușită a dispozitivului, utilizatorul se înregistrează (cu excepția cazului în care contul de utilizator folosește modul Oaspete autentificat). Dacă IdP‑ul solicită acest lucru, înregistrarea utilizatorului poate implica solicitarea confirmării înregistrării de către utilizator. Pentru conturile de utilizator local pe care „SSO platformă” le creează la cerere, înregistrarea utilizatorului are loc automat pe fundal.
Notă: dacă anulați înscrierea unui Mac dintr-un serviciu de gestionare a dispozitivelor, și înregistrarea acestuia în IdP este anulată.
Metode de autentificare
„SSO platformă” acceptă diferite metode de autentificare cu un IdP. Compatibilitatea pentru fiecare depinde de IdP și de extensia „SSO platformă”.
Parolă: Cu această metodă, utilizatorul se autentifică folosind o parolă locală sau o parolă IdP. De asemenea, este compatibilă cu WS-Trust, care permite utilizatorului să se autentifice chiar și atunci când IdP‑ul care gestionează contul său este federativ.
Cheie bazată pe Secure Enclave: Cu această metodă, un utilizator care efectuează login la Mac-ul său poate utiliza o cheie bazată pe Secure Enclave pentru a se autentifica la IdP fără o parolă. IdP configurează cheia Secure Enclave în timpul procesului de înregistrare a utilizatorului.
Smart card: Cu această metodă, un utilizator se autentifică la IdP folosind un smart card. Pentru a utiliza această metodă, trebuie să:
Înregistrați smart cardul la IdP.
Configurați maparea atributelor smart cardului pe Mac.
Pentru detalii și un exemplu de configurare a mapării atributelor, consultați pagina de manual pentru proiectul Smart Card Services.
Cheie de acces: Cu această metodă, utilizatorii folosesc un permis stocat în Portofel Apple pentru a se autentifica la IdP. Asemenea unui smart card, cheia de acces trebuie înregistrată la IdP.
Anumite funcționalități, precum crearea de conturi de utilizator la cerere, necesită utilizarea unei metode de autentificare specifice.
Funcționalitate | Parolă | Cheie bazată pe Secure Enclave | Smart card | Cheie de acces | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gestionare grup |  | | | | |||||||
Înscrierea automată a dispozitivului | | | |  | |||||||
Mod Oaspete autentificat | | | | | |||||||
Creare cont la cerere | | | | | |||||||
Sincronizare parole | | | | | |||||||
Notă: extensia SSO trebuie să accepte metoda solicitată pentru a efectua înregistrarea. Este acceptată și comutarea metodelor. De exemplu, când este creat un cont nou de utilizator în timpul efectuării de login cu un nume de utilizator și o parolă, acel cont poate comuta apoi la utilizarea unei chei bazate pe Secure Enclave sau a unui smart card după realizarea cu succes a loginului.
„SSO platformă” în timpul înscrierii automate a dispozitivului
Organizațiile pot activa și impune „SSO platformă” în timpul rulării aplicației Asistent de configurare cu înscrierea automată a dispozitivelor. Aceasta este o opțiune potrivită pentru dispozitivele cu un singur utilizator, deoarece utilizatorul care autentifică înscrierea primește automat un cont local și poate utiliza imediat SSO cu aplicațiile native și web compatibile.
Procesul funcționează astfel:
macOS solicită înscrierea și informează serviciul de gestionare a dispozitivelor că acceptă „SSO platformă” în timpul înscrierii.
Serviciul de gestionare a dispozitivelor returnează o eroare 403 care include informații despre locul unde se găsește configurația SSO și pachetul care conține o aplicație cu extensia SSO.
macOS descarcă și instalează extensia și configurația „SSO platformă”.
macOS configurează „SSO platformă” și efectuează o înregistrare a dispozitivului. Dacă atestarea este configurată, înregistrarea se efectuează în mod silențios pe fundal. macOS solicită apoi utilizatorului să se autentifice la IdP utilizând una dintre metodele enumerate anterior pentru a efectua înregistrarea utilizatorului. Utilizatorii nu pot continua dacă înregistrarea „SSO platformă” nu este efectuată cu succes.
Furnizorul de identități (IdP) gestionează autentificarea.
