macOS için Platformda Tek Oturum Açma
Platformda Tek Oturum Açma (Platform SSO) sayesinde siz veya kimlik yönetimi konusunda uzman bir geliştirici, kullanıcıların ilk ayarlama sırasında Mac’te bir IdP’den kuruluşunuzun hesabını kullanmasına izin veren SSO genişletmeleri oluşturabilirsiniz.
Özellikler
Platform SSO, şu özellikleri destekler:
Kaydı doğrulamak, Yönetilen Apple Hesabı ile giriş yapmak ve yerel bir kullanıcı yaratmak için Otomatik Aygıt Kaydı sırasında Platform SSO’yu etkinleştirip zorunlu kılın.
Özgün uygulamalar ve web uygulamaları için tek oturum açma deneyimi sunar.
Sistem Ayarları’nda Platform SSO hakkında bilgi edinin.
Yerel kullanıcı hesaplarının parolalarını IdP ile eşzamanlayın ve giriş politikalarını tanımlayın.
IdP hesaplarının grup izinlerini tanımlayın ve kişilerin yetkilendirme istemlerinde yalnızca ağ için IdP hesaplarını kullanmasına izin verin.
IdP hesabından kimlik bilgileriyle oturum açarken isteğe bağlı olarak yerel kullanıcı hesapları yaratın.
Paylaşılan Mac bilgisayarlarda, konuk kullanıcıların geçici olarak kendi IdP kimlik bilgilerini kullanarak giriş yapmasına destek verin.
Not: Çoğu özellik, SSO genişletmesinden destek gerektirir. Platform SSO’yu kuruluşunuzda uygulama hakkında daha fazla bilgi edinmek için IdP’nizin belgelerine bakın.
Gereksinimler
Apple Silicon çipli bir Mac veya Touch ID’li ve Intel tabanlı bir Mac
Platform SSO ayarlarını içeren Genişletilebilir Tek Oturum Açma konfigürasyonunu destekleyen bir aygıt yönetimi servisi
IdP ile uyumlu Platform SSO genişletmesi içeren bir uygulama
macOS 13 veya daha yenisi
Aşağıdaki özelliklerin ek sürüm gereksinimleri vardır:
Özellik | Desteklenen minimum işletim sistemi sürümü | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Kimliği Doğrulanmış Konuk Modu | macOS 26 | ||||||||||
Oturum Açmak İçin Dokunun | macOS 26 | ||||||||||
Otomatik Aygıt Kaydı sırasında Platform SSO | macOS 26 | ||||||||||
Yerel hesap adı olarak UPN ön eki | macOS 15.4 | ||||||||||
Aygıt tanıtıcıları için onaylama | macOS 15.4 | ||||||||||
Oturum açma politikaları | macOS 15 | ||||||||||
İsteğe bağlı hesap yaratma | macOS 14 | ||||||||||
Grup yönetimi ve ağ yetkilendirmesi | macOS 14 | ||||||||||
Sistem Ayarları’nda Platform SSO | macOS 14 | ||||||||||
Platform SSO ayarı
Platform SSO’yu kullanmak için Mac’in ve her kullanıcının IdP’ye kaydolması gerekir. IdP desteğine ve uygulanan yapılandırmaya bağlı olarak Mac, aygıt kaydını şu şekilde arka planda sessizce gerçekleştirebilir:
Aygıt yönetimi konfigürasyonunda sağlanan bir kayıt jetonu
Aygıt tanıtıcıları (UDID ve seri numarası) hakkında güçlü bir güvence sağlayan bir onaylama
Kullanıcıdan bağımsız olarak IdP ile güvenilir bir bağlantıyı sürdürmek için Platform SSO, paylaşılan aygıt anahtarlarını destekler. Otomatik Aygıt Kaydı sırasında Platform SSO, IdP’den alınan bilgilere göre isteğe bağlı olarak kullanıcı hesaplarının yaratılması, ağ yetkilendirmesi ve Kimliği Doğrulanmış Konuk Modu gibi özellikler için mümkün olduğunca, paylaşılan aygıt anahtarlarını kullanın.
