Єдиний вхід на платформу (SSO) для macOS
Огляд
Завдяки єдиному входу на платформу (SSO платформи) ви (або розробник, що спеціалізується на керуванні ідентифікаційними даними) можете створювати розширення SSO, які дають змогу користувачам автентифікуватися за допомогою облікового запису постачальника посвідчення вашої організації (IdP) на Mac під час роботи з Асистентом налаштування. Функцію SSO платформи можна поєднувати з іншими розширеннями SSO, враховуючи вказане нижче.
Окремий домен можна опрацьовувати лише за допомогою одного розширення SSO.
У конфігурації Kerberos SSO для параметра
syncLocalPasswordнеобхідно встановити значенняfalse.
Функції
SSO платформи підтримує вказані нижче функції.
Активація та застосування SSO платформи під час автоматизованої реєстрації пристроїв, щоб автентифікувати реєстрацію, увійти з керованим обліковим записом Apple і створити локального користувача.
Надання функції єдиного входу для вбудованих і вебпрограм.
Деталі стану й реєстрації SSO платформи доступні в розділі «Системні параметри».
Синхронізування паролів локальних облікових записів користувачів із IdP і визначення політик входу.
Визначення групових привілеїв облікових записів IdP і можливість для користувачів використовувати лише мережеві облікові записи IdP під час запитів на авторизацію.
Створення локальних облікових записів користувачів за запитом під час входу з обліковими даними з облікового запису IdP.
Підтримка гостьових користувачів, які тимчасово входять у систему на спільних комп’ютерах Mac за допомогою своїх облікових даних IdP.
Примітка. Більшість функцій потребує підтримки розширення SSO. Щоб дізнатися більше про впровадження SSO платформи у вашій організації, перегляньте документацію IdP.
Вимоги
Комп’ютер Mac з Apple Silicon або Mac із процесором Intel і Touch ID
Служба керування пристроями, яка підтримує налаштування розширюваного єдиного входу, що включає параметри для SSO платформи
Програма з розширенням SSO платформи, сумісним з IdP
macOS 13 або новіша
Для вказаних нижче функцій мають виконуватися додаткові вимоги до версій.
Функція | Мінімальна підтримувана версія операційної системи | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Режим гостя з автентифікацією | macOS 26 | ||||||||||
Торкніть, щоб увійти | macOS 26 | ||||||||||
SSO платформи під час автоматизованої реєстрації пристроїв | macOS 26 | ||||||||||
Префікс UPN як імʼя локального облікового запису | macOS 15.4 | ||||||||||
Атестація для ідентифікаторів пристрою | macOS 15.4 | ||||||||||
Політики входу | macOS 15 | ||||||||||
Створення облікових записів за запитом | macOS 14 | ||||||||||
Керування групами та мережева авторизація | macOS 14 | ||||||||||
SSO платформи в Системних параметрах | macOS 14 | ||||||||||
Налаштування єдиного входу для платформи
Щоб використовувати SSO платформи, Mac і кожний користувач мають зареєструватися в IdP. Залежно від підтримки IdP та застосованої конфігурації Mac може виконувати реєстрацію пристроїв непомітно у фоновому режимі за допомогою вказаних нижче можливостей:
Токен реєстрації постачальника ідентифікаційних даних, наданий у розширюваній конфігурації єдиного входу.
Атестація, яка надає надійне підтвердження того, що Mac є оригінальним пристроєм Apple, і може включати ідентифікатори пристроїв (UDID і серійний номер).
Щоб підтримувати надійне зʼєднання з IdP незалежно від користувача, SSO платформи підтримує спільні ключі пристроїв. За можливості використовуйте спільні ключі пристроїв, оскільки вони потрібні для автоматизованої реєстрації пристроїв, створення облікових записів за запитом, мережевої авторизації та режиму гостя з автентифікацією.
Після успішної реєстрації пристрою користувач також реєструється, якщо для його облікового запису не використовується режим гостя з автентифікацією. Якщо IdP вимагає цього, користувачу може надсилатися запит на підтвердження реєстрації. Для локальних облікових записів, створених за запитом, SSO платформи автоматично реєструє користувача у фоновому режимі.
Примітка. Якщо ви скасовуєте реєстрацію Mac у службі керування пристроями, його реєстрацію також буде скасовано в системі IdP.
Методи автентифікації
Функція SSO платформи підтримує різні методи автентифікації за допомогою IdP. Підтримка кожного з них залежить від IdP та розширення SSO платформи.
Пароль. Цей метод забезпечує автентифікацію користувача з використанням локального пароля або пароля постачальника ідентифікаційних даних. Крім того, підтримується WS-Trust, що дає змогу користувачу автентифікуватися, навіть коли IdP, що керує його обліковим записом, є федеративним.
