Platform Single Sign-on för macOS
Med enkel plattformsinloggning (SSO för plattform) kan du (eller en utvecklare som är specialiserad på identitetshantering) bygga SSO-tillägg som gör det möjligt för användare att använda organisationens konto från en IdP på en Mac under den första inställningen.
Funktioner
SSO för plattform har stöd för följande funktioner:
Aktivera och genomdriv SSO för plattform under automatisk enhetsregistrering för att kunna autentisera registreringen, logga in med ett hanterat Apple-konto och skapa en lokal användare.
Erbjud en upplevelse med enkel inloggning för inbyggda appar och webbappar.
Få information om SSO för plattform i Systeminställningar.
Synkronisera lösenord för lokala användarkonton med identitetsleverantören och definiera inloggningspolicyer.
Definiera gruppbehörigheter för identitetsleverantörskonton och tillåt att personer använder identitetsleverantörskonton enbart för nätverk vid auktoriseringsdialoger.
Skapa lokala användarkonton vid behov när du loggar in med inloggningsuppgifter från ett IdP-konto.
Ge gästanvändare som loggar in tillfälligt med sina IdP-inloggningsuppgifter på delade Mac-datorer support.
Obs! De flesta funktioner kräver stöd från SSO-tillägget. Läs identitetsleverantörens dokumentationen om du vill veta mer om hur du implementerar SSO för plattform i din organisation.
Krav
En Mac med Apple Silicon eller en Intel-baserad Mac med Touch ID
En enhetshanteringstjänst som stöder konfigurationen Extensible Single Sign-on som innehåller inställningar för SSO för plattform
En app med ett plattformstillägg för SSO som är kompatibelt med identitetsleverantören
macOS 13 eller senare
Följande funktioner har ytterligare versionskrav:
Funktion | Lägsta operativsystemsversion som stöds | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Authenticated Guest Mode | macOS 26 | ||||||||||
Tap to Login | macOS 26 | ||||||||||
SSO för plattform under automatisk enhetsregistrering | macOS 26 | ||||||||||
UPN-prefix som lokalt kontonamn | macOS 15.4 | ||||||||||
Attestering för enhetsidentifierare | macOS 15.4 | ||||||||||
Inloggningspolicyer | macOS 15 | ||||||||||
Skapande av konto på begäran | macOS 14 | ||||||||||
Grupphantering och nätverksauktorisering | macOS 14 | ||||||||||
SSO för plattform i Systeminställningar | macOS 14 | ||||||||||
Plattformsinställningen för SSO
Om du vill använda SSO för plattform måste datorn och varje användare registrera sig hos identitetsleverantören. Beroende på stöd från identitetsleverantören och den använda konfigurationen kan datorn utföra enhetsregistrering i bakgrunden med hjälp av:
En registreringstoken som finns i enhetshanteringskonfigurationen
En attestering, som ger en kraftfull försäkran om enhetsidentifierare (UDID och serienummer)
SSO för plattform stöd för delade enhetsnycklar för att upprätthålla en betrodd anslutning med identitetsleverantören, oberoende av användaren. Använd delade enhetsnycklar när det är möjligt eftersom de krävs för funktioner som SSO för plattform under automatisk enhetsregistrering, skapande av användarkonton på begäran utifrån information från identitetsleverantören, nätverksauktorisering och Authenticated Guest Mode.
När enheten har registrerats registrerar användaren sig (om inte användarkontot använder Authenticated Guest Mode). Om identitetsleverantören kräver det kan användaren uppmanas att bekräfta registreringen som en del av användarregistreringen. För lokala användarkonton som SSO för plattform skapar på begäran utförs användarregistreringen automatiskt i bakgrunden.
Obs! Om du avregistrerar en Mac från enhetshanteringstjänsten avregistreras den också från identitetsleverantören.
