适用于 macOS 的平台单点登录
概览
平台单点登录(平台 SSO)可让你(或身份管理开发者)构建 SSO 扩展,以允许用户在运行“设置助理”的 Mac 上通过组织的身份提供商 (IdP) 账户进行认证。平台 SSO 可与其他 SSO 扩展组合,但存在以下注意事项:
特定域只能由单个 SSO 扩展处理。
在 Kerberos SSO 配置中,
syncLocalPassword需要设为false。
功能
平台 SSO 支持以下功能:
在自动设备注册期间激活和强制执行平台 SSO 以认证注册,通过管理式 Apple 账户登录,以及创建本地用户。
为原生和网页 App 提供单点登录体验。
在“系统设置”中查看平台 SSO 状态和注册详细信息。
将本地用户账户的密码与 IdP 同步,以及定义登录策略。
定义 IdP 账户的群组许可,以及允许用户在出现授权提示时使用纯网络 IdP 账户。
通过来自 IdP 账户的凭证登录时按需创建本地用户账户。
支持在共享 Mac 电脑上通过其 IdP 凭证临时登录的客人用户。
【注】大多数功能需要 SSO 扩展支持。若要进一步了解在组织中实施平台 SSO 的信息,请参阅 IdP 文稿。
需要:
搭载 Apple 芯片的 Mac 或基于 Intel 且配备触控 ID 的 Mac
支持“可扩展单点登录”配置(包括平台 SSO 设置)的设备管理服务
包含与 IdP 兼容的平台 SSO 扩展的 App
macOS 13 或更高版本
以下功能具有额外版本要求:
功能 | 支持的最低操作系统版本 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
已认证客人模式 | macOS 26 | ||||||||||
轻点登录 | macOS 26 | ||||||||||
自动设备注册期间的平台 SSO | macOS 26 | ||||||||||
UPN 前缀作为本地账户名称 | macOS 15.4 | ||||||||||
设备标识符证明 | macOS 15.4 | ||||||||||
登录策略 | macOS 15 | ||||||||||
按需账户创建 | macOS 14 | ||||||||||
群组管理和网络授权 | macOS 14 | ||||||||||
“系统设置”中的平台 SSO | macOS 14 | ||||||||||
设置平台 SSO
若要使用平台 SSO,Mac 和每位用户都需要通过 IdP 注册。取决于不同 IdP 支持情况和应用的配置,Mac 可使用以下内容在后台静默执行设备注册:
可扩展 SSO 配置中提供的 IdP 注册令牌
强力保证 Mac 为正品 Apple 设备的证明,可选择包括设备标识符(UDID 和序列号)。
为维持与 IdP 的受信任连接而不受用户影响,平台 SSO 支持共享设备密钥。尽可能使用共享设备密钥,自动设备注册、按需账户创建、网络授权和已认证客人模式均需使用共享设备密钥。
设备注册成功后,用户也会注册,除非账户使用已认证客人模式。如果 IdP 要求,用户可能会收到确认其注册的提示。对于按需本地账户,平台 SSO 会在后台自动注册用户。
【注】如果从设备管理服务取消注册 Mac,则也会从 IdP 取消注册它。
认证方式
平台 SSO 支持通过 IdP 进行认证的不同方法。每种方法的支持情况取决于 IdP 和平台 SSO 扩展。
密码:借助此方法,用户可使用本地密码或 IdP 密码认证。它还支持 WS 信任,可允许用户进行认证,即使管理其账户的 IdP 已联合也不受影响。
安全隔区支持的密钥:借助此方法,登录其 Mac 的用户可使用由安全隔区支持的密钥通过 IdP 进行认证,无需使用密码。IdP 会在用户注册过程中设置安全隔区密钥。
智能卡:借助此方法,用户可使用智能卡通过 IdP 进行认证。若要使用此方法,你需要:
通过 IdP 注册智能卡。
在 Mac 上配置智能卡属性映射。
有关详细信息和属性映射配置的示例,请参阅智能卡服务项目的 man 页面。
访问密钥:借助此方法,用户使用储存在 Apple 钱包中的凭证通过 IdP 进行认证。与智能卡类似,访问密钥需要通过 IdP 注册。
部分功能(如按需账户创建)需要特定的认证方法。
功能 | 密码 | 安全隔区支持的密钥 | 智能卡 | 访问密钥 | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