Başarılı bir aygıt kaydından sonra, kullanıcı kaydolur (kullanıcı hesabı, Kimliği Doğrulanmış Konuk Modu’nu kullanmıyorsa). IdP’nin zorunlu kıldığı durumlarda, kullanıcı kaydı sırasında kullanıcının kaydolduğunu onaylaması istenebilir. Platform SSO’nun isteğe bağlı olarak yarattığı yerel kullanıcı hesapları için kullanıcı kaydı, arka planda otomatik olarak gerçekleşir.
Not: Aygıt yönetimi servisinden bir Mac’in kaydını silerseniz bu Mac’in IdP'deki kaydı da silinir.
Kimlik doğrulama yöntemleri
Platform SSO, IdP ile farklı kimlik doğrulama yöntemlerini destekler. Her biri için destek durumu, IdP’ye ve Platform SSO genişletmesine bağlıdır.
Parola: Bu yöntemle, kullanıcı yerel bir parola veya IdP parolası ile kimliğini doğrular. Ayrıca, kullanıcının hesabını yöneten IdP birleştirilmiş olsa bile kimliğini doğrulamasını sağlayan WS-Trust’ı da destekler.
Secure Enclave destekli anahtar: Bu yöntemle, Mac’inde oturum açan kullanıcı parola olmadan IdP ile kimlik doğrulamak için Secure Enclave destekli bir anahtar kullanabilir. IdP, kullanıcı kayıt işlemi sırasında Secure Enclave anahtarını ayarlar.
Akıllı kart: Bu yöntemle, kullanıcı akıllı karttan yararlanarak IdP ile kimliğini doğrular. Bu yöntemi kullanmak için şunlara ihtiyacınız vardır:
Akıllı kartı IdP’ye kaydedin.
Mac’te akıllı kart özellik eşlemesini ayarlayın.
Ayrıntılar ve örnek bir özellik eşleme konfigürasyonu için Akıllı Kart Servisleri projesi kılavuz sayfasına bakın.
Erişim anahtarı: Bu yöntemle kullanıcılar, IdP ile kimlik doğrulamak için Apple Cüzdan’da saklanan bir kartı kullanır. Akıllı karta benzer şekilde, erişim anahtarının IdP’ye kaydedilmesi gerekir.
İsteğe bağlı olarak kullanıcı hesapları yaratma gibi bazı işlevler için belirli bir kimlik doğrulama yöntemini kullanmanız gerekir.
Özellik | Parola | Secure Enclave destekli anahtar | Akıllı kart | Erişim kartı | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Grup yönetimi |  | | | | |||||||
Otomatik Aygıt Kaydı | | | |  | |||||||
Kimliği Doğrulanmış Konuk Modu | | | | | |||||||
İsteğe bağlı hesap yaratma | | | | | |||||||
Parola eşzamanlama | | | | | |||||||
Not: SSO genişletmesinin, kaydı gerçekleştirmek için istenen yöntemi desteklemesi gerekir. Yöntemlerin değiştirilmesi de desteklenir. Örneğin, bir kullanıcı adı ve parolayla giriş sırasında yeni bir kullanıcı hesabı yaratıldığında, giriş başarılı olduktan sonra bu hesap Secure Enclave destekli bir anahtar veya akıllı kart kullanımına geçiş yapabilir.
Otomatik Aygıt Kaydı sırasında Platform SSO
Kuruluşlar, Otomatik Aygıt Kaydı ile Ayarlama Yardımcısı sırasında Platform SSO’yu etkinleştirebilir ve uygulayabilir. Tek kullanıcılı aygıtlar için bu seçeneğin sunulmasının nedeni, kaydı doğrulayan kullanıcının yaratılan yerel bir hesaba otomatik olarak ulaşması ve desteklenen özgün uygulamalar ve web uygulamalarıyla SSO’yu hemen kullanabilmesidir.
Süreç şu şekilde işler:
macOS, kaydolunmasını ister ve kayıt sırasında Platform SSO’yu desteklediğini aygıt yönetimi servisine bildirir.
