macOS 適用的「平台單一登入(SSO)」
透過「平台單一登入」(平台 SSO),你(或專門從事身分管理的開發者)可以製作 SSO 延伸功能,讓用户在初始設定期間從 Mac 上使用來自身份供應商(IdP)的機構帳户。
功能
平台 SSO 支援以下功能:
在「自動裝置註冊」期間啟用並強制執行「平台 SSO」以認證註冊、使用管理式 Apple 帳户登入,以及建立本機用户。
為原生和網頁 App 提供單一登入體驗。
取得「系統設定」中「平台 SSO」的相關資料。
將本機用户帳户的密碼與 IdP 同步,並定義登入規則。
定義 IdP 帳户的群組權限,並允許用户在授權提示中使用只限網絡的 IdP 帳户。
在使用 IdP 帳户的憑證登入時按需要建立本機用户帳户。
支援在共享的 Mac 電腦上暫時使用其 IdP 憑證登入的訪客用户。
備註:大部份功能需要 SSO 延伸功能支援。 如要進一步了解在機構中實施「平台 SSO」的相關資料,請參閲 IdP 文件。
需求
配備 Apple 晶片的 Mac,或以 Intel 為基礎的 Mac(配備 Touch ID)
支援「可延伸單一登入」設定(包括「平台 SSO」設定)的裝置管理服務
包含與 IdP 相容的「平台 SSO」延伸功能的 App
macOS 13 或較新版本
下列功能有其他的版本要求:
功能 | 支援的最低作業系統版本 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
已認證的訪客模式 | macOS 26 | ||||||||||
點一下登入 | macOS 26 | ||||||||||
自動裝置註冊期間的「平台 SSO」 | macOS 26 | ||||||||||
UPN 前綴作為本機帳户名稱 | macOS 15.4 | ||||||||||
裝置識別碼證明 | macOS 15.4 | ||||||||||
登入規則 | macOS 15 | ||||||||||
按需要帳户製作 | macOS 14 | ||||||||||
群組管理和網絡授權 | macOS 14 | ||||||||||
「系統設定」中的「平台 SSO」 | macOS 14 | ||||||||||
「平台 SSO」設定
如要使用「平台 SSO」,Mac 和每位用户都需要向 IdP 註冊。 視乎 IdP 支援和套用的設定而定,Mac 可以使用以下方式在無提示的情況下在背景執行裝置註冊:
在裝置管理設定中提供的註冊代號
可提供裝置識別碼(UDID 和序號)的高強度保證的證明
為了與 IdP 保持獨立於用户的受信任連線,「平台 SSO」支援共享裝置密鑰。 盡量使用共享的裝置密鑰,因為在「自動裝置註冊」期間需要共享的裝置密鑰來使用「平台 SSO」、根據來自 IdP 的資料即時建立用户帳户、網絡授權和「已認證的訪客模式」等功能。
成功註冊裝置後,用户也會註冊(除非用户帳户正在使用「認證訪客模式」)。 如 IdP 要求,用户註冊可能會包括提示用户確認其註冊。 針對「平台 SSO」按需要建立的本機用户帳户,用户註冊會在背景自動進行。
備註:如你從裝置管理服務取消註冊 Mac,其也會從 IdP 取消註冊。
認證方式
「平台 SSO」支援配合 IdP 的各種認證方式。 每個方式的支援視乎 IdP 和「平台 SSO」延伸功能而定。
密碼: 透過此方式,用户會使用本機密碼或 IdP 密碼進行認證。 密碼也支援 WS-Trust,即使管理用户帳户的 IdP 已建立聯合認證,亦可讓用户進行認證。