群组管理 |  | | | | |||||||
自动设备注册 | | | |  | |||||||
已认证客人模式 | | | | | |||||||
按需账户创建 | | | | | |||||||
密码同步 | | | | | |||||||
【注】SSO 扩展需要支持完成注册的所需方法。你还可以切换方法,例如,通过用户名和密码创建的账户可在成功登录后切换为使用安全隔区支持的密钥或智能卡。
配合自动设备注册使用平台 SSO
组织可在“设置助理”运行期间通过自动设备注册激活和强制执行平台 SSO。此选项最适合用于单用户设备。macOS 会自动为认证注册的用户创建本地账户,让其可立即使用 SSO 访问支持的原生和网页 App。
macOS 会下载并安装已配置的平台 SSO 扩展和配置。这可能发生在通过允许使用 SSO 认证注册的设备管理服务执行实际注册前,也可能发生在注册后(Mac 处于等待配置状态时)。 此流程期间,Mac 会通过静默或提示用户的方式执行设备注册,并请求用户通过其 IdP 认证以进行用户注册。成功进行平台 SSO 注册后,用户才能继续操作。
在成功认证后,macOS 会创建本地账户,密码会与 IdP 同步或者由用户设定本地密码(平台 SSO 使用安全隔区支持的密钥时)。如有必要,你可以使用“密码”配置为本地密码强制执行密码复杂度要求。
若已配置,macOS 随后可从 IdP 同步本地账户登录头像。
你可以在自动设备注册期间配合强制执行软件更新使用平台 SSO。在这种情况下,设备管理服务需要先强制执行更新。
如果 macOS 创建的用户账户是 Mac 上的唯一账户,则会变为管理员账户。如果设备管理服务使用账户配置命令创建了管理员账户,你可以使用平台 SSO 群组管理为用户账户分配不同权限。
单点登录
平台 SSO 属于可扩展 SSO,因此用户登录一次即可使用该认证令牌访问支持的原生和网页 App。
如果令牌丢失、过期或存在超过四小时,平台 SSO 会尝试刷新或从 IdP 取回新令牌。你还可以配置平台 SSO 需要完整登录(而非令牌刷新)前等待的时长(以秒为单位,最少一小时)。默认值为 18 小时。
“系统设置”中的平台 SSO
通过平台 SSO 注册后,用户可以在“系统设置”>“用户与群组”> [用户名]中查看其注册状态。用户还可在其中修复注册或刷新其认证令牌。
设备注册状态在“用户与群组”>“网络账户服务器”中可见,同时还提供了执行修复的选项。
密码同步和登录策略
如果使用密码认证方法,只要用户更改其密码(无论本地或远程更改),本地用户密码都会自动与 IdP 同步。如有必要,macOS 会提示用户输入其之前的密码。
解锁文件保险箱、锁定屏幕和登录窗口默认需要本地账户密码。如果输入的密码与本地用户账户密码不符,macOS 会尝试联系 IdP 执行实时认证。如果 macOS 无法联系 IdP 或输入的密码与 IdP 储存的密码不符,认证会失败。
通过登录策略,你可以允许出现这三种提示时立即使用来自 IdP 的当前账户密码。你还可以为文件保险箱、锁定屏幕和登录窗口分别设定以下策略:
尝试认证。
若已配置,会尝试通过 IdP 进行实时认证。
如果 Mac 在线,通过 IdP 成功认证后才能继续执行操作,即使 Mac 在第一次尝试后变为离线也不影响。
如果认证成功,平台 SSO 会更新本地密码。
如果 Mac 离线,用户可使用其本地账户密码。
需要认证。
若已配置,通过 IdP 进行实时认证后才能继续执行操作。
如果 Mac 在线,通过 IdP 成功认证后才能继续执行操作,无论是否已配置离线宽限期。
如果认证成功,平台 SSO 会更新本地密码。
如果 Mac 离线,用户无法登录。在这些情况下,你可以启用离线宽限期,并将其设为前一次成功登录之后用户可继续使用本地账户密码的天数。
你可以定义是否任何账户登录 Mac 都需要由平台 SSO 管理,或者是否仍许可通过纯本地账户登录。你还可以设定策略应用后、开始强制执行前的宽限期(以天为单位)。这将允许临时使用本地账户。例如,你可以临时使用设备管理服务创建的管理员账户执行或修复平台 SSO 设备注册。
除了实时认证,你还可以允许用户在锁定屏幕上使用触控 ID 或 Apple Watch。
如有必要,本地账户(由你定义)可不受登录策略约束,且不会被提示注册平台 SSO。
群组管理和网络授权