Autentiseringsmetoder
SSO för plattform har stöd för olika autentiseringsmetoder med en identitetsleverantör. Vilket stöd som erbjuds för vilken metod beror på identitetsleverantören och plattformstillägget för SSO.
Lösenord: Med den här metoden autentiserar en användare med ett lokalt lösenord eller ett lösenord för en identitetsleverantör. Det har även stöd för WS-Trust, som gör det möjligt för användaren att autentisera även när identitetsleverantören som hanterar kontot är federerad.
Secure Enclave-säkrad nyckel: Med den här metoden kan en användare som loggar in på sin Mac använda en Secure Enclave–säkrad nyckel till att autentisera med identitetsleverantören utan ett lösenord. Identitetsleverantören ställer in Secure Enclave-nyckeln under processen för användarregistrering.
Smart kort: Med den här metoden autentiserar en användare hos identitetsleverantören med hjälp av ett smart kort. Du måste göra följande om du vill använda den här metoden:
Registrera det smarta kortet hos identitetsleverantören.
Konfigurera en attributkoppling för smarta kort på datorn.
Läs man-sidan för projektet för smarta korttjänster om du vill veta mer och se ett exempel på en konfiguration för en attributkoppling.
Snabbtangent: Med den här metoden använder användare ett kort som lagras i Plånbok till att autentisera hos identitetsleverantören. Till skillnad från ett smartkort måste åtkomstnyckeln registreras hos identitetsleverantören.
För vissa funktioner, som att skapa användarkonton på begäran, måste du använda en specifik autentiseringsmetod.
Funktion | Lösenord | Secure Enclave-säkrad nyckel | Smartkort | Snabbtangent | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Grupphantering |  | | | | |||||||
Automatisk enhetsregistrering | | | |  | |||||||
Authenticated Guest Mode | | | | | |||||||
Skapande av konto på begäran | | | | | |||||||
Synkronisering av lösenord | | | | | |||||||
Obs! SSO-tillägget måste ha stöd för den begärda metoden för att kunna utföra registreringen. Det är också möjligt att växla mellan metoder. Exempelvis kan ett nytt användarkonto som skapas under inloggning med ett användarnamn och lösenord ändras så att det använder en Secure Enclave-säkrad nyckel eller ett smartkort när inloggningen är klar istället.
SSO för plattform under automatisk enhetsregistrering
Organisationer kan aktivera och genomdriva SSO för plattform under inställningsassistenten med automatisk enhetsregistrering. Det här är ett alternativ för enheter med en användare eftersom ett lokalt konto automatiskt skapas för användaren som autentiserar registreringen och användaren sedan direkt kan använda SSO med inbyggda appar och webbappar som stöds.
Processen fungerar så här:
macOS begär registreringen och informerar enhetshanteringstjänsten att det har stöd för SSO för plattform under registreringen.
Enhetshanteringstjänsten returnerar ett 403-fel som innehåller information om var man hittar SSO-konfigurationen och paketet som innehåller en app med SSO-tillägget.
macOS hämtar och installerar plattformstillägget och -konfigurationen för SSO.
macOS konfigurerar SSO för plattform och utför en enhetsregistrering. Om attestering har konfigurerats utförs registreringen i bakgrunden. macOS uppmanar sedan användaren att autentisera hos identitetsleverantören med hjälp av en av de metoder som visades tidigare för att kunna utföra användarregistreringen. Användare kan inte fortsätta utan att ha registrerat SSO för plattform.
Identitetsleverantören hanterar autentiseringen.
När autentiseringen är klar returnerar identitetsleverantören en bearer-token till macOS.
macOS använder bearer-token till att autentisera registreringen i enhetshanteringstjänsten. Om den är federerad till samma identitetsleverantör kan det logga in användaren på hens hanterade Apple-konto utan att hen måste ange sina inloggningsuppgifter igen. iCloud-panelen måste vara synlig för användaren i inställningsassistenten för att detta ska fungera.
macOS skapar ett lokalt konto, och lösenordet synkroniseras med identitetsleverantören eller så ställer användaren in ett lokalt lösenord (när SSO för plattform använder en Secure Enclave-säkrad nyckel). Om det behövs kan du genomdriva komplexitetskrav för det lokala lösenordet med hjälp av konfigurationen Passcode.