受「安全隔離區」支持的密鑰: 透過此方式,登入其 Mac 的用户可以使用受「安全隔離區」支援的密鑰,在無需密碼的情況下透過 IdP 進行認證。 IdP 會在用户註冊過程中設定「安全隔離區」密鑰。
智慧卡: 透過此方式,用户會使用智慧卡來透過 IdP 進行認證。 如要使用此方式,你需要:
向 IdP 註冊智慧卡。
在 Mac 上設定智慧卡屬性對應。
如需詳細資料和屬性對應的設定範例,請參閲:「智慧卡服務」計劃的使用手冊頁面。
取用密鑰: 透過此方式,用户使用儲存在「Apple 銀包」中的票證來向 IdP 認證。 取用密鑰與智慧卡類似,需要向 IdP 註冊。
部份功能(例如按需要建立用户帳户)需要你使用特定的認證方式。
功能 | 密碼 | 受「安全隔離區」支持的密鑰 | 智慧卡 | 取用密鑰 | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
群組管理 |  | | | | |||||||
自動裝置註冊 | | | |  | |||||||
已認證的訪客模式 | | | | | |||||||
按需要帳户製作 | | | | | |||||||
密碼同步 | | | | | |||||||
備註:SSO 延伸功能需支援所要求的方式才能執行註冊。 亦支援切換方式。 例如,當使用用户名稱和密碼登入時建立新的用户帳户,登入成功後,該帳户可以切換至使用受「安全隔離區」支持的密鑰或智慧卡。
自動裝置註冊期間的「平台 SSO」
機構可以在「設定助理」中透過「自動裝置註冊」啟用和強制執行「平台 SSO」。 這是單一用户裝置適用的選項,因為認證註冊的用户會自動建立本機帳户,並可以立即使用支援的原生和網頁 App 使用 SSO。
程序運作方式如下:
macOS 會要求註冊並通知裝置管理服務,其在註冊期間支援「平台 SSO」。
裝置管理服務傳回 403 錯誤,包括 SSO 設定位置和包含帶有 SSO 延伸功能的 App 套件的相關資料。
macOS 會下載並安裝「平台 SSO」延伸功能和設定。
macOS 會設定「平台 SSO」並執行裝置註冊。 如已設定認證,註冊會在無提示的情況下在背景完成。macOS 之後會提示用户使用較早前列出的其中一種方式,透過其 IdP 進行認證以完成用户註冊。 如未成功註冊「平台 SSO」,用户將無法繼續。
IdP 處理認證。
成功認證後,IdP 會將持有人代號傳回 macOS。
macOS 會使用持有人代號來認證裝置管理服務的註冊,以及(如已聯合相同的 IdP)在用户不需要再次輸入憑證的情況下,將用户登入其管理式 Apple 帳户。 如要如此,用户需要能看到「iCloud 設定輔助程式」面板。
macOS 會建立本機帳户,而密碼會與 IdP 同步,或由用户設定本機密碼(當「平台 SSO」使用受「安全隔離區」支持的密鑰時)。 如有需要,你可以使用「密碼」設定來針對本機密碼強制執行密碼複雜度要求。
如已設定,macOS 可以從 IdP 同步本機帳户登入個人檔案圖片。
你可以在強制更新軟件的「自動裝置註冊」期間使用「平台 SSO」。 在此情況下,裝置管理服務需要先強制執行更新。
如 macOS 建立的用户帳户是 Mac 上唯一的帳户,該帳户會成為管理員帳户。 如裝置管理服務使用帳户設定指令建立了管理員帳户,你可以使用「平台 SSO」群組管理為用户帳户指派不同的權限。
單一登入
由於「平台 SSO」是「可延伸 SSO」的一部分,其會提供相同的單一登入功能,並允許用户登入一次,然後使用初始認證提供的代號來認證支援的原生和網頁 App。
