Jednorazové prihlásenie na platforme pre macOS
Pomocou jednorazového prihlásenia na platforme (SSO na platforme) môžete vy alebo vývojár špecializujúci sa na správu identít vytvárať rozšírenia pre jednorazové prihlasovanie, ktoré užívateľom umožnia používať na Macu účet vašej organizácie zo služby IdP počas úvodného nastavenia.
Funkcie
SSO na platforme podporuje nasledujúce funkcie:
Aktivácia a vynútenie SSO na platforme počas automatickej registrácie zariadenia na účely overenia registrácie, prihlásenie pomocou spravovaného Apple účtu a vytvorenie lokálneho užívateľa.
Poskytovanie jednorazového prihlasovania pre natívne a webové apky.
Poskytovanie informácií o SSO na platforme v Systémových nastaveniach.
Synchronizácia hesiel lokálnych užívateľských účtov so službou IdP a definovanie zásad pre prihlasovanie.
Definovanie skupinových oprávnení účtov v službe IdP a povolenie užívateľom používať čisto sieťové účty v službe IdP pri výzvach na autorizáciu.
Vytváranie lokálnych užívateľských účtov na požiadanie pri prihlasovaní pomocou prihlasovacích údajov z účtu v službe IdP.
Podpora hosťujúcich užívateľov, ktorí sa na zdieľaných Macoch dočasne prihlasujú pomocou prihlasovacích údajov zo svojej služby IdP.
Poznámka: Pre väčšinu funkcií sa vyžaduje podpora rozšírenia SSO. Ďalšie informácie o implementácii SSO na platforme vo vašej organizácii nájdete v dokumentácii vášho poskytovateľa identity.
Požiadavky
Mac s Apple čipom alebo Mac s procesorom Intel a Touch ID
Služba správy zariadení s podporou konfigurácie pomocou objemu dát Extensible Single Sign-on, ktorá zahŕňa nastavenia pre jednorazové prihlásenie na platforme
Apka obsahujúca rozšírenie pre SSO na platforme kompatibilné so službou IdP
macOS 13 alebo novší
Pre nasledujúce funkcie platia ďalšie požiadavky na verziu:
Funkcia | Minimálna podporovaná verzia operačného systému | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Režim autentifikovaného hosťa | macOS 26 | ||||||||||
Prihlásenie klepnutím | macOS 26 | ||||||||||
SSO na platforme počas automatickej registrácie zariadenia | macOS 26 | ||||||||||
Predpona UPN ako názov lokálneho účtu | macOS 15.4 | ||||||||||
Atestácia identifikátorov zariadenia | macOS 15.4 | ||||||||||
Zásady prihlasovania | macOS 15 | ||||||||||
Vytváranie účtov na požiadanie | macOS 14 | ||||||||||
Správa skupín a sieťová autorizácia | macOS 14 | ||||||||||
SSO na platforme v Systémových nastaveniach | macOS 14 | ||||||||||
Nastavenie SSO na platforme
Ak chcete používať SSO na platforme, Mac aj každý užívateľ sa musí zaregistrovať v službe IdP. V závislosti od podpory služby IdP a použitej konfigurácii môže Mac vykonať registráciu zariadenia na pozadí bez zásahu užívateľa pomocou:
Registračného tokenu poskytnutého v konfigurácii správy zariadení
Atestácie, ktorá poskytuje silné uistenie o identifikátoroch zariadenia (UDID a sériové číslo)
SSO na platforme podporuje zdieľané kľúče zariadení, ktoré umožňujú udržiavať dôveryhodné spojenie so službou IdP nezávisle od jednotlivých užívateľov. Zdieľané kľúče zariadení používajte vždy, keď je to možné, pretože sa vyžadujú na prácu s funkciami, ako je SSO na platforme pri automatickej registrácii zariadení, vytváranie užívateľských účtov na požiadanie na základe informácií zo služby IdP, sieťová autorizácia a autentifikovaný režim hosťa.
Po úspešnej registrácii zariadenia sa zaregistruje užívateľ (pokiaľ užívateľský účet nepoužíva režim autentifikovaného hosťa). Ak to služba IdP vyžaduje, registrácia užívateľa môže zahŕňať výzvu na potvrdenie registrácie. V prípade lokálnych užívateľských účtov, ktoré SSO na platforme vytvára na požiadanie, prebieha registrácia užívateľa automaticky na pozadí.
Poznámka: Keď zrušíte registráciu Macu v službe správy zariadení, zruší sa aj jeho registrácia v službe IdP.
