macOS 適用的「平台單一登入(SSO)」
概覽
「平台單一登入」(平台 SSO)可讓你(或身份管理開發者)建立 SSO 延伸功能,讓用户在「設定輔助程式」期間在 Mac 上使用你機構的身份供應商(IdP)的帳户進行認證。 「平台 SSO」可以與其他 SSO 延伸功能結合,但需考慮下列事項:
特定網域只能由單一 SSO 延伸功能處理。
在 Kerberos SSO 設定中,
syncLocalPassword必須設定為false。
功能
「平台 SSO」支援以下功能:
在「自動裝置註冊」期間啟用並強制執行「平台 SSO」以認證註冊、使用管理式 Apple 帳户登入,以及建立本機用户。
為原生和網頁 App 提供「單一登入」體驗。
在「系統設定」中檢視「平台 SSO」狀態和註冊詳細資料。
將本機用户帳户的密碼與 IdP 同步,並定義登入規則。
定義 IdP 帳户的群組權限,並允許用户在授權提示中使用只限網絡的 IdP 帳户。
在使用 IdP 帳户的憑證登入時按需要建立本機用户帳户。
支援在共享的 Mac 電腦上暫時使用其 IdP 憑證登入的訪客用户。
備註:大部份功能需要 SSO 延伸功能支援。 如要進一步了解在機構中實施「平台 SSO」的相關資料,請參閲 IdP 文件。
需求
配備 Apple 晶片的 Mac,或以 Intel 為基礎的 Mac(配備 Touch ID)
支援「可延伸單一登入」設定(包括「平台 SSO」設定)的裝置管理服務
包含與 IdP 相容的「平台 SSO」延伸功能的 App
macOS 13 或較新版本
下列功能有其他的版本要求:
功能 | 支援的最低作業系統版本 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
已認證的訪客模式 | macOS 26 | ||||||||||
點一下登入 | macOS 26 | ||||||||||
自動裝置註冊期間的「平台 SSO」 | macOS 26 | ||||||||||
UPN 前綴作為本機帳户名稱 | macOS 15.4 | ||||||||||
裝置識別碼證明 | macOS 15.4 | ||||||||||
登入規則 | macOS 15 | ||||||||||
按需要帳户製作 | macOS 14 | ||||||||||
群組管理和網絡授權 | macOS 14 | ||||||||||
「系統設定」中的「平台 SSO」 | macOS 14 | ||||||||||
設定「平台 SSO」
如要使用「平台 SSO」,Mac 和每位用户都需要向 IdP 註冊。 視乎 IdP 支援和套用的設定而定,Mac 可以使用以下方式在無提示的情況下在背景執行裝置註冊:
在可延伸的 SSO 設定中提供的 IdP 註冊代號
可提供 Mac 為原廠 Apple 裝置的有力證明,並可選擇包括裝置識別碼(UDID 和序號)。
為了與 IdP 保持獨立於用户的受信任連線,「平台 SSO」支援共享裝置密鑰。 盡量使用共享的裝置密鑰,因為「自動裝置註冊」、按需要帳户製作、網絡授權和「已認證的訪客模式」等功能需要共享的裝置密鑰
裝置成功註冊後,用户也會註冊(除非帳户正在使用「已認證的訪客模式」)。 如 IdP 要求,系統可能會提示用户確認其註冊。 針對按需要本機帳户,「平台 SSO」會在背景自動為用户註冊。
備註:如你從裝置管理服務取消註冊 Mac,其也會從 IdP 取消註冊。
認證方式
「平台 SSO」支援配合 IdP 的各種認證方式。 每個方式的支援視乎 IdP 和「平台 SSO」延伸功能而定。
密碼: 透過此方式,用户會使用本機密碼或 IdP 密碼進行認證。 密碼也支援 WS-Trust,即使管理用户帳户的 IdP 已建立聯合認證,亦可讓用户進行認證。
受「安全隔離區」支持的密鑰: 透過此方式,登入其 Mac 的用户可以使用受「安全隔離區」支援的密鑰,在無需密碼的情況下透過 IdP 進行認證。 IdP 會在用户註冊過程中設定「安全隔離區」密鑰。
智慧卡: 透過此方式,用户會使用智慧卡來透過 IdP 進行認證。 如要使用此方式,你需要:
向 IdP 註冊智慧卡。
在 Mac 上設定智慧卡屬性對應。
如需詳細資料和屬性對應的設定範例,請參閲:「智慧卡服務」計劃的使用手冊頁面。
取用密鑰: 透過此方式,用户使用儲存在「Apple 銀包」中的票證來向 IdP 認證。 取用密鑰與智慧卡類似,需要向 IdP 註冊。
部份功能(例如按需要帳户製作)需要使用特定的認證方式。