平台 SSO 可提供精细的权限管理,方法是在用户每次认证时为账户应用以下权限:
标准:账户会获得标准用户权限。
管理员:将账户添加到本地管理员群组。
群组:按群组身份定义权限,该身份在用户每次通过 IdP 认证时都会更新。
使用群组时,账户会基于以下群组身份获得权限:
管理员群组:如果账户属于列出的群组,则具有本地管理员许可。
授权群组:如果账户属于分配了内建或自定义授权权限的群组,则账户具有与该群组关联的权限。例如,macOS 使用以下授权权限:
system.preferences.datetime,允许账户修改时间设置。system.preferences.energysaver,允许账户修改节能设置。system.preferences.network,允许账户修改网络设置。system.preferences.printing,允许账户添加或移除打印机。
其他群组:针对 macOS 或特定 App 的自定义群组,由 macOS 在本地目录内自动创建(若尚未存在)。例如,你可以在
sudo配置中使用其他群组定义sudo许可。
网络授权
平台 SSO 允许没有本地 Mac 账户的用户使用其 IdP 凭证进行授权。这些账户使用的群组与群组管理相同。例如,如果账户是其中一个管理员群组的成员,则可执行管理员授权提示。若要使用此功能,请通过共享设备密钥配置平台 SSO。
对于需要安全令牌、所有权许可或由当前登录用户认证的授权提示,网络授权不可用。
按需账户创建
在共享部署中,用户可以通过其 IdP 用户名和密码或智能卡登录以自动创建本地账户。
你可以使用自动设备注册及“自动前进”实现完全自动化的预置过程。你需要使用设备管理服务创建第一个本地管理员账户,并执行静默平台 SSO 注册。
使用按需账户创建需要满足以下条件:
在支持 Bootstrap 令牌的设备管理服务中注册 Mac。
添加以下内容:包含平台 SSO 的 SSO 扩展配置、共享设备密钥和在登录时创建用户的选项。
完成“设置助理”运行并创建本地管理员账户。
让 Mac 处于登录窗口,解锁文件保险箱并接入网络。
通过可选配置,你可以指定将哪个 IdP 属性用于本地账户名(短名称)和全名。管理员也可将账户名称的键设为 com.apple.PlatformSSO.AccountShortName 以使用 UPN 前缀。
另外,你可以定义登录时应用到新创建账户的权限。群组管理的相同选项可用:
标准:账户会获得标准用户权限。
管理员:将账户添加到本地管理员群组。
群组:按群组身份定义权限,该身份在用户每次通过 IdP 认证时都会更新。
已认证客人模式
已认证客人模式为共享部署(如医务室或学校)提供了精简的登录体验,用户可通过其 IdP 凭证临时登录,而无需长期本地账户。用户默认获得标准用户权限,但你可以使用平台 SSO 群组管理更改这些权限。
在要求上与按需账户创建相同,但你无需在登录时创建用户,而是配置已认证客人模式。
用户退出登录时,macOS 会抹掉该账户的所有本地数据,共享 Mac 将准备好供下一位用户登录。
轻点登录
“轻点登录”为 macOS 引入 Apple 钱包数字凭证支持。已在 Apple 钱包中使用数字门禁卡(可让用户通过 iPhone 或 Apple Watch 打开门锁)的组织现可将相同体验扩展至 Mac 登录。
此认证方法对于多位用户共享 Mac 的组织(包括教育机构、零售环境和医疗机构)尤其有价值。
通过“轻点登录”,用户使用其 iPhone 或 Apple Watch 轻触连接的 NFC 读卡器时,即可在配置了已认证客人模式的 Mac 上进行认证。这会发起安全单点登录流程,自动将用户认证到其 App 和网站,从而让用户快速登录和开始工作。
用户凭证会通过 iPhone App 或浏览器预置为 Apple 钱包凭证中的访问密钥。这些访问密钥储存在设备的安全隔区中,从而获得硬件支持和加密,有助于防止他人尝试篡改或提取。“快捷模式”使用户无需唤醒或解锁其设备即可立即认证,类似于 Apple 钱包中交通卡的工作方式。
若要实现“轻点登录”功能,Mac 需要:
配置已认证客人模式
配备支持的外置 NFC 读卡器
访问密钥创建和管理需要参与 Apple Wallet Access Program。有关如何创建访问密钥的更多信息,请参阅《Apple Wallet Access Program Guide》中的 Provisioning。