Jednorazové prihlásenie na platforme pre macOS
Prehľad
Pomocou jednorazového prihlásenia na platforme (SSO na platforme) môžete vy alebo vývojár pre správu identít vytvárať rozšírenia pre jednorazové prihlasovanie, ktoré užívateľom umožnia autentifikovať sa pomocou účtu poskytovateľa identity (IdP) vašej organizácie na Macu počas Sprievodcu nastavením. SSO na platforme možno kombinovať s inými rozšíreniami SSO s nasledujúcimi obmedzeniami:
Konkrétnu doménu môže spracovať len jedno rozšírenie SSO.
syncLocalPasswordje potrebné nastaviť na hodnotufalsev konfigurácii Kerberos SSO.
Funkcie
SSO na platforme podporuje nasledujúce funkcie:
Aktivácia a vynútenie SSO na platforme počas automatickej registrácie zariadenia na účely overenia registrácie, prihlásenie pomocou spravovaného Apple účtu a vytvorenie lokálneho užívateľa.
Poskytovanie jednorazového prihlasovania pre natívne a webové apky.
Zobrazenie stavu SSO na platforme a podrobností registrácie v Systémových nastaveniach.
Synchronizácia hesiel lokálnych užívateľských účtov so službou IdP a definovanie zásad pre prihlasovanie.
Definovanie skupinových oprávnení účtov v službe IdP a povolenie užívateľom používať čisto sieťové účty v službe IdP pri výzvach na autorizáciu.
Vytváranie lokálnych užívateľských účtov na požiadanie pri prihlasovaní pomocou prihlasovacích údajov z účtu v službe IdP.
Podpora hosťujúcich užívateľov, ktorí sa na zdieľaných Macoch dočasne prihlasujú pomocou prihlasovacích údajov zo svojej služby IdP.
Poznámka: Pre väčšinu funkcií sa vyžaduje podpora rozšírenia SSO. Ďalšie informácie o implementácii SSO na platforme vo vašej organizácii nájdete v dokumentácii vášho poskytovateľa identity.
Požiadavky
Mac s Apple čipom alebo Mac s procesorom Intel a Touch ID
Služba správy zariadení s podporou konfigurácie pomocou objemu dát Extensible Single Sign-on, ktorá zahŕňa nastavenia pre jednorazové prihlásenie na platforme
Apka obsahujúca rozšírenie pre SSO na platforme kompatibilné so službou IdP
macOS 13 alebo novší
Pre nasledujúce funkcie platia ďalšie požiadavky na verziu:
Funkcia | Minimálna podporovaná verzia operačného systému | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Režim autentifikovaného hosťa | macOS 26 | ||||||||||
Prihlásenie klepnutím | macOS 26 | ||||||||||
SSO na platforme počas automatickej registrácie zariadenia | macOS 26 | ||||||||||
Predpona UPN ako názov lokálneho účtu | macOS 15.4 | ||||||||||
Atestácia identifikátorov zariadenia | macOS 15.4 | ||||||||||
Zásady prihlasovania | macOS 15 | ||||||||||
Vytváranie účtov na požiadanie | macOS 14 | ||||||||||
Správa skupín a sieťová autorizácia | macOS 14 | ||||||||||
SSO na platforme v Systémových nastaveniach | macOS 14 | ||||||||||
Nastavenie SSO na platforme
Ak chcete používať SSO na platforme, Mac aj každý užívateľ sa musí zaregistrovať v službe IdP. V závislosti od podpory služby IdP a použitej konfigurácii môže Mac vykonať registráciu zariadenia na pozadí bez zásahu užívateľa pomocou:
Registračného tokenu IdP poskytnutého v rozšíriteľnej konfigurácii SSO.
Atestácie, ktorá poskytuje garanciu toho, že Mac je originálne Apple zariadenie, a voliteľne môže obsahovať identifikátory zariadenia (UDID a sériové číslo).
SSO na platforme podporuje zdieľané kľúče zariadení, ktoré umožňujú udržiavať dôveryhodné spojenie so službou IdP nezávisle od jednotlivých užívateľov. Zdieľané kľúče zariadení používajte vždy, keď je to možné. Vyžadujú sa na automatickú registráciu zariadení, vytváranie užívateľských účtov na požiadanie, sieťovú autorizáciu a autentifikovaný režim hosťa.