功能 | 密碼 | 受「安全隔離區」支持的密鑰 | 智慧卡 | 取用密鑰 | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
群組管理 |  | | | | |||||||
自動裝置註冊 | | | |  | |||||||
已認證的訪客模式 | | | | | |||||||
按需要帳户製作 | | | | | |||||||
密碼同步 | | | | | |||||||
備註:SSO 延伸功能需支援所要求的方式才能完成註冊。 你亦可以切換方法,例如,使用用户名稱和密碼建立的帳户在成功登入後,可以切換至使用受「安全隔離區」支援的密鑰或智慧卡。
配合「自動裝置註冊」的「平台 SSO」
機構可以在「設定助理」中透過「自動裝置註冊」啟用和強制執行「平台 SSO」。 此選項最適合用於單一用户裝置。macOS 會自動為認證註冊的用户建立本機帳户,讓他們可以立即可透過 SSO 取用支援的原生 App 和網頁 App。
如果已設定,macOS 會下載並安裝「平台 SSO」延伸功能和設定。 這可能會在與裝置管理服務執行實際註冊(允許使用 SSO 認證註冊)之前發生,或在註冊之後(Mac 保持在等待設定狀態)發生。 在這個流程中,Mac 會以無提示或提示用户的方式執行裝置註冊,並要求用户透過其 IdP 進行認證以完成用户註冊。 如未成功註冊「平台 SSO」,用户將無法繼續。
成功認證後,macOS 會建立本機帳户,而密碼會與 IdP 同步,或由用户設定本機密碼(當「平台 SSO」使用受「安全隔離區」支持的密鑰時)。 如有需要,你可以使用「密碼」設定來針對本機密碼強制執行密碼複雜度要求。
如已設定,macOS 可以從 IdP 同步本機帳户登入個人檔案圖片。
你可以在強制更新軟件的「自動裝置註冊」期間使用「平台 SSO」。 在此情況下,裝置管理服務需要先強制執行更新。
如 macOS 建立的用户帳户是 Mac 上唯一的帳户,該帳户會成為管理員帳户。 如裝置管理服務使用帳户設定指令建立了管理員帳户,你可以使用「平台 SSO」群組管理為用户帳户指派不同的權限。
單一登入
由於「平台 SSO」是「可延伸 SSO」的一部份,用户需登入一次並使用該認證代號來取用支援的原生 App 和網頁 App。
如代號缺失、已過期或已超過四小時,「平台 SSO」會嘗試從 IdP 重新整理或取得新的代號。 你亦可以設定「平台 SSO」需要完整登入而不是代號重新整理前要等待的時長(以秒為單位,最少一小時)。 預設為 18 小時。
「系統設定」中的「平台 SSO」
註冊「平台 SSO」後,用户可以在「系統設定」>「用户與群組」> [用户名稱] 中檢查其註冊狀態。 他們可以從該處修復註冊或重新整理認證代號。
裝置註冊狀態會在「用户與群組」>「網絡帳户伺服器」中顯示,也會提供執行修復的選項。
密碼同步和登入規則
如你使用密碼認證方式,無論用户是在本機或遙距更改密碼,本機用户密碼都會自動與 IdP 同步。 如有需要,macOS 會提示用户輸入其之前的密碼。
按照預設,需要輸入本機帳户密碼才能解鎖「檔案保險箱」、鎖定畫面和登入視窗。 如輸入的密碼與本機用户帳户的密碼不符,macOS 會嘗試聯絡 IdP 以執行即時認證。 如 macOS 無法聯絡 IdP 或輸入的密碼與 IdP 上儲存的密碼不符,認證將會失敗。
透過登入規則,你可以立即允許針對這三個提示使用來自 IdP 的目前帳户密碼。 你也可以個別為「檔案保險箱」、鎖定畫面和登入視窗設定以下規則:
嘗試認證。
如已設定,系統會嘗試與 IdP 進行即時認證。
如 Mac 在線上,需要與 IdP 成功認證才能繼續(即使 Mac 在第一次嘗試後已離線)。
如認證成功,「平台 SSO」會更新本機密碼。
如 Mac 離線,用户可使用其本機帳户密碼。
需要認證。
如已設定,需要與 IdP 進行即時認證才能繼續。
如 Mac 在線上,無論是否已設定離線寬限期,都需要成功與 IdP 認證才能繼續。
如認證成功,「平台 SSO」會更新本機密碼。
如 Mac 離線,用户將無法登入。 在這些情況下,你可以啟用離線寬限期,並設定為上次成功登入後的日數,在此期間用户可以繼續使用本機帳户密碼。
你可以定義任何登入 Mac 的帳户是否需要受「平台 SSO」管理,或者是否仍然許可只限本機的帳户。 你亦可以設定在套用政策後與開始強制執行之間的寬限期(以日為單位)。 這會允許暫時使用本機帳户。 例如,你可以暫時使用裝置管理服務所建立的管理員帳户來執行或修復「平台 SSO」裝置註冊。
除了即時認證,你也可以允許用户在鎖定畫面上使用 Touch ID 或 Apple Watch。
如有需要,可以豁免本機帳户(由你定義)的登入規則,並且不會提示你註冊「平台 SSO」。