Metódy overenia
SSO na platforme podporuje rôzne spôsoby autentifikácie pomocou služby IdP. Podpora pre každú z nich závisí od služby IdP a rozšírenia pre SSO na platforme.
Heslo: Pomocou tejto metódy sa užívateľ autentifikuje pomocou lokálneho hesla alebo hesla IdP. Táto metóda podporuje aj štandard WS-Trust, čo užívateľovi umožňuje vykonať autentifikáciu, aj keď je služba IdP spravujúca jeho účet federovaná.
Kľúč chránený modulom Secure Enclave: Pomocou tejto metódy môže užívateľ, ktorý sa prihlasuje do svojho Macu, použiť na autentifikáciu u IdP kľúč s podporou Secure Enclave bez potreby hesla. Kľúč Secure Enclave nastavuje služba IdP počas registrácie užívateľa.
Smart card: V prípade tejto metódy sa užívateľ autentifikuje v službe IdP pomocou karty Smart Card. Ak chcete použiť túto metódu, musíte:
Zaregistrovať kartu Smart Card u poskytovateľa identity.
Nakonfigurovať mapovanie atribútov karty Smart Card na Macu.
Podrobnosti a príklad konfigurácie mapovania atribútov nájdete na stránke nápovedy projektu Smart Card Services.
Prístupový kľúč: Pri použití tejto metódy užívatelia vykonávajú autentifikáciu v službe IdP pomocou lístka uloženého v apke Apple Peňaženka. Podobne ako v prípade karty Smart Card je potrebné prístupový kľúč zaregistrovať v službe IdP.
Pri práci s určitými funkciami, ako je napríklad vytváranie užívateľských účtov na požiadanie, musíte použiť konkrétnu metódu autentifikácie.
Funkcia | Heslo | Kľúč chránený modulom Secure Enclave | Smart Card | Prístupový kľúč | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Správa skupín |  | | | | |||||||
Automatická registrácia zariadenia | | | |  | |||||||
Režim autentifikovaného hosťa | | | | | |||||||
Vytváranie účtov na požiadanie | | | | | |||||||
Synchronizácia hesiel | | | | | |||||||
Poznámka: Registráciu je možné vykonať len vtedy, keď rozšírenie SSO podporuje požadovanú metódu. Podporované je aj prepínanie metód. Keď sa napríklad pri prihlasovaní pomocou užívateľského mena a hesla vytvorí nový užívateľský účet, tento účet je možné po úspešnom prihlásení prepnúť na používanie kľúča uloženého v Secure Enclave alebo na používanie karty Smart Card.
SSO na platforme počas automatickej registrácie zariadenia
Organizácie môžu aktivovať a vynútiť SSO na platforme pri nastavovaní v Sprievodcovi nastavením pomocou automatickej registrácie zariadenia. Táto možnosť je určená pre zariadenia s jedným užívateľom, pretože užívateľ, ktorý autentifikuje registráciu, automaticky získa vytvorený lokálny účet a môže ihneď používať SSO s podporovanými natívnymi a webovými apkami.
Proces funguje takto:
Systém macOS si vyžiada registráciu a informuje službu správy zariadení, že na účely registrácie podporuje SSO na platforme.
Služba správy zariadení vráti chybu 403, ktorá obsahuje informácie o tom, kde nájsť konfiguráciu SSO a balík obsahujúci apku s rozšírením SSO.
Systém macOS stiahne a nainštaluje rozšírenie a konfiguráciu SSO na platforme.
Systém macOS nakonfiguruje SSO na platforme a vykoná registráciu zariadenia. Ak je nakonfigurovaná atestácia, registrácia prebehne bez interakcie s užívateľom na pozadí. Systém macOS potom užívateľa vyzve na autentifikáciu v službe IdP pomocou jednej z predtým uvedených metód, aby sa užívateľ mohol zaregistrovať. Bez úspešnej registrácie v SSO na platforme nemôžu užívatelia pokračovať.
Služba IdP spracuje autentifikáciu.
Po úspešnom overení vráti služba IdP systému macOS prístupový token.
Systém macOS používa prístupový token na autentifikáciu registrácie v službe správy zariadení a pokiaľ je systém združený s tou istou službou IdP, môže užívateľa prihlásiť do spravovaného Apple účtu bez toho, aby užívateľ musel znovu zadávať svoje prihlasovacie údaje. Tento postup funguje len v prípade, že má užívateľ prístup k panelu sprievodcu nastavením iCloudu.