Aygıt yönetimi servisi, SSO konfigürasyonunun ve SSO genişletmesine sahip bir uygulama içeren paketin nerede bulunacağıyla ilgili bilgiler içeren bir 403 hatası gösterir.
macOS, Platform SSO genişletmesini ve konfigürasyonunu indirip yükler.
macOS, Platform SSO’yu ayarlayıp bir aygıt kaydı gerçekleştirir. Onaylama ayarlanmışsa kayıt sessizce arka planda yapılır. macOS daha sonra, kullanıcı kaydını yapmak için kullanıcının daha önce listelenen yöntemlerden birini kullanarak IdP’siyle kimliğini doğrulamasını ister. Kullanıcılar, başarılı bir Platform SSO kaydını tamamlamadan ilerleyemez.
IdP, kimlik doğrulama sürecini yönetir.
Başarılı bir kimlik doğrulama işleminden sonra IdP, macOS’e bir taşıyıcı jetonu döndürür.
macOS, aygıt yönetimi servisindeki kaydı doğrulamak için taşıyıcı jetonunu kullanır ve aynı IdP ile birleştirilmişse kullanıcının kimlik bilgilerini yeniden girmesine gerek kalmadan Yönetilen Apple Hesabı’na giriş yapmasını sağlayabilir. Bunun için kullanıcının iCloud Ayarlama Yardımcısı bölümünü görebilmesi gerekir.
macOS yerel bir hesap yaratır ve parola IdP ile eşzamanlanır veya kullanıcı yerel bir parola belirler (Platform SSO, Secure Enclave destekli bir anahtar kullandığında). Gerekirse Parola konfigürasyonunu kullanarak yerel parola için parola karmaşıklığı gereksinimlerini zorunlu kılabilirsiniz.
macOS, gerektiği şekilde ayarlanmışsa daha sonra yerel hesap giriş profil resmini IdP’den eşzamanlayabilir.
Zorunlu bir yazılım güncellemesi ile Otomatik Aygıt Kaydı sırasında Platform SSO’yu kullanabilirsiniz. Bu durumda, aygıt yönetimi servisinin önce güncellemeyi uygulatması gerekir.
macOS’in yarattığı kullanıcı hesabı, Mac’teki tek hesap ise yönetici hesabı hâline gelir. Aygıt yönetimi servisi, hesap konfigürasyonu komutunu kullanarak bir yönetici hesabı yarattıysa, Platform SSO grup yönetimini kullanarak kullanıcı hesabına farklı ayrıcalıklar atayabilirsiniz.
Tek oturum açma
Platform SSO; Genişletilebilir SSO’nun bir parçası olduğu için aynı tek oturum açma özelliklerini sağlar. Ayrıca kullanıcıların bir kez oturum açmasına, sonra ilk kimlik doğrulamasında sağlanan jetonu kullanarak, desteklenen özgün uygulamalarla ve web uygulamalarıyla kimliğini doğrulamasına izin verir.
Jetonlar yoksa, süreleri dolmuşsa veya dört saatten eskiyse Platform SSO, IdP’den yeni jeton almayı ya da jetonları yenilemeyi dener. Ayrıca Platform SSO’nun jetonun yenilenmesi yerine tam bir giriş gerektirmesi için gereken süreyi saniye cinsinden (en az 1 saat) ayarlayabilirsiniz. Saptanmış olarak, her 18 saatte bir tam giriş gerekir.
Sistem Ayarları’nda Platform SSO
Platform SSO kaydından sonra kullanıcılar, Sistem Ayarları > Kullanıcılar ve Gruplar > [kullanıcı adı] bölümünde kullanıcı kayıt durumunu denetleyebilir. Gerekirse kayıt onarımını başlatabilir ve kimlik doğrulama jetonunun yenilenmesini zorunlu tutabilirler.
Aygıt kayıt durumu, Kullanıcılar ve Gruplar > Ağ hesap sunucusu bölümünde görünür ve onarım yapma seçeneği de sunulur.