群組管理和網絡授權
「平台 SSO」可以透過在每次用户認證時將下列權限套用至帳户,從而提供精細的權限管理:
標準: 帳户會取得標準用户權限。
管理員: 將帳户加入本機管理員群組。
群組: 按群組成員定義權限,每次用户使用 IdP 認證時都會更新。
當你使用群組時,帳户會根據以下群組的成員資格獲得權限:
管理員群組: 如帳户是所列出群組的一員,則帳户擁有本機管理員取用權限。
授權群組: 如帳户是內置或自訂授權權限所指派群組的一員,則帳户具有與該群組相關的權限。 例如,macOS 使用以下授權權限:
system.preferences.datetime,允許帳户修改時間設定。system.preferences.energysaver,允許帳户修改能源節約器設定。system.preferences.network,允許帳户修改網絡設定。system.preferences.printing,允許帳户加入或移除打印機。
其他群組: macOS 或特定 App 的自訂群組,macOS 會自動在本機目錄內建立群組(如並不存在)。 例如,你可以在
sudo設定中使用額外群組來定義sudo取用權限。
網絡授權
「平台 SSO」允許沒有本機 Mac 帳户的用户使用其 IdP 憑證進行授權。 這些帳户會與群組管理使用相同的群組。 例如,如帳户是其中一個管理員群組的成員,該帳户可以執行管理員授權提示。 如要使用此功能,請使用共享裝置密鑰設定「平台 SSO」。
無法透過需要保安代碼、擁有權權限或由目前已登入的用户進行的認證之提示來進行網絡授權。
按需要帳户製作
在共享部署中,用户可以使用其 IdP 用户名稱和密碼,或者是智慧卡來登入以自動建立本機帳户。
你可以使用「自動裝置註冊」配合「自動前進」來實現完全自動化的預置程序。 你需要使用裝置管理服務建立第一個本機管理員帳户,並在無提示的情況下執行「平台 SSO」註冊。
以下為使用按需要帳户製作所需項目:
Mac 需在支援 Bootstrap 代碼的裝置管理服務中註冊。
加入下列各項: 包含「平台 SSO」、共享裝置密鑰和在登入時建立用户的選項之 SSO 延伸功能設定。
完成「設定輔助程式」並建立本機管理員帳户。
請將 Mac 設定至登入視窗,配合已解鎖的「檔案保險箱」和已連接的網絡。
使用可選設定,你可以指定要用於本機帳户名稱(簡稱)和全名的 IdP 屬性。 管理員亦可以將帳户名稱的密鑰設定為 com.apple.PlatformSSO.AccountShortName 以使用 UPN 前綴。
此外,你可以定義在登入時要套用至新建立帳户的權限。 可使用相同的群組管理選項:
標準: 帳户會取得標準用户權限。
管理員: 將帳户加入本機管理員群組。
群組: 按群組成員定義權限,每次用户使用 IdP 認證時都會更新。
已認證的訪客模式
「已認證的訪客模式」為共享部署(例如診所或學校)提供簡化登入體驗,用户可以使用其 IdP 憑證暫時登入,不需要永久的本機帳户。 用户預設會獲得標準用户權限,但你可以使用「平台 SSO」群組管理來更改這些權限。
要求與按需要帳户製作相同,但你會設定「已認證的訪客模式」而不是登入時製作用户的選項。
當用户登出後,macOS 會清除該帳户的所有本機資料,並讓共享 Mac 準備好給下一位用户登入。
點一下登入
「點一下登入」將「Apple 銀包」數碼憑證支援帶到 macOS。 已在「Apple 銀包」中採用數碼職員證(讓用户使用 iPhone 或 Apple Watch 解鎖門)的機構,現在可以將相同的體驗延伸到 Mac 登入。
此認證方式對於共享 Mac 的多個用户(包括教育機構、零售環境和醫療設施)特別實用。
透過「點一下登入」,用户可以在將 Mac 設定為「已認證的訪客模式」時,用 iPhone 或 Apple Watch 拍一下連接的 NFC 讀卡機以進行認證。 這會啟動安全的「單一登入」程序,自動認證用户的 App 和網站,讓用户快速登入並開始工作。
用户憑證會在 iPhone 的 App 或瀏覽器中透過「Apple 銀包」票證提供為取用密鑰。 這些取用密鑰會儲存在裝置的「安全隔離區」,受硬件支援、加密,並有助防範竄改或提取嘗試。 「特快模式」讓用户無需喚醒或解鎖裝置即可立即認證,類似「Apple 銀包」中的交通卡運作方式。
如要實作「點一下登入」功能,Mac 需要:
已設定為「已認證的訪客模式」
配備支援的外置 NFC 讀卡器
製作和管理取用密鑰需要參與「Apple 銀包」取用計劃。 如需更多有關如何製作取用密鑰的資料,請參閲「Apple 銀包」取用計劃指南中的「提供」。