Po úspešnej registrácii zariadenia sa zaregistruje aj užívateľ, pokiaľ užívateľský účet nepoužíva režim autentifikovaného hosťa. Ak to služba IdP vyžaduje, užívateľovi sa môže zobraziť výzva na potvrdenie registrácie. V prípade lokálnych účtov na požiadanie zaregistruje SSO na platforme užívateľa automaticky na pozadí.
Poznámka: Keď zrušíte registráciu Macu v službe správy zariadení, zruší sa aj jeho registrácia v službe IdP.
Metódy overenia
SSO na platforme podporuje rôzne spôsoby autentifikácie pomocou služby IdP. Podpora pre každú z nich závisí od služby IdP a rozšírenia pre SSO na platforme.
Heslo: Pomocou tejto metódy sa užívateľ autentifikuje pomocou lokálneho hesla alebo hesla IdP. Táto metóda podporuje aj štandard WS-Trust, čo užívateľovi umožňuje vykonať autentifikáciu, aj keď je služba IdP spravujúca jeho účet federovaná.
Kľúč chránený modulom Secure Enclave: Pomocou tejto metódy môže užívateľ, ktorý sa prihlasuje do svojho Macu, použiť na autentifikáciu u IdP kľúč s podporou Secure Enclave bez potreby hesla. Kľúč Secure Enclave nastavuje služba IdP počas registrácie užívateľa.
Smart card: V prípade tejto metódy sa užívateľ autentifikuje v službe IdP pomocou karty Smart Card. Ak chcete použiť túto metódu, musíte:
Zaregistrovať kartu Smart Card u poskytovateľa identity.
Nakonfigurovať mapovanie atribútov karty Smart Card na Macu.
Podrobnosti a príklad konfigurácie mapovania atribútov nájdete na stránke nápovedy projektu Smart Card Services.
Prístupový kľúč: Pri použití tejto metódy užívatelia vykonávajú autentifikáciu v službe IdP pomocou lístka uloženého v apke Apple Peňaženka. Podobne ako v prípade karty Smart Card je potrebné prístupový kľúč zaregistrovať v službe IdP.
Niektoré funkcie, ako je napríklad vytváranie účtov na požiadanie, vyžadujú konkrétnu metódu autentifikácie.
Funkcia | Heslo | Kľúč chránený modulom Secure Enclave | Smart Card | Prístupový kľúč | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Správa skupín |  | | | | |||||||
Automatická registrácia zariadenia | | | |  | |||||||
Režim autentifikovaného hosťa | | | | | |||||||
Vytváranie účtov na požiadanie | | | | | |||||||
Synchronizácia hesiel | | | | | |||||||
Poznámka: Registráciu je možné dokončiť len vtedy, keď rozšírenie SSO podporuje požadovanú metódu. Metódy môžete aj prepínať. Napríklad účet vytvorený pomocou užívateľského mena a hesla môžete po úspešnom prihlásení prepnúť na používanie kľúča uloženého v Secure Enclave alebo na používanie karty Smart Card.
SSO na platforme pri automatickej registrácii zariadenia
Organizácie môžu aktivovať a vynútiť SSO na platforme pri nastavovaní v Sprievodcovi nastavením pomocou automatickej registrácie zariadenia. Táto možnosť je najvhodnejšia pre zariadenia s jedným užívateľom. macOS automaticky vytvorí lokálny účet pre užívateľa, ktorý autentifikuje registráciu, čím užívateľovi poskytne okamžitý SSO prístup k podporovaným natívnym a webovým apkám.
Systém macOS stiahne a nainštaluje rozšírenie a konfiguráciu SSO na platforme (ak sú nakonfigurované). Môže k tomu dôjsť pred vykonaním samotnej registrácie v službe správy zariadení, čo umožní autentifikovať registráciu pomocou SSO, alebo po registrácii, keď je Mac ponechaný v stave čakania na konfiguráciu. Počas tohto procesu Mac vykoná registráciu zariadenia buď bez zásahu užívateľa, alebo po vyzvaní užívateľa. Potom požiada užívateľa o autentifikáciu v službe IdP, aby sa užívateľ mohol zaregistrovať. Bez úspešnej registrácie v SSO na platforme nemôžu užívatelia pokračovať.