Systém macOS vytvorí lokálny účet a heslo sa buď synchronizuje so službou IdP, alebo si užívateľ nastaví lokálne heslo (pokiaľ SSO na platforme používa kľúč uložený v Secure Enclave). V prípade potreby je možné pomocou konfigurácie kódu (Passcode) vynútiť požiadavky na zložitosť lokálneho hesla.
Ak bola táto funkcia nakonfigurovaná, systém macOS môže následne zo služby IdP synchronizovať prihlasovací profilový obrázok do lokálneho účtu.
SSO na platforme je možné použiť počas procesu automatickej registrácie zariadenia s vynútenou aktualizáciou softvéru. V takom prípade musí služba správy zariadení najskôr vynútiť aktualizáciu.
Ak je užívateľský účet vytvorený systémom macOS jediným účtom na Macu, stáva sa účtom správcu. Ak služba správy zariadení vytvorila účet správcu pomocou príkazu na konfiguráciu účtu, môžete pomocou správy skupín SSO na platforme priradiť užívateľskému účtu iné oprávnenia.
Jednorazové prihlásenie
Keďže SSO na platforme je súčasťou systému Extensible SSO, ponúka tie isté možnosti jednorazového prihlásenia a umožňuje užívateľom prihlásiť sa raz a potom používať token poskytnutý pri prvej autentifikáciu na overovanie totožnosti v podporovaných natívnych a webových apkách.
Ak tokeny chýbajú, vypršala ich platnosť alebo sú staršie ako štyri hodiny, SSO na platforme sa pokúsi obnoviť ich alebo získať nové zo služby IdP. Okrem toho môžete nastaviť čas v sekundách (minimálne 1 hodina), po uplynutí ktorého bude SSO na platforme vyžadovať namiesto obnovenia tokenu plnohodnotné prihlásenie. V predvolenom nastavení sa plnohodnotné prihlásenie vyžaduje každých 18 hodín.
SSO na platforme v Systémových nastaveniach
Po registrácii SSO na platforme môže užívateľ skontrolovať stav registrácie v Systémové nastavenia > Užívatelia a skupiny > [užívateľské meno]. V prípade potreby môže iniciovať opravu registrácie a vynútiť obnovenie svojho overovacieho tokenu.
Stav registrácie zariadenia je viditeľný v časti Užívatelia a skupiny > Server sieťového účtu, kde je tiež možné vykonať opravu.
Synchronizácia hesiel a zásady prihlasovania
Ak používate metódu autentifikácie heslom, heslo lokálneho užívateľa sa automaticky synchronizuje so službou IdP vždy, keď užívateľ svoje heslo zmení, či už lokálne alebo na diaľku. V prípade potreby systém macOS užívateľa vyzve na zadanie predchádzajúceho hesla.
V predvolenom nastavení sa heslo lokálneho účtu vyžaduje na odomknutie FileVaultu a zamknutej obrazovky a tiež v prihlasovacom okne. Ak zadané heslo nezodpovedá heslu lokálneho užívateľského účtu, systém macOS sa pokúsi pripojiť k službe IdP a vykonať autentifikáciu naživo. Ak systém macOS nedokáže službu IdP kontaktovať alebo zadané heslo nezodpovedá heslu uloženému v službe IdP, autentifikácia zlyhá.
Zásady prihlasovania umožňujú v týchto troch výzvach povoliť použitie aktuálneho hesla účtu poskytnutého zo služby IdP okamžite. Pre FileVault, zamknutú obrazovku a prihlasovacie okno môžete tiež nastaviť nasledujúce zásady jednotlivo:
Pokus o autentifikáciu.
Ak bola táto funkcia nakonfigurovaná, prebehne pokus o autentifikáciu v službe IdP.
Ak je Mac online, na pokračovanie sa vyžaduje úspešná autentifikácia prostredníctvom služby IdP, aj keď Mac po prvom pokuse prejde do offline režimu.
Ak je autentifikácia úspešná, SSO na platforme aktualizuje lokálne heslo.
Ak je Mac v offline režime, užívateľ môže použiť svoje heslo lokálneho účtu.
Požiadavka na autentifikáciu.
Ak bola táto funkcia nakonfigurovaná, je možné pokračovať len po autentifikácii naživo vykonanej prostredníctvom služby IdP.
Ak je Mac online, je možné pokračovať len po úspešnej autentifikácii prostredníctvom služby IdP bez ohľadu na nastavené obdobie odkladu pre offline režim.
Ak je autentifikácia úspešná, SSO na platforme aktualizuje lokálne heslo.