Ключ Secure Enclave. За допомогою цього методу, користувач, який входить у систему на пристрої Mac, може використовувати ключ Secure Enclave для автентифікації в системі постачальника ідентифікаційних даних без пароля. IdP налаштовує ключ Secure Enclave у процесі реєстрації користувача.
Смарткартка. Цей метод забезпечує автентифікацію користувача через IdP за допомогою смарткартки. Щоб використовувати цей спосіб, потрібно:
зареєструвати смарткартку в системі IdP;
налаштувати на Mac зіставлення атрибутів смарткартки.
Більше інформації та приклад конфігурації зіставлення атрибутів доступні на сторінці проєкту «Служби смарткарток».
Ключ доступу. У цьому методі користувачі використовують картку, збережену в Гаманці Apple, для автентифікації в системі IdP. Так само як і смарткартка, ключ доступу потрібно зареєструвати в системі IdP.
Для деяких функцій, як‑от створення облікових записів за запитом, потрібно використовувати певний метод автентифікації.
Функція | Пароль | Ключ Secure Enclave | Смарткартка | Ключ доступу | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Керування групами |  | | | | |||||||
Автоматизована реєстрація пристрою | | | |  | |||||||
Режим гостя з автентифікацією | | | | | |||||||
Створення облікових записів за запитом | | | | | |||||||
Синхронізація паролів | | | | | |||||||
Примітка. Для виконання реєстрації розширення SSO має підтримувати потрібний метод. Ви також можете змінювати методи, наприклад, обліковий запис, створений із використанням імені користувача й пароля, може перевести на ключ Secure Enclave або смарт-карту після успішного входу.
Єдиний вхід для платформи під час автоматизованої реєстрації пристроїв
Організації можуть активувати й застосовувати SSO платформи під час роботи Асистента налаштування з автоматизованою реєстрацією пристроїв. Цей варіант найкраще підходить для пристроїв з одним користувачем. macOS автоматично створює локальний обліковий запис для користувача, що авторизується під час реєстрації, і він може відразу використовувати доступ через SSO з підтримуваними вбудованими та вебпрограмами.
Якщо налаштовано, macOS викачує та інсталює розширення і конфігурацію єдиного входу на платформу. Це може статися до виконання фактичної реєстрації в службі керування пристроями, що дозволяє автентифікувати реєстрацію за допомогою SSO, або після реєстрації, коли комп’ютер Mac залишається в стані очікування налаштування. Під час цього процесу Mac виконує реєстрацію пристроїв у фоновому режимі або з відображенням запитів для користувача й пропонує користувачу автентифікуватися за допомогою IdP, щоб зареєструвати його. Користувачі не можуть продовжити без успішної реєстрації в SSO платформи.
Після успішної автентифікації macOS створює локальний обліковий запис, і пароль або синхронізується з IdP, або користувач задає локальний пароль (коли для SSO платформи використовується ключ Secure Enclave). Якщо потрібно, ви можете примусово застосувати вимоги до складності локального пароля шляхом налаштування коду допуску.
Якщо це налаштовано, macOS може синхронізувати зображення профіля входу в локальному обліковому записі з IdP.
Під час автоматизованої реєстрації пристрою можна використовувати SSO платформи з примусовим оновленням ПЗ. У такому разі службі керування пристроями потрібно спочатку виконати оновлення.
Якщо обліковий запис користувача, створений macOS, є єдиним на Mac, він стає обліковим записом адміністратора. Якщо служба керування пристроями створила обліковий запис адміністратора за допомогою команди налаштування облікового запису, ви можете призначити обліковому запису користувача інші права за допомогою функції керування групами SSO платформи.
єдиний вхід
Оскільки SSO платформи є частиною розширюваного SSO, користувач входить в систему один раз і використовує цей токен автентифікації для доступу до підтримуваних вбудованих і вебпрограм.
Якщо токени відсутні, застаріли або їх було створено понад чотири години тому, SSO платформи намагається оновити їх або отримати нові від IdP. Крім того, можна задати період у секундах (мінімум одна година), протягом якого SSO платформи не потребуватиме введення всіх даних для входу, а лише оновлення токена. Стандартне значення — 18 годин.
SSO платформи в Системних параметрах
Після реєстрації в SSO платформи користувачі можуть перевірити стан своєї реєстрації в розділі Системні параметри > Користувачі та групи > [ім’я користувача]. У цьому розділі вони можуть полагодити реєстрацію чи оновити свій токен автентифікації.
Статус реєстрації пристрою відображається в розділі Користувачі та групи > Сервер мережевих облікових записів, де також можна виконати лагодження.