如代號缺失、已過期或已超過四小時,「平台 SSO」會嘗試從 IdP 重新整理或取得新的代號。 此外,你可以設定秒數(最少 1 小時)的持續時間,直至「平台 SSO」需要完整登入,而不是代號重新整理。 按照預設,每 18 小時需要完整登入一次。
「系統設定」中的「平台 SSO」
註冊「平台 SSO」後,用户可以在「系統設定」>「用户與群組」> [用户名稱] 中檢查用户註冊狀態。 如有需要,用户可以啟󠄁動註冊修復並強制重新整理認證代號。
裝置註冊狀態會在「用户與群組」>「網絡帳户伺服器」中顯示,也會提供執行修復的選項。
密碼同步和登入規則
如你使用密碼認證方式,無論用户是在本機或遙距更改密碼,本機用户密碼都會自動與 IdP 同步。 如有需要,macOS 會提示用户輸入其之前的密碼。
按照預設,需要輸入本機帳户密碼才能解鎖「檔案保險箱」、鎖定畫面和登入視窗。 如輸入的密碼與本機用户帳户的密碼不符,macOS 會嘗試聯絡 IdP 以執行即時認證。 如 macOS 無法聯絡 IdP 或輸入的密碼與 IdP 上儲存的密碼不符,認證將會失敗。
透過登入規則,你可以立即允許針對這三個提示使用來自 IdP 的目前帳户密碼。 你也可以個別為「檔案保險箱」、鎖定畫面和登入視窗設定以下規則:
嘗試認證。
如已設定,系統會嘗試與 IdP 進行即時認證。
如 Mac 在線上,需要與 IdP 成功認證才能繼續(即使 Mac 在第一次嘗試後已離線)。
如認證成功,「平台 SSO」會更新本機密碼。
如 Mac 離線,用户可使用其本機帳户密碼。
需要認證。
如已設定,需要與 IdP 進行即時認證才能繼續。
如 Mac 在線上,無論是否已設定離線寬限期,都需要成功與 IdP 認證才能繼續。
如認證成功,「平台 SSO」會更新本機密碼。
如 Mac 離線,用户將無法登入。 在這些情況下,你可以啟用離線寬限期,並設定為上次成功登入後的日數,在此期間用户可以繼續使用本機帳户密碼。
你可以定義任何登入 Mac 的帳户是否需要受「平台 SSO」管理,或者是否仍然允許使用只限本機的帳户登入。 你也可以定義套用或更新政策後,直至此設定強制執行之間的日數。 這會允許暫時使用本機帳户。 例如,你可以暫時使用裝置管理服務所建立的管理員帳户來執行或修復「平台 SSO」裝置註冊。
除了即時認證,你也可以允許用户在鎖定畫面上使用 Touch ID 或 Apple Watch。
如有需要,可以豁免本機帳户(由你定義)的登入規則,並且不會提示你註冊「平台 SSO」。
群組管理和網絡授權
「平台 SSO」提供精細的權限管理,為用户提供其 Mac 所需的適當權限等級。 如要執行,「平台 SSO」可以在每次用户認證時,將下列權限套用至帳户:
標準: 帳户會取得標準用户權限。
管理員: 將帳户加入本機管理員群組。
群組: 按群組成員定義權限,每次用户使用 IdP 認證時都會更新。
當你使用群組時,帳户會根據以下群組的成員資格獲得權限:
管理員群組: 如帳户是所列出群組的一員,則帳户擁有本機管理員取用權限。
授權群組: 如帳户是內置或自訂授權權限所指派群組的一員,則帳户具有與該群組相關的權限。 例如,macOS 使用以下授權權限:
system.preferences.datetime,允許帳户修改時間設定。system.preferences.energysaver,允許帳户修改能源節約器設定。system.preferences.network,允許帳户修改網絡設定。system.preferences.printing,允許帳户加入或移除打印機。
其他群組: macOS 或特定 App 的自訂群組,macOS 會自動在本機目錄內建立群組(如並不存在)。 例如,你可以在