Po úspešnej autentifikácii systém macOS vytvorí lokálny účet a heslo sa buď synchronizuje so službou IdP, alebo si užívateľ nastaví lokálne heslo (pokiaľ SSO na platforme používa kľúč uložený v Secure Enclave). V prípade potreby je možné pomocou konfigurácie kódu (Passcode) vynútiť požiadavky na zložitosť lokálneho hesla.
Ak bola táto funkcia nakonfigurovaná, systém macOS môže následne zo služby IdP synchronizovať prihlasovací profilový obrázok do lokálneho účtu.
SSO na platforme je možné použiť počas procesu automatickej registrácie zariadenia s vynútenou aktualizáciou softvéru. V takom prípade musí služba správy zariadení najskôr vynútiť aktualizáciu.
Ak je užívateľský účet vytvorený systémom macOS jediným účtom na Macu, stáva sa účtom správcu. Ak služba správy zariadení vytvorila účet správcu pomocou príkazu na konfiguráciu účtu, môžete pomocou správy skupín SSO na platforme priradiť užívateľskému účtu iné oprávnenia.
Jednorazové prihlásenie
Keďže SSO na platforme je súčasťou systému Extensible SSO, užívatelia sa prihlásia raz a používajú tento autentifikačný token na prístup k podporovaným natívnym a webovým apkám.
Ak tokeny chýbajú, vypršala ich platnosť alebo sú staršie ako štyri hodiny, SSO na platforme sa pokúsi obnoviť ich alebo získať nové zo služby IdP. Môžete tiež nastaviť čas v sekundách (minimálne jedna hodina), po uplynutí ktorého bude SSO na platforme vyžadovať namiesto obnovenia tokenu plnohodnotné prihlásenie. Predvolená hodnota je 18 hodín.
SSO na platforme v Systémových nastaveniach
Po registrácii SSO na platforme môžu užívatelia skontrolovať stav registrácie v Systémové nastavenia > Užívatelia a skupiny > [užívateľské meno]. Tu tiež môžu opraviť registráciu alebo obnoviť svoj autentifikačný token.
Stav registrácie zariadenia je viditeľný v časti Užívatelia a skupiny > Server sieťového účtu, kde je tiež možné vykonať opravu.
Synchronizácia hesiel a zásady prihlasovania
Ak používate metódu autentifikácie heslom, heslo lokálneho užívateľa sa automaticky synchronizuje so službou IdP vždy, keď užívateľ svoje heslo zmení, či už lokálne alebo na diaľku. V prípade potreby systém macOS užívateľa vyzve na zadanie predchádzajúceho hesla.
V predvolenom nastavení sa heslo lokálneho účtu vyžaduje na odomknutie FileVaultu a zamknutej obrazovky a tiež v prihlasovacom okne. Ak zadané heslo nezodpovedá heslu lokálneho užívateľského účtu, systém macOS sa pokúsi pripojiť k službe IdP a vykonať autentifikáciu naživo. Ak systém macOS nedokáže službu IdP kontaktovať alebo zadané heslo nezodpovedá heslu uloženému v službe IdP, autentifikácia zlyhá.
Zásady prihlasovania umožňujú v týchto troch výzvach povoliť použitie aktuálneho hesla účtu poskytnutého zo služby IdP okamžite. Pre FileVault, zamknutú obrazovku a prihlasovacie okno môžete tiež nastaviť nasledujúce zásady jednotlivo:
Pokus o autentifikáciu.
Ak bola táto funkcia nakonfigurovaná, prebehne pokus o autentifikáciu v službe IdP.
Ak je Mac online, na pokračovanie sa vyžaduje úspešná autentifikácia prostredníctvom služby IdP, aj keď Mac po prvom pokuse prejde do offline režimu.
Ak je autentifikácia úspešná, SSO na platforme aktualizuje lokálne heslo.
Ak je Mac v offline režime, užívateľ môže použiť svoje heslo lokálneho účtu.
Požiadavka na autentifikáciu.
Ak bola táto funkcia nakonfigurovaná, je možné pokračovať len po autentifikácii naživo vykonanej prostredníctvom služby IdP.
Ak je Mac online, je možné pokračovať len po úspešnej autentifikácii prostredníctvom služby IdP bez ohľadu na nastavené obdobie odkladu pre offline režim.
Ak je autentifikácia úspešná, SSO na platforme aktualizuje lokálne heslo.