Політики синхронізації паролів і входу
Якщо ви використовуєте метод автентифікації за допомогою пароля, локальний пароль користувача автоматично синхронізується з IdP, коли користувач змінює свій пароль локально або віддалено. Якщо це необхідно, macOS запитує в користувача попередній пароль.
Стандартно для відмикання FileVault, екрана блокування та вікна входу потрібен пароль локального облікового запису. Якщо введений пароль не збігається з паролем локального облікового запису користувача, macOS намагається звʼязатися з IdP, щоб виконати автентифікацію в режимі онлайн. Якщо macOS не може звʼязатися з IdP або введений пароль не збігається з паролем, збереженим IdP, виникає помилка автентифікації.
За допомогою політик входу можна дозволити використання поточного пароля облікового запису IdP відразу в цих трьох запитах. Можна також окремо задати вказані нижче політики для FileVault, екрана блокування та вікна входу:
Спроба автентифікації
Якщо налаштовано, відбувається спроба автентифікації в режимі онлайн за допомогою IdP.
Якщо Mac підʼєднано до інтернету, необхідно успішно виконати автентифікацію через IdP, щоб продовжити, навіть якщо Mac відʼєднано від мережі після першої спроби.
Якщо автентифікація успішна, SSO платформи оновлює локальний пароль.
Якщо Mac не підʼєднано до інтернету, користувач може використовувати пароль свого локального облікового запису.
Вимога автентифікації
Якщо налаштовано, для продовження потрібна автентифікація в режимі онлайн через IdP.
Якщо Mac підʼєднано до інтернету, для продовження необхідно успішно пройти автентифікацію через IdP, незалежно від налаштованого періоду відтермінування без інтернет-зʼєднання.
Якщо автентифікація успішна, SSO платформи оновлює локальний пароль.
Якщо Mac не підʼєднано до мережі, користувачі не можуть увійти в систему. У таких випадках можна ввімкнути період відтермінування без з’єднання з інтернетом і встановити для нього кількість днів після попереднього успішного входу, протягом якого користувач може використовувати пароль локального облікового запису.
Можна визначити, чи всіма обліковими записами, з використанням яких виконується вхід на Mac, потрібно керувати за допомогою SSO платформи або все ж дозволено вхід за допомогою лише локальних облікових записів. Крім того, можна визначити період відстрочки (у днях) після застосування політики до початку її виконання. У такий спосіб можна дозволити тимчасово використовувати локальні облікові записи. Наприклад, ви можете тимчасово використовувати обліковий запис адміністратора, створений службою керування пристроями, щоб виконати або полагодити реєстрацію пристроїв SSO платформи.
Замість автентифікації в режимі онлайн можна також дозволити користувачам використовувати Touch ID або Apple Watch на замкненому екрані.
Якщо потрібно, локальні облікові записи (за вашим визначенням) можна виключити з політик входу, і вони не пропонуватимуться для реєстрації в SSO платформи.
Керування групами та мережева авторизація
SSO платформи може надавати деталізоване керування правами, застосовуючи вказані нижче права до облікового запису щоразу, коли користувач автентифікується.
Стандартні. Обліковий запис отримує стандартні привілеї користувача.
Адміністратор. Додає обліковий запис до групи локальних адміністраторів.
Групи. Привілеї визначаються за членством у групі, і вони оновлюються щоразу, коли користувач автентифікується за допомогою IdP.
Коли ви використовуєте групи, обліковий запис отримує привілеї на основі належності до вказаних нижче груп.
Групи адміністраторів. Якщо обліковий запис належить до вказаної групи, він має локальні права адміністратора.
Групи авторизації. Якщо обліковий запис належить до групи, якій призначено вбудоване або власне право авторизації, то обліковий запис отримує привілеї, повʼязані з такою групою. Наприклад, macOS використовує такі права авторизації:
system.preferences.datetime, що дозволяє обліковому запису змінювати параметри часу.system.preferences.energysaver, що дозволяє обліковому запису змінювати параметри заощадження енергії.system.preferences.network, що дозволяє обліковому запису змінювати параметри мережі.system.preferences.printing, що дозволяє обліковому запису додавати чи вилучати принтери.
Додаткові групи. Власні групи для macOS або певних програм, які macOS створює автоматично в локальному каталозі (якщо їх ще не існує). Наприклад, ви можете використовувати додаткову групу в конфігурації
sudo, щоб визначити доступsudo.
Мережева авторизація
SSO платформи дозволяє користувачам, які не мають локального облікового запису на Mac, використовувати для авторизації облікові дані IdP. Ці облікові записи використовують такі самі групи, як і керування групами. Наприклад, якщо обліковий запис належить до однієї з груп адміністраторів, він може виконувати запити на авторизацію адміністратора. Щоб використовувати цю функцію, налаштуйте SSO платформи зі спільними ключами пристроїв.