Parola eşzamanlama ve giriş politikaları
Parolayla kimlik doğrulama yöntemini kullanırsanız, kullanıcılar parolalarını yerel olarak veya uzaktan her değiştirdiğinde yerel kullanıcı parolası IdP ile otomatik olarak eşzamanlanır. Gerekirse macOS, kullanıcıdan önceki parolasını ister.
Saptanmış olarak FileVault’un, Kilitli Ekran’ın ve oturum açma penceresinin kilidini açmak için yerel hesap parolası gerekir. Girilen parola yerel kullanıcı hesabının parolasıyla eşleşmezse macOS, canlı bir kimlik doğrulama işlemi gerçekleştirmek için IdP’ye ulaşmaya çalışır. macOS, IdP’ye ulaşamazsa veya girilen parola IdP tarafından saklanan parolayla eşleşmezse kimlik doğrulama başarısız olur.
Oturum açma politikaları sayesinde, bu üç istemde IdP’den alınan şu anki hesap parolasının hemen kullanılmasına izin verebilirsiniz. Ayrıca aşağıdaki politikaları FileVault, Kilitli Ekran ve oturum açma penceresi için ayrı ayrı ayarlayabilirsiniz:
Kimlik doğrulamayı deneyin.
Ayarlanmış olduğu durumlarda, IdP ile canlı kimlik doğrulama işlemi denenir.
Mac çevrimiçiyse devam etmek için IdP ile başarılı bir kimlik doğrulamanın gerçekleştirilmesi gerekir (ilk denemeden sonra Mac çevrimdışı olsa bile).
Kimlik doğrulama başarılı olursa Platform SSO, yerel parolayı günceller.
Mac çevrimdışıysa kullanıcı, yerel hesap parolasını kullanabilir.
Kimlik doğrulamasını zorunlu tutun.
Ayarlanmış olduğu durumlarda, devam etmek için IdP ile canlı kimlik doğrulama gerekir.
Mac çevrimiçiyse devam etmek için IdP ile başarılı bir kimlik doğrulamanın gerçekleştirilmesi gerekir (çevrimdışı bir süre ayarlanmış olsa bile).
Kimlik doğrulama başarılı olursa Platform SSO, yerel parolayı günceller.
Mac çevrimdışıysa kullanıcılar oturum açamaz. Böyle durumlarda, çevrimdışı bir süre tanıyabilir ve bir önceki başarılı oturum açma işleminden sonra kaç gün geçmesine izin verileceğini ayarlayabilirsiniz (bu süre içinde kullanıcı, yerel hesap parolasını kullanmaya devam edebilir).
Mac’te oturum açan herhangi bir hesabın Platform SSO tarafından yönetilmesinin gerekip gerekmeyeceğini veya yalnızca yerel hesaplarla oturum açılmasına hâlâ izin verilip verilmeyeceğini ayarlayabilirsiniz. Bu ayarın, politika uygulandıktan veya güncellendikten kaç gün sonra zorunlu hâle getirileceğini belirlemek de mümkündür. Bu, yerel hesapların geçici olarak kullanılmasına izin verir. Örneğin, Platform SSO aygıtı kaydını gerçekleştirmek veya onarmak için aygıt yönetimi servisi tarafından yaratılmış bir yönetici hesabını geçici olarak kullanabilirsiniz.
Canlı kimlik doğrulama yerine, kullanıcıların Kilitli Ekran’da Touch ID’yi veya Apple Watch’u kullanmasına da izin verebilirsiniz.
Gerekirse yerel hesaplar (sizin tanımladığınız şekilde) giriş politikalarından muaf tutulabilir ve Platform SSO’ya kaydolmaları istenmeyebilir.
Grup yönetimi ve ağ yetkilendirmesi
Platform SSO, kullanıcılara Mac’lerinde ihtiyaç duydukları ayrıcalık düzeyini sağlamak için ayrıntılı hak yönetimi sunar. Bunun için Platform SSO, kullanıcı her kimlik doğruladığında bir hesaba şu ayrıcalıkları uygulayabilir:
Standart: Hesap, standart kullanıcı ayrıcalıklarını kazanır.
Yönetici: Hesabı yerel yönetici grubuna ekler.