Ak je Mac offline, užívatelia sa nemôžu prihlásiť. V týchto situáciách môžete aktivovať obdobie odkladu pre offline režim a nastaviť ho na počet dní uplynulých od predchádzajúceho úspešného prihlásenia. Počas tohto obdobia môže užívateľ ďalej používať heslo lokálneho účtu.
Môžete určiť, či musia byť všetky účty, ktoré sa na Macu prihlasujú, spravované pomocou SSO na platforme alebo či je naďalej povolené prihlasovanie výhradne pomocou lokálnych účtov. Môžete tiež nastaviť dobu odkladu (v dňoch) po použití pravidla, kým sa začne vynucovanie. Toto opatrenie umožňuje dočasné používanie lokálnych účtov. Môžete napríklad dočasne použiť účet správcu vytvorený službou správy zariadení na vykonanie alebo opravu registrácie zariadenia v SSO na platforme.
Na zamknutej obrazovke môžete užívateľom namiesto overovania naživo povoliť používanie Touch ID alebo Apple Watch.
V prípade potreby môžu byť lokálne účty (definované vami) z pravidiel prihlasovania vylúčené a nemusia sa v SSO na platforme registrovať.
Správa skupín a sieťová autorizácia
SSO na platforme môže poskytnúť podrobnú správu práv tým, že pri každej autentifikácii užívateľa nastaví pre účet nasledujúce oprávnenia:
Štandardný: Účet získa štandardné užívateľské oprávnenia.
Správca: Účet bude pridaný do lokálnej skupiny správcov.
Skupiny: Oprávnenia sú určené na základe členstva v skupine a aktualizujú sa pri každej autentifikácii užívateľa prostredníctvom služby IdP.
Keď používate skupiny, účet získava oprávnenia na základe členstva v nasledujúcich skupinách:
Skupiny správcov: Ak je účet súčasťou uvedenej skupiny, má prístup lokálneho správcu.
Oprávnené skupiny: Ak je účet súčasťou skupiny priradenej k vstavanému alebo užívateľsky definovanému oprávneniu, disponuje oprávneniami spojenými s touto skupinou. Systém macOS napríklad používa nasledujúce oprávnenia:
system.preferences.datetime, ktoré účtu umožňuje upravovať nastavenia času.system.preferences.energysaver, ktoré účtu umožňuje upravovať nastavenia šetriča energie.system.preferences.network, ktoré účtu umožňuje upravovať nastavenia siete.system.preferences.printing, ktoré účtu umožňuje pridávať alebo odstraňovať tlačiarne.
Ďalšie skupiny: Užívateľsky definované skupiny pre systém macOS alebo určité apky. Tieto skupiny systém macOS automaticky vytvára v lokálnom adresári (ak ešte neexistujú). Ďalšiu skupinu môžete napríklad použiť v konfigurácii
sudona určenie prístupu k príkazusudo.
Sieťová autorizácia
SSO na platforme umožňuje užívateľom bez lokálneho účtu na Macu používať na autorizáciu prihlasovacie údaje zo služby IdP. Tieto účty používajú rovnaké skupiny ako správa skupín. Ak je napríklad účet súčasťou jednej zo skupín správcov, je možné ho použiť na vykonávanie autorizačných výziev správcu. Ak chcete túto funkciu používať, nakonfigurujte SSO na platforme použitím zdieľaných kľúčov zariadení.
Sieťová autorizácia nie je možná pri výzvach na overenie, ktoré vyžadujú secure token, vlastnícke oprávnenie alebo autentifikáciu aktuálne prihláseným užívateľom.
Vytváranie účtov na požiadanie
V zdieľaných nasadeniach umožňuje užívateľom vytvoriť lokálny účet prihlásením pomocou užívateľského mena a hesla zo služby IdP alebo pomocou karty Smart Card.
Proces poskytovania je možné plne automatizovať pomocou automatickej registrácie zariadení s automatickým nastavením. Musíte vytvoriť prvý lokálny účet správcu pomocou služby správy zariadení a vykonať registráciu SSO na platforme bez interakcie s užívateľom.
Požiadavky na vytváranie účtov na požiadanie:
Zaregistrujte Mac v službe správy zariadení podporujúcej bootstrap tokeny.
Pridajte nasledujúcu položku: konfigurácia rozšírenia SSO s funkciou SSO na platforme, zdieľanými kľúčmi zariadení a možnosťou vytvorenia užívateľa pri prihlásení.