Ak je Mac offline, užívatelia sa nemôžu prihlásiť. V týchto situáciách môžete aktivovať obdobie odkladu pre offline režim a nastaviť ho na počet dní uplynulých od predchádzajúceho úspešného prihlásenia. Počas tohto obdobia môže užívateľ ďalej používať heslo lokálneho účtu.
Môžete určiť, či musia byť všetky účty, ktoré sa na Macu prihlasujú, spravované pomocou SSO na platforme, alebo či je naďalej povolené prihlasovanie pomocou výhradne lokálnych účtov. Je tiež možné definovať, o koľko dní po použití alebo aktualizácii zásad bude toto nastavenie vynútené. Toto opatrenie umožňuje dočasné používanie lokálnych účtov. Môžete napríklad dočasne použiť účet správcu vytvorený službou správy zariadení na vykonanie alebo opravu registrácie zariadenia v SSO na platforme.
Na zamknutej obrazovke môžete užívateľom namiesto overovania naživo povoliť používanie Touch ID alebo Apple Watch.
V prípade potreby môžu byť lokálne účty (definované vami) z pravidiel prihlasovania vylúčené a nemusia sa v SSO na platforme registrovať.
Správa skupín a sieťová autorizácia
SSO na platforme ponúka podrobnú správu práv, prostredníctvom ktorej je možné poskytnúť užívateľom Macu zodpovedajúcu úroveň oprávnení. Na tento účel môže SSO na platforme pri každej autentifikácii užívateľa nastaviť pre účet nasledujúce oprávnenia:
Štandardný: Účet získa štandardné užívateľské oprávnenia.
Správca: Účet bude pridaný do lokálnej skupiny správcov.
Skupiny: Oprávnenia sú určené na základe členstva v skupine a aktualizujú sa pri každej autentifikácii užívateľa prostredníctvom služby IdP.
Keď používate skupiny, účet získava oprávnenia na základe členstva v nasledujúcich skupinách:
Skupiny správcov: Ak je účet súčasťou uvedenej skupiny, má prístup lokálneho správcu.
Oprávnené skupiny: Ak je účet súčasťou skupiny priradenej k vstavanému alebo užívateľsky definovanému oprávneniu, disponuje oprávneniami spojenými s touto skupinou. Systém macOS napríklad používa nasledujúce oprávnenia:
system.preferences.datetime, ktoré účtu umožňuje upravovať nastavenia času.system.preferences.energysaver, ktoré účtu umožňuje upravovať nastavenia šetriča energie.system.preferences.network, ktoré účtu umožňuje upravovať nastavenia siete.system.preferences.printing, ktoré účtu umožňuje pridávať alebo odstraňovať tlačiarne.
Ďalšie skupiny: Užívateľsky definované skupiny pre systém macOS alebo určité apky. Tieto skupiny systém macOS automaticky vytvára v lokálnom adresári (ak ešte neexistujú). Ďalšiu skupinu môžete napríklad použiť v konfigurácii
sudona určenie prístupu k príkazusudo.
Sieťová autorizácia
SSO na platforme rozširuje použitie prihlasovacích údajov zo služby IdP na užívateľov, ktorí nemajú na Macu lokálny účet. Tieto účty používajú rovnaké skupiny ako správa skupín. Ak je napríklad účet súčasťou jednej zo skupín správcov, je možné ho použiť na vykonávanie autorizačných výziev správcu. Ak chcete túto funkciu používať, nakonfigurujte SSO na platforme použitím zdieľaných kľúčov zariadení.
Sieťová autorizácia nie je možná pri výzvach na overenie, ktoré vyžadujú secure token, vlastnícke oprávnenie alebo autentifikáciu aktuálne prihláseným užívateľom.
Vytváranie účtov na požiadanie
Jednoduchšia správa účtov v zdieľaných nasadeniach umožňuje užívateľom prihlásenie do Macu a vytvorenie lokálneho účtu pomocou užívateľského mena a hesla zo služby IdP alebo pomocou karty Smart Card.
Proces poskytovania je možné plne automatizovať pomocou automatickej registrácie zariadení s automatickým posúvaním. Musíte vytvoriť prvý lokálny účet správcu pomocou služby správy zariadení a vykonať registráciu SSO na platforme bez interakcie s užívateľom.
Požiadavky na vytváranie účtov na požiadanie:
Zaregistrujte Mac v službe správy zariadení podporujúcej bootstrap tokeny.
Pridajte nasledujúcu položku: konfigurácia rozšírenia SSO s funkciou SSO na platforme, zdieľanými kľúčmi zariadení a možnosťou vytvorenia užívateľa pri prihlásení.