Om det är konfigurerat kan macOS sedan synkronisera det lokala kontots profilbild för inloggning från identitetsleverantören.
Du kan använda SSO för plattform under automatisk enhetsregistrering med en framtvingad programuppdatering. I det här fallet måste enhetshanteringstjänsten först genomdriva uppdateringen.
Om användarkontot som macOS skapar är det enda på datorn blir det ett administratörskonto. Om enhetshanteringstjänsten skapade ett administratörskonto med hjälp av kommandot för kontoinställning kan du tilldela användarkontot olika behörigheter med grupphantering för SSO för plattform.
Enkel inloggning
Eftersom SSO för plattform är en del av en utökningsbar SSO har den samma funktioner för enkel inloggning. Den gör det möjligt för användare att logga in en gång och sedan använda den token som tillhandahålls vid den första autentiseringen till att autentisera i inbyggda appar och webbappar som stöds.
Om token saknas, har slutat att gälla eller är äldre än fyra timmar försöker SSO för plattform att uppdatera eller hämta nya från identitetsleverantören. Dessutom kan du ställa in en tidslängd i sekunder (minst en timme) som SSO för plattform ska vänta tills den kräver en fullständig inloggning i stället för en uppdatering av token. Som förval krävs en fullständig inloggning var 18:e timme.
SSO för plattform i Systeminställningar
När SSO för plattform har registrerats kan en användare se statusen för användarregistreringen i Systeminställningar > Användare och grupper > [användarnamn]. Om det behövs kan de köra igång en reparation av registreringen och tvinga fram en uppdatering av sin autentiseringstoken.
Statusen för enhetsregistrering visas i Användare och grupper > Nätverkskontoserver. Där finns även ett alternativ för att utföra en reparation.
Synkronisering av lösenord och inloggningspolicyer
Om du använder lösenordsautentiseringsmetoden synkroniseras det lokala användarlösenordet automatiskt med identitetsleverantören varje gång en användare ändrar sitt lösenord, antingen lokalt eller på distans. Om det behövs uppmanar macOS användaren att ange det gamla lösenordet.
Som förval måste man ange det lokala kontolösenordet för att låsa upp FileVault och låsskärmen samt i inloggningsfönstret. Om det angivna lösenordet inte stämmer överens med lösenordet för det lokala användarkontot försöker macOS att nå identitetsleverantören så att det kan utföra en autentisering i realtid. Autentiseringen genomförs inte om macOS inte kan nå identitetsleverantören eller om det angivna lösenordet inte stämmer överens med det lösenord som finns sparat hos identitetsleverantören.
Med inloggningspolicyer kan du tillåta att det aktuella kontolösenordet från identitetsleverantören används direkt i dessa tre dialoger. Du kan även ställa in följande policyer individuellt för FileVault, låsskärmen och inloggningsfönstret:
Försök att autentisera.
Om den har konfigurerats försöker macOS autentisera direkt med identitetsleverantören.
Om datorn är uppkopplad krävs en lyckad autentisering hos identitetsleverantören för att komma vidare, även om datorn är frånkopplad efter första försöket.
Om autentiseringen lyckas uppdaterar SSO för plattform det lokala lösenordet.
Om datorn är frånkopplad kan användaren använda sitt lokala kontolösenord.
Kräv autentisering.
Om den har konfigurerats krävs autentisering direkt hos identitetsleverantören för att fortsätta.
Om datorn är uppkopplad krävs en lyckad autentisering hos identitetsleverantören för att fortsätta, även om väntetid för frånkopplat läge har konfigurerats.