Gruplar: Ayrıcalıkları grup üyeliğine göre tanımlayın. Bu ayrıcalıklar, kullanıcı IdP ile kimliğini her doğruladığında güncellenir.
Grupları kullandığınızda hesaplar, aşağıdaki üyeliklere göre ayrıcalıklar alır:
Yönetici grupları: Hesap listelenen bir grubun parçasıysa yerel yönetici erişimine sahip olur.
Yetkilendirme grupları: Yerleşik veya özel tanımlanmış bir yetkilendirme hakkına atanmış bir grubun parçası olan hesapların, o grupla ilişkili ayrıcalıkları vardır. Örneğin, macOS şu yetkilendirme haklarını kullanır:
Hesabın saat ayarlarını değiştirmesine izin veren
system.preferences.datetime.Hesabın enerji tasarrufu ayarlarını değiştirmesine izin veren
system.preferences.energysaver.Hesabın ağ ayarlarını değiştirmesine izin veren
system.preferences.network.Hesabın yazıcı eklemesine veya silmesine izin veren
system.preferences.printing.
Ek gruplar: macOS’in yerel dizin içinde otomatik olarak yarattığı (zaten yoksa), macOS veya belirli uygulamalar için özel tanımlanmış gruplar. Örneğin,
sudoerişimini tanımlamak içinsudokonfigürasyonunda ek bir grup kullanabilirsiniz.
Ağ yetkilendirmesi
Platform SSO, yetkilendirme amacıyla IdP kimlik bilgilerinin kullanımını Mac’te yerel bir hesabı olmayan kullanıcıları içerecek şekilde genişletir. Bu hesaplar, grup yönetimiyle aynı grupları kullanır. Örneğin, hesap yönetici gruplarından birinin üyesiyse yönetici yetkilendirme istemlerini gerçekleştirebilir. Bu işlevi kullanmak için Platform SSO’yu paylaşılan aygıt anahtarlarıyla ayarlayın.
Güvenli bir jeton, sahiplik izinleri veya şu an oturum açmış olan kullanıcı tarafından kimlik doğrulamasının gerektiği yetkilendirme istemlerinde ağ yetkilendirmesi mümkün değildir.
İsteğe bağlı hesap yaratma
Kullanıcılar, paylaşılan dağıtımlarda hesap yönetimini kolaylaştırmak için kendi IdP kullanıcı adları ve parolaları veya akıllı kartla Mac’te oturum açabilir ve yerel bir hesap yaratabilir.
Otomatik İlerleme ile Otomatik Aygıt Kaydı’nı kullanarak tamamen otomatik bir hazırlık süreci gerçekleştirebilirsiniz. Bir aygıt yönetimi servisini kullanarak ilk yerel yönetici hesabını yaratmanız ve sessiz Platform SSO kaydını gerçekleştirmeniz gerekir.
İsteğe bağlı hesap yaratma özelliğini kullanmak için aşağıdakiler gerekir:
Mac’i ön yükleme (bootstrap) jetonlarını destekleyen bir aygıt yönetimi servisine kaydedin.
Şunları ekleyin: Platform SSO, paylaşılan aygıt anahtarları ve oturum açarken kullanıcı yaratma seçeneği olan bir SSO genişletme konfigürasyonu.
Ayarlama Yardımcısı’nı tamamlayın ve yerel bir yönetici hesabı yaratın.
Mac’in oturum açma penceresinde, FileVault kilidinin açık olmasını ve ağ bağlantısının bulunmasını sağlayın.
İsteğe bağlı bir konfigürasyon seçeneğini kullanarak, yerel hesap adı (genellikle kullanıcının kısa adı denir) ve tam ad için IdP’deki hangi özelliğin kullanılacağını tanımlayabilirsiniz. Yöneticiler, UPN ön ekinin kullanılmasını sağlamak için hesap adı anahtarını com.apple.PlatformSSO.AccountShortName olarak da ayarlayabilir.
Oturum açma sırasında yeni yaratılan hesaplara uygulanacak ayrıcalıkları da tanımlayabilirsiniz. Grup yönetimi için aynı seçenekler kullanılabilir:
Standart: Hesap, standart kullanıcı ayrıcalıklarını kazanır.