Dokončite proces nastavenia v Sprievodcovi nastavením a vytvorte lokálny účet správcu.
Spustite Mac tak, aby sa na ňom zobrazilo prihlasovacie okno, bol na ňom odomknutý FileVault a bol pripojený k sieti.
Nepovinná možnosť konfigurácie vám umožňuje určiť, ktorý atribút zo služby IdP sa použije pre názov lokálneho účtu (zvyčajne skrátené meno) a úplné meno. Správcovia tiež môžu nastaviť kľúč pre názov účtu na com.apple.PlatformSSO.AccountShortName, aby bolo možné použiť predponu UPN.
Okrem toho môžete určiť, aké oprávnenia sa majú pri prihlásení použiť pre novovytvorené účty. K dispozícii sú tie isté možnosti správy skupín:
Štandardný: Účet získa štandardné užívateľské oprávnenia.
Správca: Účet bude pridaný do lokálnej skupiny správcov.
Skupiny: Oprávnenia sú určené na základe členstva v skupine a aktualizujú sa pri každej autentifikácii užívateľa prostredníctvom služby IdP.
Režim autentifikovaného hosťa
Režim autentifikovaného hosťa poskytuje zjednodušené prihlasovanie pre zdieľané nasadenia, napríklad v lekárskych ordináciách alebo v školách, kde sa užívatelia prihlasujú dočasne pomocou prihlasovacích údajov zo služby IdP a nepotrebujú trvalý lokálny účet. Užívateľ má štandardné užívateľské oprávnenia, ktoré môžete zmeniť pomocou správy skupín poskytovanej službou SSO na platforme.
Požiadavky sú rovnaké ako pri vytváraní účtu na požiadanie, ale namiesto možnosti vytvoriť užívateľa pri prihlásení nakonfigurujete režim autentifikovaného hosťa.
Keď sa užívateľ odhlási, systém macOS vymaže všetky lokálne dáta použitého účtu, čím zdieľaný Mac pripraví na prihlásenie ďalšieho užívateľa.
Prihlásenie klepnutím
Funkcia Prihlásenie klepnutím prináša podporu digitálnych prihlasovacích údajov z Apple Peňaženky na systém macOS. Organizácie, ktoré už používajú digitálne prístupové karty v apke Apple Peňaženka (umožňujúce užívateľom odomykať dvere jednoduchým priložením iPhonu alebo Apple Watch k čítačke), môžu teraz rozšíriť rovnaké možnosti na prihlasovanie do Macu.
Tento spôsob autentifikácie je obzvlášť užitočný pre organizácie, ktoré poskytujú prístup k Macom viacerým užívateľom, ako sú napríklad vzdelávacie inštitúcie, maloobchodné predajne a zdravotnícke zariadenia.
Funkcia Prihlásenie klepnutím umožňuje užívateľom autentifikovať sa na Macu nakonfigurovanom pre režim autentifikovaného hosťa priložením iPhonu alebo Apple Watch k pripojenej NFC čítačke. Tým sa spustí zabezpečený proces jednorazového prihlásenia, ktorý užívateľa automaticky autentifikuje v apkách a na webových stránkach, vďaka čomu sa môžu rýchlo prihlásiť a pustiť sa do práce.
Prihlasovacie údaje užívateľa sú k dispozícii ako prístupové kľúče v lístku Apple Peňaženky prostredníctvom apky pre iPhone alebo prehliadača. Tieto prístupové kľúče sú v zariadení uložené v Secure Enclave, takže sú hardvérovo zabezpečené a šifrované, čo pomáha pri ich ochrane pred pokusmi o manipuláciu alebo extrakciu. Expresný režim umožňuje okamžitú autentifikáciu bez nutnosti zobudiť alebo odomknúť zariadenie podobne ako pri používaní dopravných kariet v Apple Peňaženke.
Aby bolo možné implementovať funkciu Prihlásenie klepnutím, Mac musí byť:
Nakonfigurovaný pre režim autentifikovaného hosťa
Vybavený podporovanou externou NFC čítačkou
Ak chcete vytvárať a spravovať prístupové kľúče, musíte sa zapojiť do programu Apple Wallet Access. Ďalšie informácie o vytváraní prístupových kľúčov nájdete v téme Provisioning (Poskytovanie) v príručke k programu Apple Wallet Access.