După o autentificare cu succes, IdP returnează un token la purtător către macOS.
macOS utilizează tokenul la purtător pentru a autentifica înscrierea în serviciul de gestionare a dispozitivelor și, dacă este federat la același IdP, poate autentifica utilizatorul în contul său Apple gestionat fără a-i solicita să introducă din nou acreditările. Pentru ca acest lucru să funcționeze, panoul Asistent configurare iCloud trebuie să fie vizibil pentru utilizator.
macOS creează un cont local, iar parola fie se sincronizează cu IdP‑ul, fie utilizatorul stabilește o parolă locală (când „SSO platformă” utilizează o cheie bazată pe Secure Enclave). Dacă este necesar, puteți impune cerințe legate de complexitatea parolei pentru parola locală utilizând configurarea Cod de acces.
Dacă este configurat, macOS poate sincroniza apoi imaginea de profil de login a contului local de la IdP.
Puteți utiliza „SSO platformă” în timpul înscrierii automate a dispozitivului cu o actualizare software impusă. În acest caz, serviciul de gestionare a dispozitivelor trebuie să impună mai întâi actualizarea.
Dacă contul de utilizator creat de macOS este singurul de pe Mac, acesta devine cont de administrator. Dacă serviciul de gestionare a dispozitivelor a creat un cont de administrator utilizând comanda de configurare a contului, puteți aloca acestui cont de utilizator diferite privilegii utilizând gestionarea grupurilor „SSO platformă”.
Autentificare unică
Deoarece „SSO platformă” face parte din sarcina „SSO extensibilă”, aceasta oferă aceleași capacități de autentificare unică și permite utilizatorilor să se autentifice o singură dată, apoi să utilizeze tokenul furnizat de autentificarea inițială pentru a se autentifica în aplicațiile native și web acceptate.
Dacă tokenurile lipsesc, au expirat sau au o vechime mai mare de patru ore, „SSO platformă” încearcă să le reîmprospăteze sau să obțină altele noi de la IdP. În plus, puteți configura o durată în secunde (minimum 1 oră) până când „SSO platformă” necesită login complet în loc de reîmprospătarea tokenului. În mod implicit, este necesar un login complet la fiecare 18 ore.
„SSO platformă” în Configurări sistem
După înregistrarea „SSO platformă”, un utilizator poate inspecta starea înregistrării utilizatorului în Configurări sistem > Utilizatori și grupuri > [nume utilizator]. Dacă este necesar, poate iniția o reparare a înregistrării și poate impune o reîmprospătare a tokenului de autentificare.
Starea de înregistrare a dispozitivului este vizibilă în Utilizatori și grupuri > Server cont de rețea și oferă, de asemenea, o opțiune pentru efectuarea unei reparații.
Politici de sincronizare a parolelor și de autentificare
Dacă utilizați metoda de autentificare cu parolă, parola utilizatorului local se sincronizează automat cu IdP-ul de fiecare dată când un utilizator își schimbă parola, fie local, fie de la distanță. Dacă este necesar, macOS îi solicită utilizatorului parola anterioară.
În mod implicit, parola contului local este necesară pentru deblocarea FileVault, a ecranului de blocare și la fereastra de login. Dacă parola introdusă nu corespunde cu parola contului de utilizator local, macOS încearcă să contacteze IdP‑ul pentru a efectua o autentificare live. Dacă macOS nu poate contacta IdP‑ul sau parola introdusă nu corespunde cu parola stocată de IdP, autentificarea eșuează.
Cu politicile de login, puteți permite utilizarea parolei curente a contului de la IdP imediat la aceste trei solicitări. De asemenea, puteți configura individual următoarele politici pentru FileVault, ecranul de blocare și fereastra de login:
Încercare de autentificare.
Dacă este configurat, se încearcă autentificarea live cu IdP‑ul.
Dacă Mac‑ul este online, pentru a continua, este necesară o autentificare cu succes la IdP, chiar și atunci când Mac‑ul este offline după prima încercare.
Dacă autentificarea are succes, „SSO platformă” actualizează parola locală.
Dacă Mac‑ul este offline, utilizatorul poate folosi parola contului local.
Necesită autentificare.
Dacă este configurată, pentru a continua este necesară autentificarea live cu IdP‑ul.