Yönetici: Hesabı yerel yönetici grubuna ekler.
Gruplar: Ayrıcalıkları grup üyeliğine göre tanımlayın. Bu ayrıcalıklar, kullanıcı IdP ile kimliğini her doğruladığında güncellenir.
Kimliği Doğrulanmış Konuk Modu
Kimliği Doğrulanmış Konuk Modu; yalnızca kısa bir süre için IdP kimlik bilgileriyle giriş yapmaları gerektiği için farklı kullanıcıların yerel bir hesap yaratmasına gerek kalmayan, tıbbi klinik veya okul gibi paylaşılan dağıtımlara yönelik hızlandırılmış bir oturum açma deneyimi sağlar. Kullanıcı, saptanmış olarak standart kullanıcı ayrıcalıklarına sahip olsa da Platform SSO grup yönetimini kullanarak bu ayrıcalıkları değiştirebilirsiniz.
Bu özelliği kullanmak için isteğe bağlı hesap yaratma özelliğiyle aynı gereksinimler geçerli olsa da, oturum açarken kullanıcı yaratma seçeneği yerine Kimliği Doğrulanmış Konuk Modu’nu ayarlarsınız.
Kullanıcılar oturumu kapattığında macOS, ilgili hesaplar için tüm yerel verileri siler ve paylaşılan Mac bir sonraki kullanıcının oturum açmasına hazır hâle gelir.
Oturum Açmak İçin Dokunun
Oturum Açmak İçin Dokunun özelliği, dijital kimlik bilgisi işlevlerini Apple Cüzdan’dan macOS’e taşır. Son birkaç yılda kuruluşlar, kullanıcıların fiziksel kart olmadan yalnızca bir iPhone veya Apple Watch dokunuşuyla kapıları açmalarını sağlayan, Apple Cüzdan’daki dijital giriş kartlarını benimsedi. Aynı deneyim Mac’te de kullanılabiliyor.
Bu kimlik doğrulama yöntemi; eğitim kurumları, perakende tesisleri ve sağlık merkezleri de dahil olmak üzere bir Mac’i birden fazla kullanıcıyla paylaşan kuruluşlar için özellikle faydalıdır.
Oturum Açmak İçin Dokunun özelliğiyle kullanıcılar, iPhone’larını veya Apple Watch’larını bağlı bir NFC okuyucusuna dokundurarak Kimliği Doğrulanmış Konuk Modu için ayarlanmış bir Mac’te kimlik doğrulayabilir. Bu, uygulamalarda ve web sitelerinde kullanıcıları otomatik olarak doğrulayan ve hızlı bir şekilde oturum açılmasını ve işe başlanmasını sağlayan güvenli bir tek oturum açma işlemini başlatır.
Kullanıcı kimlik bilgileri, bir iPhone uygulaması veya tarayıcıdaki Apple Cüzdan kartı şeklindeki erişim anahtarları olarak hazırlanır. Bu erişim anahtarları, aygıtın Secure Enclave bölümünde saklanır. Böylece donanım destekli ve şifreli olup kurcalama veya çıkarma girişimlerine karşı korunurlar. Hızlı Mod işlevi, kullanıcıların aygıtlarını uyandırması veya aygıt kilidini açması gerekmeden, Apple Cüzdan’daki toplu taşıma kartlarının işleyişine benzer şekilde kimliğin anında doğrulanmasına izin vererek kolaylık sağlar.
Oturum Açmak İçin Dokunun işlevini uygulamak için Mac’in şu özelliklere sahip olması gerekir:
Kimliği Doğrulanmış Konuk Modu için ayarlama yapılmış olmalıdır
Desteklenen bir harici NFC okuyucuya sahip olmalıdır
Erişim anahtarlarının yaratılması ve yönetilmesi için Apple Cüzdan Erişim Programı’na katılım gerekir. Erişim anahtarının nasıl yaratılacağı hakkında daha fazla bilgi için Apple Cüzdan Erişim Programı Kılavuzu’ndaki Hazırlık bölümüne bakın.