适用于 macOS 的平台单点登录
通过平台单点登录(平台 SSO),你(或身份管理方面的专业开发者)可以构建 SSO 扩展来允许用户在处于初始设置阶段的 Mac 上使用来自 IdP 的组织账户。
功能
平台 SSO 支持以下功能:
在自动设备注册期间激活和强制执行平台 SSO 以认证注册,通过管理式 Apple 账户登录,以及创建本地用户。
为原生和网页 App 提供单点登录体验。
在“系统设置”中获取平台 SSO 的相关信息。
将本地用户账户的密码与 IdP 同步,以及定义登录策略。
定义 IdP 账户的群组许可,以及允许用户在出现授权提示时使用纯网络 IdP 账户。
通过来自 IdP 账户的凭证登录时按需创建本地用户账户。
支持在共享 Mac 电脑上通过其 IdP 凭证临时登录的客人用户。
【注】大多数功能需要 SSO 扩展支持。若要进一步了解在组织中实施平台 SSO 的信息,请参阅 IdP 文稿。
需要:
搭载 Apple 芯片的 Mac 或基于 Intel 且配备触控 ID 的 Mac
支持“可扩展单点登录”配置(包括平台 SSO 设置)的设备管理服务
包含与 IdP 兼容的平台 SSO 扩展的 App
macOS 13 或更高版本
以下功能具有额外版本要求:
功能 | 支持的最低操作系统版本 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
已认证客人模式 | macOS 26 | ||||||||||
轻点登录 | macOS 26 | ||||||||||
自动设备注册期间的平台 SSO | macOS 26 | ||||||||||
UPN 前缀作为本地账户名称 | macOS 15.4 | ||||||||||
设备标识符证明 | macOS 15.4 | ||||||||||
登录策略 | macOS 15 | ||||||||||
按需账户创建 | macOS 14 | ||||||||||
群组管理和网络授权 | macOS 14 | ||||||||||
“系统设置”中的平台 SSO | macOS 14 | ||||||||||
平台 SSO 设置
若要使用平台 SSO,Mac 和每位用户都需要通过 IdP 注册。取决于不同 IdP 支持情况和应用的配置,Mac 可使用以下内容在后台静默执行设备注册:
设备管理配置中提供的注册令牌
提供设备标识符(UDID 和序列号)相关强力保证的证明
为维持与 IdP 的受信任连接而不受用户影响,平台 SSO 支持共享设备密钥。尽可能使用共享设备密钥,自动设备注册期间的平台 SSO、基于 IdP 信息的按需用户账户创建、网络授权和已认证客人模式等功能均需共享设备密钥。
设备注册成功后则是用户注册(除非用户账户使用已认证客人模式)。如果 IdP 要求,用户注册可包含让用户确认其注册的提示。对于平台 SSO 按需创建的本地用户账户,用户注册会在后台自动进行。
【注】如果从设备管理服务取消注册 Mac,则也会从 IdP 取消注册它。
认证方式
平台 SSO 支持通过 IdP 进行认证的不同方法。每种方法的支持情况取决于 IdP 和平台 SSO 扩展。
密码:借助此方法,用户可使用本地密码或 IdP 密码认证。它还支持 WS 信任,可允许用户进行认证,即使管理其账户的 IdP 已联合也不受影响。
安全隔区支持的密钥:借助此方法,登录其 Mac 的用户可使用由安全隔区支持的密钥通过 IdP 进行认证,无需使用密码。IdP 会在用户注册过程中设置安全隔区密钥。
智能卡:借助此方法,用户可使用智能卡通过 IdP 进行认证。若要使用此方法,你需要:
通过 IdP 注册智能卡。
在 Mac 上配置智能卡属性映射。
有关详细信息和属性映射配置的示例,请参阅智能卡服务项目的 man 页面。
访问密钥:借助此方法,用户使用储存在 Apple 钱包中的凭证通过 IdP 进行认证。与智能卡类似,访问密钥需要通过 IdP 注册。
按需创建用户账户等某些功能需要你使用特定认证方法。
功能 | 密码 | 安全隔区支持的密钥 | 智能卡 | 访问密钥 | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
群组管理 |  | | | | |||||||
自动设备注册 | | | |  | |||||||
已认证客人模式 | | | | | |||||||
按需账户创建 | | | | | |||||||
密码同步 | | | | | |||||||