Om autentiseringen lyckas uppdaterar SSO för plattform det lokala lösenordet.
Om datorn är frånkopplad kan användare inte logga in. I sådana fall kan du aktivera väntetid för frånkopplat läge och ställa in ett antal dagar efter en tidigare lyckad inloggning som användaren kan fortsätta att använda det lokala kontots lösenord.
Du kan definiera om alla konton som loggar in på datorn måste hanteras av SSO för plattform eller om det fortfarande är tillåtet att logga in med konton som endast är lokala. Det är även möjligt att ange det antal dagar efter att policyn har tillämpats eller uppdaterats som den här inställningen ska genomdrivas. På så sätt kan man tillfälligt använda lokala konton. Du kan till exempel tillfälligt använda ett administratörskonto som skapats av enhetshanteringstjänsten till att utföra eller reparera enhetsregistreringen för SSO för plattform.
Du kan även tillåta att användare använder Touch ID eller Apple Watch på låsskärmen i stället för autentisering i realtid.
Om det behövs kan lokala konton (som du definierar) undantas från inloggningspolicyer och inte uppmanas att registrera sig för SSO för plattform.
Grupphantering och nätverksauktorisering
SSO för plattform har funktioner som gör att du kan hantera behörigheter ned i detalj så att användare får rätt behörighetsnivå på sina datorer. För att göra det kan SSO för plattform tillämpa följande behörigheter på ett konto varje gång användaren autentiserar:
Standard: Kontot får standardanvändarbehörigheter.
Administratör: Lägger till kontot i den lokala administratörsgruppen.
Grupper: Definiera behörigheter efter gruppmedlemskap, som uppdateras varje gång användaren autentiserar hos identitetsleverantören.
När du använder grupper får ett konto behörigheter baserat på medlemskap i följande:
Administratörsgrupper: Om kontot ingår i en grupp i listan har det lokal administratörsåtkomst.
Auktoriseringsgrupper: Om kontot ingår i en grupp som tilldelats en inbyggd eller anpassad auktoriseringsbehörighet har kontot behörigheter som är kopplade till den gruppen. Som exempel använder macOS följande auktoriseringsbehörigheter:
system.preferences.datetime, som gör att kontot kan ändra tidsinställningar.system.preferences.energysaver, som gör att kontot kan ändra strömspararinställningar.system.preferences.network, som gör att kontot kan ändra nätverksinställningar.system.preferences.printing, som gör att kontot kan lägga till eller ta bort skrivare.
Ytterligare grupper: Anpassade grupper för macOS eller specifika appar som macOS skapar automatiskt i den lokala katalogen (om de inte redan finns). Du kan till exempel använda en ytterligare grupp i
sudo-konfigurationen till att definierasudo-åtkomst.
Nätverksauktorisering
SSO för plattform utökar användningen av IdP-inloggningsuppgifter till användare som saknar ett lokalt konto på datorn för autentiseringsändamål. Dessa konton använder samma grupper som grupphantering. Om kontot till exempel ingår i en av administratörsgrupperna kan det utföra administratörsautentiseringsdialoger. Ställ in SSO för plattform med delade enhetsnycklar om du vill använda den här funktionen.
Nätverksauktorisering kan inte göras för auktoriseringsdialoger som kräver en säker token, ägarbehörigheter eller autentisering av den inloggade användaren.
Skapande av konto på begäran
För att underlätta kontohantering i delade driftsättningar kan användare använda sitt IdP-användarnamn och -lösenord eller ett smart kort till att logga in på en Mac och skapa ett lokalt konto.
Du kan få en helt automatisk tillhandahållandeprocess med hjälp av automatisk enhetsregistrering med automatisk frammatning. Du måste skapa det första lokala administratörskontot med en enhetshanteringstjänst och utföra en tyst registrering i SSO för plattform.