Dacă Mac‑ul este online, pentru a continua, este necesară o autentificare reușită cu IdP‑ul indiferent de perioada de grație offline configurată.
Dacă autentificarea are succes, „SSO platformă” actualizează parola locală.
Dacă Mac‑ul este offline, utilizatorii nu pot să facă login. În aceste situații, puteți activa o perioadă de grație offline și o puteți fixa la numărul de zile după o autentificare anterioară reușită, perioadă în care utilizatorul poate continua să utilizeze parola contului local.
Puteți defini dacă orice cont care face login la Mac trebuie să fie gestionat de „SSO platformă” sau dacă este permis în continuare loginul cu conturi doar locale. De asemenea, este posibil să definiți numărul de zile după aplicarea sau actualizarea politicii până la momentul la care această configurare este impusă. Aceasta permite utilizarea temporară a conturilor locale. De exemplu, puteți utiliza temporar un cont de administrator creat de serviciul de gestionare a dispozitivelor pentru a efectua sau repara înregistrarea „SSO platformă” a dispozitivului.
În loc de autentificare live, puteți permite utilizatorilor să folosească și Touch ID sau Apple Watch pe ecranul de blocare.
Dacă este necesar, conturile locale (așa cum sunt definite de dvs.) pot fi exceptate de la politicile de login și nu li se va solicita să se înregistreze pentru „SSO platformă”.
Gestionarea grupurilor și autorizarea rețelei
„SSO platformă” oferă gestionarea granulară a drepturilor pentru a le oferi utilizatorilor nivelul potrivit de privilegii de care au nevoie pe Mac. Pentru a face acest lucru, „SSO platformă” poate aplica următoarele privilegii unui cont de fiecare dată când utilizatorul se autentifică:
Standard: Contul primește privilegii de utilizator standard.
Administrator: Adaugă contul în grupul de administratori locali.
Grupuri: Definiți privilegiile pe baza apartenenței la grup, care se actualizează de fiecare dată când utilizatorul se autentifică la IdP.
Când utilizați grupuri, un cont primește privilegii pe baza apartenenței la următoarele:
Grupuri de administratori: în cazul în care contul face parte dintr‑un grup listat, acesta are acces de tip Administrator local.
Grupuri de autorizare: în cazul în care contul face parte dintr‑un grup căruia i‑a fost atribuit un drept de autorizare integrat sau definit în mod personalizat, contul are privilegii asociate cu acel grup. De exemplu, macOS utilizează următoarele drepturi de autorizare:
system.preferences.datetime, care permite contului să modifice configurările de oră.system.preferences.energysaver, care permite contului să modifice configurările de economisire a energiei.system.preferences.network, care permite contului să modifice configurările de rețea.system.preferences.printing, care permite contului să adauge sau să elimine imprimante.
Grupuri suplimentare: Grupuri definite în mod personalizat pentru macOS sau aplicații specifice, pe care macOS le creează automat în directorul local (dacă nu există deja). De exemplu, puteți utiliza un grup suplimentar în configurația
sudopentru a defini accesulsudo.
Autorizare rețea
SSO la nivel de platformă extinde utilizarea acreditărilor IdP la utilizatorii care nu au un cont local pe Mac în scopuri de autorizare. Aceste conturi utilizează aceleași grupuri ca gestionarea grupurilor. De exemplu, dacă un cont este membru al unuia dintre grupurile de administratori, acesta poate efectua solicitări de autorizare de administrator. Pentru a utiliza această funcționalitate, configurați „SSO platformă” cu chei de dispozitiv partajate.
Autorizarea rețelei nu este posibilă cu solicitările de autorizare care necesită un token securizat, permisiuni de proprietate sau autentificare de către utilizatorul cu o sesiune de login curentă.
Creare cont la cerere
Pentru a facilita gestionarea conturilor în implementările partajate, utilizatorii își pot folosi numele de utilizator și parola IdP sau un smart card pentru a efectua login pe un Mac pentru a crea un cont local.
Puteți realiza un proces de alocare complet automatizat utilizând înscrierea automată a dispozitivelor cu avansare automată. Trebuie să creați primul cont de administrator local utilizând un serviciu de gestionare a dispozitivelor și să efectuați silențios înregistrarea „SSO platformă”.