Dokončite proces nastavenia v Sprievodcovi nastavením a vytvorte lokálny účet správcu.
Spustite Mac tak, aby sa na ňom zobrazilo prihlasovacie okno, bol na ňom odomknutý FileVault a bol pripojený k sieti.
Nepovinná možnosť konfigurácie vám umožňuje určiť, ktorý atribút zo služby IdP sa použije pre názov lokálneho účtu (zvyčajne skrátené meno užívateľa) a úplné meno užívateľa. Správcovia tiež môžu nastaviť kľúč pre názov účtu na com.apple.PlatformSSO.AccountShortName, aby bolo možné použiť predponu UPN.
Okrem toho môžete určiť, aké oprávnenia sa majú pri prihlásení použiť pre novovytvorené účty. K dispozícii sú tie isté možnosti správy skupín:
Štandardný: Účet získa štandardné užívateľské oprávnenia.
Správca: Účet bude pridaný do lokálnej skupiny správcov.
Skupiny: Oprávnenia sú určené na základe členstva v skupine a aktualizujú sa pri každej autentifikácii užívateľa prostredníctvom služby IdP.
Režim autentifikovaného hosťa
Režim autentifikovaného hosťa poskytuje zrýchlené prihlasovanie pre zdieľané nasadenia, napríklad v lekárskych ordináciách alebo v školách, kde užívatelia nepotrebujú lokálny účet, pretože sa prihlasujú pomocou prihlasovacích údajov zo služby IdP len na krátky čas. Užívateľ má štandardné užívateľské oprávnenia, ktoré môžete zmeniť pomocou správy skupín poskytovanej službou SSO na platforme.
Ak chcete túto funkciu používať, musíte spĺňať rovnaké požiadavky ako pri vytváraní účtu na požiadanie, ale namiesto možnosti vytvoriť užívateľa pri prihlásení nakonfigurujete režim autentifikovaného hosťa.
Keď sa užívateľ odhlási, systém macOS vymaže všetky lokálne dáta použitého účtu, čím zdieľaný Mac pripraví na prihlásenie ďalšieho užívateľa.
Prihlásenie klepnutím
Funkcia Prihlásenie klepnutím rozširuje funkcie digitálnych prihlasovacích údajov z Apple Peňaženky na systém macOS. V posledných rokoch začali organizácie používať v apke Apple Peňaženka digitálne prístupové karty, takže užívatelia môžu odomykať dvere jednoduchým priložením iPhonu alebo Aple Watch k čítačke a nemusia už pri sebe nosiť fyzický prístupový čip. Táto funkcia je k dispozícii aj na Macu.
Tento spôsob autentifikácie je obzvlášť užitočný pre organizácie, ktoré poskytujú prístup k Macom viacerým užívateľom, ako sú napríklad vzdelávacie inštitúcie, maloobchodné predajne a zdravotnícke zariadenia.
Funkcia Prihlásenie klepnutím umožňuje užívateľom autentifikovať sa na Macu nakonfigurovanom pre režim autentifikovaného hosťa priložením iPhonu alebo Apple Watch k pripojenej NFC čítačke. Tým sa spustí zabezpečený proces jednorazového prihlásenia, ktorý užívateľa automaticky autentifikuje v apkách a na webových stránkach, vďaka čomu sa môžu rýchlo prihlásiť a pustiť sa do práce.
Prihlasovacie údaje užívateľa sú k dispozícii ako prístupové kľúče v lístku Apple Peňaženky prostredníctvom apky pre iPhone alebo prehliadača. Tieto prístupové kľúče sú v zariadení uložené v Secure Enclave, takže sú hardvérovo zabezpečené a šifrované, čo pomáha pri ich ochrane pred pokusmi o manipuláciu alebo extrakciu. Funkcia Expresný režim zvyšuje pohodlie tým, že umožňuje okamžitú autentifikáciu bez nutnosti zobudiť alebo odomknúť zariadenie podobne ako pri používaní dopravných kariet v Apple Peňaženke.
Aby bolo možné implementovať funkciu Prihlásenie klepnutím, Mac musí byť:
Nakonfigurovaný pre režim autentifikovaného hosťa
Vybavený podporovanou externou NFC čítačkou
Ak chcete vytvárať a spravovať prístupové kľúče, musíte sa zapojiť do programu Apple Wallet Access. Ďalšie informácie o vytváraní prístupových kľúčov nájdete v téme Provisioning (Poskytovanie) v príručke k programu Apple Wallet Access.