sudo設定中使用額外群組來定義sudo取用權限。
網絡授權
「平台 SSO」會將 IdP 憑證的使用延伸至在 Mac 上未擁有用於認證用途的本機帳户之用户。 這些帳户會與群組管理使用相同的群組。 例如,如帳户是其中一個管理員群組的成員,該帳户可以執行管理員授權提示。 如要使用此功能,請使用共享裝置密鑰設定「平台 SSO」。
無法透過需要保安代碼、擁有權權限或由目前已登入的用户進行的認證之提示來進行網絡授權。
按需要帳户製作
為輔助共享部署用的帳户管理,用户可以使用其 IdP 用户名稱和密碼,或者是智慧卡來登入 Mac 以建立本機帳户。
你可以使用「自動裝置註冊」配合「自動前進」來實現完全自動化的預置程序。 你需要使用裝置管理服務建立第一個本機管理員帳户,並在無提示的情況下執行「平台 SSO」註冊。
以下為使用按需要帳户製作所需項目:
Mac 需在支援 Bootstrap 代碼的裝置管理服務中註冊。
加入下列各項: 包含「平台 SSO」、共享裝置密鑰和在登入時建立用户的選項之 SSO 延伸功能設定。
完成「設定輔助程式」並建立本機管理員帳户。
請將 Mac 設定至登入視窗,配合已解鎖的「檔案保險箱」和已連接的網絡。
使用可選的設定選項,你可以定義從 IdP 使用哪個屬性以用於本機帳户名稱(通常稱為用户的簡稱)和全名。 管理員亦可以將帳户名稱的密鑰設定為 com.apple.PlatformSSO.AccountShortName 以使用 UPN 前綴。
此外,你可以定義在登入時要套用至新建立帳户的權限。 可使用相同的群組管理選項:
標準: 帳户會取得標準用户權限。
管理員: 將帳户加入本機管理員群組。
群組: 按群組成員定義權限,每次用户使用 IdP 認證時都會更新。
已認證的訪客模式
「已認證的訪客模式」為共享部署(例如診所或學校)提供快速登入體驗,不同用户毋須建立本機帳户,只需要短暫登入其 IdP 憑證即可。 用户預設會獲得標準用户權限,但你可以使用「平台 SSO」群組管理來更改這些權限。
如要使用此功能,你需要與按要求建立帳户相同的要求,但不是在登入時建立用户的選項,而是設定「已認證的訪客模式」。
當用户登出後,macOS 會清除該帳户的所有本機資料,並讓共享 Mac 準備好給下一位用户登入。
點一下登入
「點一下登入」將數碼憑證功能從「Apple 銀包」延伸至 macOS。 過去幾年,某些機構已在「Apple 銀包」中採用數碼職員證,讓用户只需輕觸 iPhone 或 Apple Watch 即可解鎖門鎖,無需實體職員證。 你可以在 Mac 上獲得相同的體驗。
此認證方式對於共享 Mac 的多個用户(包括教育機構、零售環境和醫療設施)特別實用。
透過「點一下登入」,用户可以在將 Mac 設定為「已認證的訪客模式」時,用 iPhone 或 Apple Watch 拍一下連接的 NFC 讀卡機以進行認證。 這會啟動安全的單一登入程序,自動認證用户的 App 和網站,讓用户快速登入並開始工作。
用户憑證會在 iPhone 的 App 或瀏覽器中透過「Apple 銀包」票證提供為取用密鑰。 這些取用密鑰會儲存在裝置的「安全隔離區」,受硬件支援、加密,並有助防範竄改或提取嘗試。 「特快模式」功能讓你無需喚醒或解鎖裝置,即可立即認證,提升便利性,類似「Apple 銀包」中的交通卡運作方式。
如要實作「點一下登入」功能,Mac 需要:
已設定為「已認證的訪客模式」
配備支援的外置 NFC 讀卡器
製作和管理取用密鑰需要參與「Apple 銀包」取用計劃。 如需更多有關如何製作取用密鑰的資料,請參閲「Apple 銀包」取用計劃指南中的「提供」。