Pentru a utiliza crearea de conturi la cerere, sunt necesare următoarele:
Înscrieți Mac‑ul într‑un serviciu de gestionare a dispozitivelor care acceptă tokenuri de amorsare.
Adăugați următoarele: o configurare a extensiei SSO cu „SSO platformă”, chei de dispozitiv partajate și opțiunea de a crea un utilizator la login.
Finalizați Asistent configurare și creați un cont de administrator local.
Mac-ul trebuie să fie la fereastra de login, cu FileVault deblocat și cu o conexiune la rețea.
Utilizând o opțiune de configurare opțională, puteți defini ce atribut din IdP se utilizează pentru numele contului local (denumit adesea „numele scurt al utilizatorului”) și numele complet. Administratorii pot configura, de asemenea, cheia pentru numele contului la com.apple.PlatformSSO.AccountShortName pentru a utiliza prefixul UPN.
În plus, puteți defini ce privilegii să se aplice conturilor nou create când se efectuează login. Sunt disponibile aceleași opțiuni pentru gestionarea grupurilor:
Standard: Contul primește privilegii de utilizator standard.
Administrator: Adaugă contul în grupul de administratori locali.
Grupuri: Definiți privilegiile pe baza apartenenței la grup, care se actualizează de fiecare dată când utilizatorul se autentifică la IdP.
Mod Oaspete autentificat
Modul Oaspete autentificat oferă o experiență de login rapidă pentru implementările partajate (cum ar fi cabinetele medicale sau școlile), unde utilizatorii diferiți nu au nevoie de un cont local creat, deoarece trebuie doar să efectueze login utilizând acreditările IdP pentru o perioadă scurtă de timp. În mod implicit, utilizatorul primește privilegii de utilizator standard, dar puteți modifica aceste privilegii utilizând gestionarea grupurilor „SSO platformă”.
Pentru a utiliza această funcționalitate, trebuie îndeplinite aceleași cerințe ca pentru crearea de conturi la cerere, dar în locul opțiunii de a crea un utilizator la login configurați modul Oaspete autentificat.
Când un utilizator face logout, macOS șterge toate datele locale pentru acel cont, iar Mac‑ul partajat este pregătit pentru ca următorul utilizator să facă login.
Apăsați pentru login
„Apăsați pentru login” extinde funcționalitatea acreditărilor digitale de la Portofel Apple la macOS. În ultimii ani, organizațiile au adoptat ecusoane digitale în Portofel Apple, permițând utilizatorilor să deblocheze uși prin simpla apăsare a unui iPhone sau unui Apple Watch, fără a avea nevoie de ecusonul fizic. Această experiență este disponibilă și pe un Mac.
Această metodă de autentificare este deosebit de utilă pentru organizațiile care partajează un Mac între mai mulți utilizatori, inclusiv instituțiile de învățământ, mediile de vânzare cu amănuntul și unitățile medicale.
Cu „Apăsați pentru login”, utilizatorii se pot autentifica pe un Mac configurat pentru modul Oaspete autentificat când apasă pe iPhone sau Apple Watch la un cititor NFC conectat. Această acțiune inițiază un proces de autentificare unică securizată care autentifică automat utilizatorii în aplicațiile și site‑urile lor web, permițându‑le să se conecteze rapid și să înceapă lucrul.
Acreditările utilizatorului sunt furnizate sub formă de chei de acces într‑un tichet Portofel Apple printr‑o aplicație iPhone sau un browser. Aceste chei de acces sunt stocate în Secure Enclave pe dispozitiv, fiind astfel bazate pe hardware, criptate și contribuind la protejarea împotriva tentativelor de alterare sau extragere. Funcționalitatea „Mod expres” îmbunătățește confortul, permițând autentificarea imediată fără a solicita utilizatorilor să trezească sau să deblocheze dispozitivul, asemenea modului în care funcționează cardurile de transport în Portofel Apple.
Pentru a implementa funcționalitatea „Apăsați pentru login”, un Mac trebuie să fie:
Configurat pentru modul Oaspete autentificat
Echipat cu un cititor NFC extern compatibil
Crearea și gestionarea cheii de acces necesită participarea la Programul de acces Apple Wallet. Pentru informații suplimentare despre crearea unei chei de acces, consultați secțiunea Provisioning în Ghidul Programul de acces Portofel Apple.