【注】SSO 扩展需要支持执行注册的所需方法。切换方法也同样受支持。例如,登录期间通过用户名和密码创建新用户账户时,该账户可在登录成功后切换为使用安全隔区支持的密钥或智能卡。
自动设备注册期间的平台 SSO
组织可在“设置助理”运行期间通过自动设备注册激活和强制执行平台 SSO。这是用于单用户设备的选项,因为认证注册的用户会自动创建本地账户,并可立即配合支持的原生和网页 App 使用 SSO。
该过程运行方式如下:
macOS 请求注册并告知设备管理服务其在注册期间支持平台 SSO。
设备管理服务返回 403 错误,其中包括的信息指示 SSO 配置和带有 SSO 扩展的 App 所在软件包的位置。
macOS 下载并安装平台 SSO 扩展和配置。
macOS 配置平台 SSO 并执行设备注册。如果已配置证明,注册会在后台静默完成。macOS 随后会提示用户使用之前列出的一种方法通过 IdP 认证,以进行用户注册。成功进行平台 SSO 注册后,用户才能继续操作。
IdP 对认证进行处理。
成功认证后,IdP 会向 macOS 返回不记名令牌。
macOS 使用该不记名令牌在设备管理服务中认证注册,如果联合至相同 IdP,还可为用户登录其管理式 Apple 账户而无需重新输入其凭证。若要让此过程生效,iCloud “设置助理”面板需要对用户可见。
macOS 创建本地账户,密码会与 IdP 同步或者由用户设定本地密码(平台 SSO 使用安全隔区支持的密钥时)。如有必要,你可以使用“密码”配置为本地密码强制执行密码复杂度要求。
若已配置,macOS 随后可从 IdP 同步本地账户登录头像。
你可以在自动设备注册期间配合强制执行软件更新使用平台 SSO。在这种情况下,设备管理服务需要先强制执行更新。
如果 macOS 创建的用户账户是 Mac 上的唯一账户,则会变为管理员账户。如果设备管理服务使用账户配置命令创建了管理员账户,你可以使用平台 SSO 群组管理为用户账户分配不同权限。
单点登录
平台 SSO 属于可扩展 SSO,因此会提供相同的单点登录功能,且允许用户登录一次后使用初始认证提供的令牌来认证支持的原生和网页 App。
如果令牌丢失、过期或存在超过四小时,平台 SSO 会尝试刷新或从 IdP 取回新令牌。另外,你还可以配置平台 SSO 需要完整登录(而非令牌刷新)前等待的时长(以秒为单位,最少 1 小时)。默认每 18 小时需要一次完整登录。
“系统设置”中的平台 SSO
平台 SSO 注册后,用户可在“系统设置”>“用户与群组”> [用户名]中检查用户注册状态。如有必要,用户可发起注册修复并强制刷新其认证令牌。
设备注册状态在“用户与群组”>“网络账户服务器”中可见,且提供执行修复的选项。
密码同步和登录策略
如果使用密码认证方法,只要用户更改其密码(无论本地或远程更改),本地用户密码都会自动与 IdP 同步。如有必要,macOS 会提示用户输入其之前的密码。
解锁文件保险箱、锁定屏幕和登录窗口中默认需要本地账户密码。如果输入的密码与本地用户账户密码不符,macOS 会尝试联系 IdP 执行实时认证。如果 macOS 无法联系 IdP 或输入的密码与 IdP 储存的密码不符,认证会失败。
通过登录策略,你可以允许出现这三种提示时立即使用来自 IdP 的当前账户密码。你还可以为文件保险箱、锁定屏幕和登录窗口分别设定以下策略:
尝试认证。
若已配置,会尝试通过 IdP 进行实时认证。
如果 Mac 在线,通过 IdP 成功认证后才能继续执行操作,即使 Mac 在第一次尝试后变为离线也不影响。
如果认证成功,平台 SSO 会更新本地密码。
如果 Mac 离线,用户可使用其本地账户密码。
需要认证。
若已配置,通过 IdP 进行实时认证后才能继续执行操作。
如果 Mac 在线,通过 IdP 成功认证后才能继续执行操作,无论是否已配置离线宽限期。
如果认证成功,平台 SSO 会更新本地密码。
如果 Mac 离线,用户无法登录。在这些情况下,你可以启用离线宽限期,并将其设为前一次成功登录之后用户可继续使用本地账户密码的天数。
你可以定义任何账户登录 Mac 都需要由平台 SSO 管理,还是仍允许通过纯本地账户登录。你还可以定义应用或更新策略到此设置强制执行之间间隔的天数。这将允许临时使用本地账户。例如,你可以临时使用设备管理服务创建的管理员账户执行或修复平台 SSO 设备注册。
除了实时认证,你还可以允许用户在锁定屏幕上使用触控 ID 或 Apple Watch。
如有必要,本地账户(由你定义)可不受登录策略约束,且不会被提示注册平台 SSO。
群组管理和网络授权