Följande krävs för att kunna skapa konton på begäran:
Registrera datorn i en enhetshanteringstjänst som har stöd för bootstrap-token.
Lägg till följande: en SSO-tilläggskonfiguration med SSO för plattform, delade enhetsnycklar och alternativet att skapa en användare vid inloggning.
Slutför inställningsassistenten och skapa ett lokalt administratörskonto.
Se till att datorn visar inloggningsfönstret med FileVault upplåst och att den är ansluten till ett nätverk.
Med ett valfritt konfigurationsalternativ kan du definiera vilket attribut från identitetsleverantören som ska användas för det lokala kontonamnet (som ofta kallas användarens kortnamn) och det fullständiga namnet. Administratörer kan även ställa in nyckeln för kontonamnet som com.apple.PlatformSSO.AccountShortName om de vill använda UPN-prefixet.
Dessutom kan du definiera vilka behörigheter som ska gälla för nya konton som har skapats vid inloggning. Samma alternativ är tillgängliga för grupphantering:
Standard: Kontot får standardanvändarbehörigheter.
Administratör: Lägger till kontot i den lokala administratörsgruppen.
Grupper: Definiera behörigheter efter gruppmedlemskap, som uppdateras varje gång användaren autentiserar hos identitetsleverantören.
Funktionen Authenticated Guest Mode
Med Authenticated Guest Mode går det snabbare att logga in i delade driftsättningar, till exempel på läkarmottagningar eller skolor, där olika användare inte behöver få lokala konton eftersom de bara behöver logga in med sina inloggningsuppgifter från identitetsleverantören under en kort tid. Användaren får standardanvändarbehörigheter som förval, men du kan ändra behörigheterna med grupphantering för SSO för plattform.
Om du vill använda den här funktionen behöver du ha samma krav som för skapande av konto på begäran, men i stället för alternativet att skapa ett användarkonto vid inloggning ställer du in Authenticated Guest Mode.
När en användare loggar ut raderar macOS alla lokala data för det kontot så att den delade datorn är redo för nästa användare.
Funktionen Tap to Login
Med Tap to Login kan funktionen med digitala inloggningsuppgifter som fungerar i Plånbok även användas i macOS. Under de senaste åren har organisationer börjat använda digitala brickor i Plånbok så att användare kan låsa upp dörrar bara genom att hålla en iPhone eller Apple Watch nära dörren. Man behöver inte längre det den fysiska brickan. Du kan få samma upplevelse på en Mac.
Den här autentiseringsmetoden är särskilt praktisk för organisationer där flera användare delar på en Mac, till exempel utbildningsinstitutioner, butiker och vårdinrättningar.
Med Tap to Login kan användare autentisera på en Mac som är konfigurerad för Authenticated Guest Mode när de trycker sin iPhone eller Apple Watch på en ansluten NFC-läsare. Då startas en säker process med enkel inloggning som automatiskt autentiserar användare för deras appar och webbplatser så att de snabbt kan logga in och komma igång.
Användares inloggningsuppgifter tillhandahålls som åtkomstnycklar i ett Plånbok-kort via en app eller webbläsare på iPhone. Dessa åtkomstnycklar lagras i enhetens Secure Enclave. De är därmed maskinvarubaserade och krypterade och hjälper till att skydda mot försök till manipulering eller extrahering. Funktionen Expressläge gör att det går smidigare tack vare omedelbar autentisering. Användaren behöver inte väcka eller låsa upp enheten först. Det fungerar ungefär på samma sätt som resekort fungerar i Plånbok.
Om du vill använda funktionen Tap to Login måste datorn uppfylla följande krav:
Konfigurerad för Authenticated Guest Mode
Utrustad med en extern NFC-läsare som stöds
Du måste delta i Apple Wallet Access Program för att kunna skapa och hantera åtkomstnycklar. Mer information om hur du skapar åtkomstnycklar finns i avsnittet Provisioning i handboken om Apple Wallet Access Program.