Мережева авторизація неможлива із запитами на авторизацію, які потребують токена безпеки, прав власності або автентифікації за поточним користувачем, який виконав вхід.
Створення облікових записів за запитом
У спільних розгортаннях користувачі можуть входити в систему за допомогою свого ім’я і пароля IdP або смарт-картки, щоб автоматично створити локальний обліковий запис.
Можна повністю автоматизувати процес ініціалізації за допомогою функції «Автоматизована реєстрація пристрою» з автопереходом. Потрібно створити перший локальний обліковий запис адміністратора за допомогою служби керування пристроями та виконати реєстрацію в SSO платформи у фоновому режимі.
Щоб створювати облікові записи за запитом, потрібно виконати вказані нижче дії:
Зареєструйте Mac у службі керування пристроями, що підтримує токени самозавантаження.
Додайте конфігурацію розширення SSO з єдиним входом на платформу, спільними ключами пристроїв і можливістю створювати користувача під час входу.
Завершіть роботу Асистента налаштування та створіть локальний обліковий запис адміністратора.
На Mac у вікні входу має бути відімкнуто FileVault і встановлено мережеве зʼєднання.
Використовуючи необов’язкову конфігурацію, можна вказати, який атрибут IdP використовувати як ім’я (коротке ім’я) і повне ім’я локального облікового запису. Адміністратори також можуть задати ключ для імені облікового запису як com.apple.PlatformSSO.AccountShortName, щоб використовувати префікс UPN.
Крім того, можна визначити привілеї, які потрібно застосувати до новостворених облікових записів під час входу. Для керування групами доступні такі самі опції:
Стандартні. Обліковий запис отримує стандартні привілеї користувача.
Адміністратор. Додає обліковий запис до групи локальних адміністраторів.
Групи. Привілеї визначаються за членством у групі, і вони оновлюються щоразу, коли користувач автентифікується за допомогою IdP.
Режим гостя з автентифікацією
Режим гостя з автентифікацією пропонує швидкий процес входу для спільних розгортань, як‑от лікарських кабінетів або шкіл, де користувачі входять у систему на короткий період за допомогою своїх облікових даних IdP і їм не потрібно створювати постійний локальний обліковий запис. Типово користувач отримує стандартні привілеї, але їх можна змінити за допомогою групового керування SSO платформи.
Вимоги ті самі, що й для створення облікових записів за запитом, за винятком того, що замість опції створення користувача під час входу налаштовується режим гостя з автентифікацією.
Коли користувач виходить із системи, macOS стирає всі локальні дані для цього облікового запису, і спільний Mac готовий до входу наступного користувача.
Функція «Торкніть, щоб увійти»
Функція цифрових облікових даних «Торкніть, щоб увійти» тепер пропонується не лише для Гаманця Apple, а й для macOS. Організації, які вже використовують цифрові перепустки в Гаманці Apple (що дозволяє користувачам відмикати двері простим піднесенням iPhone або Apple Watch до замка), можуть тепер розширити цю ж функціональність на вхід на Mac.
Цей спосіб автентифікації особливо зручний для організацій, у яких комп’ютером Mac спільно користуються кілька користувачів, зокрема для навчальних закладів, підприємств роздрібної торгівлі й медзакладів.
За допомогою функції «Торкніть, щоб увійти» користувачі можуть автентифікуватися на Mac, якщо на ньому налаштовано режим гостя з автентифікацією, коли прикладуть свій iPhone або Apple Watch до прикріпленого NFC-зчитувача. Це запускає безпечний процес єдиного входу, завдяки якому користувачі можуть пройти автоматичну автентифікацію в програмах і на вебсайтах, що дає змогу швидко входити в систему й починати роботу.
Облікові дані користувача надаються як ключі доступу в картці Гаманця Apple через програму або браузер на iPhone. Ці ключі доступу зберігаються в архітектурі Secure Enclave пристрою, тому вони апаратно захищені й зашифровані, що допомагає захистити їх від спроб змінення чи вилучення. Функція «Експрес-режим» дає користувачам змогу миттєво авторизуватися без пробудження чи відмикання пристрою, як це працює з проїзними в Гаманці Apple.
Щоб почати використовувати функцію «Торкніть, щоб увійти», Mac має бути:
налаштовано для режиму гостя з автентифікацією;
оснащено підтримуваним зовнішнім NFC-зчитувачем.
Для створення ключів доступу й керування ними потрібна участь у програмі доступу до Гаманця Apple. Додаткова інформація про створення ключа доступу представлена в розділі Ініціалізування посібника програми доступу до Гаманця Apple.