平台 SSO 提供了精细的权限管理,赋予用户在其 Mac 上需要的正确权限级别。为实现这一点,平台 SSO 可在用户每次认证时为账户应用以下权限:
标准:账户会获得标准用户权限。
管理员:将账户添加到本地管理员群组。
群组:按群组身份定义权限,该身份在用户每次通过 IdP 认证时都会更新。
使用群组时,账户会基于以下群组身份获得权限:
管理员群组:如果账户属于列出的群组,则具有本地管理员许可。
授权群组:如果账户属于分配了内建或自定义授权权限的群组,则账户具有与该群组关联的权限。例如,macOS 使用以下授权权限:
system.preferences.datetime,允许账户修改时间设置。system.preferences.energysaver,允许账户修改节能设置。system.preferences.network,允许账户修改网络设置。system.preferences.printing,允许账户添加或移除打印机。
其他群组:针对 macOS 或特定 App 的自定义群组,由 macOS 在本地目录内自动创建(若尚未存在)。例如,你可以在
sudo配置中使用其他群组定义sudo许可。
网络授权
平台 SSO 将 IdP 凭证的使用范围扩大到在 Mac 上没有可用于授权的本地账户的用户。这些账户使用的群组与群组管理相同。例如,如果账户是其中一个管理员群组的成员,则可执行管理员授权提示。若要使用此功能,请通过共享设备密钥配置平台 SSO。
对于需要安全令牌、所有权许可或由当前登录用户认证的授权提示,网络授权不可用。
按需账户创建
为便于在共享部署中管理账户,用户可以使用其 IdP 用户名和密码或智能卡登录 Mac 创建本地账户。
你可以使用自动设备注册及“自动前进”实现完全自动化的预置过程。你需要使用设备管理服务创建第一个本地管理员账户,并执行静默平台 SSO 注册。
使用按需账户创建需要满足以下条件:
在支持 Bootstrap 令牌的设备管理服务中注册 Mac。
添加以下内容:包含平台 SSO 的 SSO 扩展配置、共享设备密钥和在登录时创建用户的选项。
完成“设置助理”运行并创建本地管理员账户。
让 Mac 处于登录窗口,解锁文件保险箱并接入网络。
使用可选的配置选项,你可以定义将来自 IdP 的哪个属性用于本地账户名(通常叫做用户的短名称)和全名。管理员也可将账户名称的键设为 com.apple.PlatformSSO.AccountShortName 以使用 UPN 前缀。
另外,你可以定义登录时应用到新创建账户的权限。群组管理的相同选项可用:
标准:账户会获得标准用户权限。
管理员:将账户添加到本地管理员群组。
群组:按群组身份定义权限,该身份在用户每次通过 IdP 认证时都会更新。
已认证客人模式
已认证客人模式为共享部署(如医务室或学校)提供了更快的登录体验,其中不同用户无需创建本地账户,因为其只需在短时间内通过其 IdP 凭证登录。用户默认获得标准用户权限,但你可以使用平台 SSO 群组管理更改这些权限。
若要使用此功能,你需要满足与按需账户创建相同的要求,但无需登录时创建用户的选项,而是配置已认证客人模式。
用户退出登录时,macOS 会抹掉该账户的所有本地数据,共享 Mac 将准备好供下一位用户登录。
轻点登录
“轻点登录”将数字凭证功能从 Apple 钱包扩展至 macOS。过去几年中,组织已在 Apple 钱包中采用数字门禁卡,允许用户使用 iPhone 或 Apple Watch 轻触即可打开门锁,而无需实体门禁卡。Mac 支持相同体验。
此认证方法对于多位用户共享 Mac 的组织(包括教育机构、零售环境和医疗机构)尤其有价值。
通过“轻点登录”,用户使用其 iPhone 或 Apple Watch 轻触连接的 NFC 读卡器时,即可在配置了已认证客人模式的 Mac 上进行认证。这会发起安全单点登录流程,自动将用户认证到其 App 和网站,从而让用户快速登录和开始工作。
用户凭证会通过 iPhone App 或浏览器预置为 Apple 钱包凭证中的访问密钥。这些访问密钥储存在设备的安全隔区中,从而获得硬件支持和加密,有助于防止他人尝试篡改或提取。“快捷模式”功能允许用户不唤醒或解锁其设备即可立即认证,从而提高了便捷性,这类似于 Apple 钱包中交通卡的运行方式。
若要实现“轻点登录”功能,Mac 需要:
配置已认证客人模式
配备支持的外置 NFC 读卡器
访问密钥创建和管理需要加入 Apple Wallet Access Program。有关如何创建访问密钥的更多信息,请参阅《Apple Wallet Access Program Guide》中的 Provisioning。