Platform Single Sign-on för macOS
Med enkel plattformsinloggning (Platform SSO) kan utvecklare bygga SSO-tillägg som utökar inloggningsfönstret i macOS så att användare kan synkronisera lokala kontouppgifter med en identitetsleverantör (IdP). Det lokala kontolösenordet hålls automatiskt synkroniserat så att molnlösenordet matchar det lokala lösenordet. Användare kan också låsa upp sin dator med Touch ID och Apple Watch.
Enkel plattformsinloggning kräver följande:
macOS 13 eller senare
En MDM-lösning som stöder nyttolasten Extensible Single Sign-on som innehåller stöd för Platform SSO.
Stöd från identitetsleverantören för autentiseringsprotokollet Platform SSO
En av två autentiseringsmetoder som stöds:
Autentisering med en Secure Enclave-säkrad nyckel: Med den här metoden kan en användare som loggar in på sin Mac använda en Secure Enclave–säkrad nyckel till att autentisera med identitetsleverantören utan ett lösenord. Secure Enclave-nyckeln ställs in hos identitetsleverantören under processen för användarregistrering.
Lösenordsautentisering: Med den här metoden autentiserar en användare med ett lokalt lösenord eller ett lösenord för en identitetsleverantör.
Obs! Om datorn avregistreras från MDM-lösningen avregistreras den också från identitetsleverantören.
WS-Trust-federering
WS-Trust-federering stöds i macOS 13.3 eller senare. Det tillåter att enkel plattformsinloggning autentiserar användare vars konto hanteras av en IdP som federeras med Microsoft Entra ID.
Ytterligare Platform SSO-funktioner i macOS 14
Användarregistrering och registreringsstatus i Systeminställningar: Användare kan registrera sin enhet eller sitt användarkonto för användning med enkel inloggning i Systeminställningar. Menyobjektet visar också den aktuella registreringsstatusen och indikerar eventuella fel som kan ha inträffat så att användaren får större insyn. Det ser till att användaren vet om registreringen måste göras om.
Lokal kontoskapelse av användare: För att underlätta kontohantering i delade driftsättningar kan användare använda sitt IdP-användarnamn och -lösenord eller ett smart kort till att logga in på en Mac där FileVault är olåst och skapa ett lokalt konto. Den nya nyckeln
TokenToUserMapping
kan användas till att definiera vilket attribut som tillhandahålls av IdP:n som ska användas till att välja det lokala användarnamnet. Följande krävs om du vill använda den här funktionen:Inställningsassistenten måste vara slutförd och ett inledande lokalt administratörskonto måste ha skapats.
Enheter måste vara registrerade i en MDM-lösning med stöd för bootstrap-token.
Användarens Mac måste ha en Extensible Single Sign-on-nyttolast med Platform SSO och alternativen
UseSharedDeviceKeys
ochEnableCreateUserAtLogin
måste vara aktiverade.Stöd för ett smart kort kräver att det smarta kortet är registrerat hos IdP:n och att en attributkoppling för smarta kort har konfigurerats på datorn.
Användning av icke-lokala IdP-användarkonton i auktoriseringsdialoger: Platform SSO utökar användningen av IdP-inloggningsuppgifter till användare som saknar ett lokalt konto på datorn för autentiseringsändamål. Dessa konton använder samma grupper som Group-hantering. Om användaren till exempel tillhör en av administratörsgrupperna kan kontot användas i de flesta auktoriseringsdialogerna för macOS-administratörer. Detta undantar eventuella auktoriseringsdialoger som kräver en säkerhetstoken, ägarskapsbehörigheter eller autentisering av den användare som är inloggad för tillfället..
Uppdatering av gruppmedlemskap för användare när de autentiserar med sin IdP: Gruppmedlemskap kan användas till finmaskig hantering av behörigheter för IdP-användare i macOS. Varje gång en användare autentiserar med IdP:n uppdateras användarens gruppmedlemskap. Det finns tre tillgängliga arraynycklar som definierar gruppmedlemskap:
AdministratorGroups: Om användaren ingår i en grupp som listas i denna array har den lokal adminstratörsåtkomst.
AuthorizationGroups: Specifika grupper används till att hantera inbyggda eller specialdefinierade auktoriseringsbehörigheter. Behörigheten ges till alla användare som ingår i den specificerade gruppen. Exempelvis kan medlemskap i en grupp som har tilldelats auktoriseringsbehörigheten
system.preferences.network
tillåta att användarna ändrar nätverksinställningar ellersystem.preferences.printing
tillåta att användarna ändrar skrivarinställningar.AdditionalGroups: Kan användas av operativsystemet, till exempel för att definiera
sudo
-åtkomst. En post i den här arrayen skapar en grupp inuti den lokala katalogen om gruppen inte finns.