适用于 macOS 的平台单点登录

通过平台单点登录（平台 SSO），开发者能够构建可扩展到 macOS 登录窗口的 SSO 扩展，以使用户能与身份提供商 (IdP) 同步本地账户凭证。本地账户密码自动保持同步，以使云端密码和本地密码相同。用户还可使用触控 ID 和 Apple Watch 解锁其 Mac。

显示用户使用平台 SSO 登录的 Mac 窗口。

平台 SSO 有以下要求：

macOS 13 或更高版本
移动设备管理 (MDM) 解决方案支持“可扩展单点登录”有效负载，该有效负载支持平台 SSO
IdP 支持平台 SSO 认证协议
两种受支持认证方式中的一种：
- 通过由安全隔区支持的密钥认证：通过此方法，登录其 Mac 的用户可使用由安全隔区支持的密钥来通过 IdP 进行认证，无需使用密码。安全隔区密钥在用户注册过程中通过 IdP 设置。
- 密码认证：通过此方法，客户可使用本地密码或 IdP 密码认证。

【注】如果 Mac 从 MDM 解决方案取消注册，则也会从 IdP 取消注册。

平台 SSO 功能

功能	支持的最低操作系统版本	描述
需要认证	macOS 15	在文件保险箱、锁定屏幕和登录窗口中需要 IdP 认证。
需要认证	macOS 15	可选择配置离线和认证宽限期，以便用户在离线时登录或解锁屏幕。
需要认证	macOS 15	可选择配置触控 ID 或 Apple Watch 以解锁屏幕。
“系统设置”中的用户注册和注册状态	macOS 14	用户可以注册其设备或其用户账户以配合“系统设置”中的 SSO 使用。菜单项还会显示当前注册状态并指示可能发生的任何错误，以提供更高的用户透明度。这可让用户知晓是否需要再次完成注册。
用户创建的本地账户	macOS 14	为便于在共享部署中管理账户，用户可以使用其 IdP 用户名和密码或智能卡登录文件保险箱已解锁的 Mac 并创建本地账户。全新 `TokenToUserMapping` 键可用于定义将 IdP 提供的哪个属性用于选择本地用户名。若要使用此功能，需要满足以下条件： “设置助理”必须已完成且初始本地管理员账户已创建。设备必须在支持 Bootstrap 令牌的 MDM 解决方案中注册。用户的 Mac 必须具有支持平台 SSO 的“可扩展单点登录”有效负载，且启用 `UseSharedDeviceKeys` 和 `EnableCreateUserAtLogin` 选项。智能卡支持要求智能卡通过 IdP 进行注册，且在 Mac 上配置了智能卡属性映射。
在提示授权时使用非本地 IdP 用户账户	macOS 14	平台 SSO 将 IdP 凭证的使用范围扩大到在 Mac 上没有可用于授权的本地用户账户的用户。这些账户使用的群组与群组管理相同。例如，如果用户是其中一个管理员群组的成员，在提示 macOS 管理员授权时可使用该账户。这不包括任何需要安全令牌、所有权许可或由当前登录用户进行认证的授权提示。
当用户通过其 IdP 进行认证时更新用户的群组成员身份	macOS 14	群组成员身份可用于精确管理 macOS 中 IdP 用户的权限。每次用户通过 IdP 进行认证时，他们的群组成员身份都会更新。以下是用于定义群组成员身份的三个数组键： AdministratorGroups：如果用户是此数组中所列群组的成员，他们将具有本地管理员访问许可。 AuthorizationGroups：用于管理内建或自定义授权权限的特定群组。权限将授予给属于该特定群组的所有用户。例如，被分配授权权限 `system.preferences.network` 的群组成员身份允许用户修改网络设置，或者被分配授权权限 `system.preferences.printing` 的群组成员身份允许用户修改打印机设置。 AdditionalGroups：例如，可被操作系统用于定义 `sudo` 的访问。如果群组不存在，此数组中的条目将在本地目录内创建一个群组。
WS 信任联合	macOS 13.3	当用户账户受与 Microsoft Entra ID 联合的 IdP 管理时，这可让平台 SSO 成功认证用户。

另请参阅适用于 Apple 平台部署的 iCloud 在 Apple 设备上使用单点登录介绍针对 Apple 设备的“可扩展单点登录” MDM 有效负载设置

有帮助?