macOS 的「平台單一登入」
透過「平台單一登入」(平台 SSO),你(或專精於身分管理的開發者)可以建立 SSO 延伸功能,讓使用者在 Mac 初始設定期間從 IdP 使用你機構的帳號。
功能
「平台 SSO」支援下列功能:
在「自動裝置註冊」期間啟用並強制執行「平台 SSO」來認證註冊、登入「管理式 Apple 帳號」,並建立本機使用者。
為原生和網頁 App 提供單一登入體驗。
在「系統設定」中取得「平台 SSO」的相關資訊。
將本機使用者帳號的密碼與 IdP 同步,並定義登入規則。
定義 IdP 帳號的群組權限,並允許使用者在授權提示中使用僅限網路的 IdP 帳號。
在使用 IdP 帳號憑證登入時,依需求建立本機使用者帳號。
支援在共享的 Mac 電腦上暫時使用其 IdP 憑證登入的訪客使用者。
【注意】大多數功能需要 SSO 延伸功能的支援。若要進一步瞭解在你的機構中實作「平台 SSO」,請參閱你的 IdP 文件。
系統需求
配備 Apple 晶片的 Mac 或配備 Touch ID 的 Intel 架構式 Mac
支援「可延伸單一登入」設定(包含「平台 SSO」的設定)的裝置管理服務
包含與 IdP 相容之「平台 SSO」延伸功能的 App
macOS 13 或以上版本
下列功能有額外的版本需求:
功能 | 支援的最低作業系統版本 | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
已認證的訪客模式 | macOS 26 | ||||||||||
感應登入 | macOS 26 | ||||||||||
自動裝置註冊期間的平台 SSO | macOS 26 | ||||||||||
UPN 前置碼作為本機帳號名稱 | macOS 15.4 | ||||||||||
裝置識別碼的證明 | macOS 15.4 | ||||||||||
登入規則 | macOS 15 | ||||||||||
按要求建立帳號 | macOS 14 | ||||||||||
群組管理和網路授權 | macOS 14 | ||||||||||
「系統設定」中的平台 SSO | macOS 14 | ||||||||||
「平台 SSO」設定
若要使用「平台 SSO」,Mac 和每位使用者都必須向 IdP 註冊。取決於 IdP 支援和套用的設定,Mac 可以使用下列項目在背景中靜以無提示的方式執行裝置註冊:
在裝置管理設定中提供的註冊代號
可提供關於裝置識別碼(UDID 和序號)之強力保證的證明
為了與 IdP 保持獨立於使用者的信任連線,「平台 SSO」支援共享裝置密鑰。盡可能使用共享的裝置密鑰,因為「自動裝置註冊」期間的「平台 SSO」、根據來自 IdP 的資訊按要求建立使用者帳號、網路授權和「已認證的訪客模式」等功能需要這些密鑰。
裝置成功註冊後,使用者會註冊(除非使用者帳號正在使用「已認證的訪客模式」)。若 IdP 需要,使用者註冊可以包含提示使用者確認其註冊。對於「平台 SSO」按要求建立的本機使用者帳號,使用者註冊會在背景自動發生。
【注意】若你從裝置管理服務註銷 Mac,其也會從 IdP 取消註冊。
認證方式
「平台 SSO」支援與 IdP 搭配使用的不同認證方式。每個方式的支援取決於 IdP 和「平台 SSO」延伸功能。
密碼:以此方式,使用者會透過本機密碼或 IdP 密碼認證。「平台 SSO」也支援 WS-Trust,即使在管理其帳號的 IdP 已建立聯合驗證時,也允許使用者進行認證。
支援「安全隔離區」的密鑰:以此方式,登入其 Mac 的使用者可以使用支援「安全隔離區」的密鑰來透過 IdP 認證而無需密碼。IdP 會在使用者註冊程序期間設定「安全隔離區」密鑰。
智慧卡:以此方式,使用者會透過智慧卡搭配 IdP 進行認證。若要使用此方式,你需要:
向 IdP 註冊智慧卡。
在 Mac 上設定智慧卡屬性對應。
如需詳細資訊和屬性對應組態範例,請參閱智慧卡服務計畫案 的 man 頁面。
便捷鍵:使用此方式,使用者會使用儲存在「Apple 錢包」中的憑證來與 IdP 認證。取用密鑰與智慧卡類似,需要向 IdP 註冊。
某些功能(例如按要求建立使用者帳號)需要你使用特定的認證方式。
功能 | 密碼 | 支援「安全隔離區」的密鑰 | 智慧卡 | 便捷鍵 | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
群組管理 |  | | | | |||||||
自動裝置註冊 | | | |  | |||||||
已認證的訪客模式 | | | | | |||||||
按要求建立帳號 | | | | | |||||||
密碼同步 | | | | | |||||||
【注意】SSO 延伸功能需要支援要求的方式才能執行註冊。也支援切換方式。例如,若在以使用者名稱和密碼登入期間新增使用者帳號,該帳號可在登入成功後切換到使用支援「安全隔離區」的密鑰或智慧卡。
自動裝置註冊期間的平台 SSO
機構可以在「設定輔助程式」中透過「自動裝置註冊」來啟用並強制執行「平台 SSO」。這是單一使用者裝置的選項,因為認證註冊的使用者會自動建立本機帳號,並可以立即搭配支援的原生和網頁 App 使用 SSO。
流程作業如下:
macOS 會要求註冊並通知裝置管理服務,在註冊期間支援「平台 SSO」。
裝置管理服務會傳回包含 SSO 設定位置和具有 SSO 延伸功能之 App 套件資訊的 403 錯誤。
macOS 會下載並安裝「平台 SSO」延伸功能和設定。
macOS 會設定「平台 SSO」並執行裝置註冊。若已設定證明,註冊會在背景中以無提示的方式執行。然後,macOS 會提示使用者使用之前列出的其中一種方式搭配其 IdP 進行認證來執行使用者註冊。若未成功註冊「平台 SSO」,使用者便無法繼續。
IdP 會處理認證。
成功認證後,IdP 會傳回持有人代號給 macOS。
macOS 會使用持有人代號來認證裝置管理服務的註冊,並且若已與相同的 IdP 建立聯合驗證,即可讓使用者登入其「管理式 Apple 帳號」而無須再次輸入憑證。若要此功能運作,使用者需要可以看到「iCloud 設定輔助程式」面板。
macOS 會建立一個本機帳號,密碼會與 IdP 同步,或由使用者設定本機密碼(當「平台 SSO」使用支援「安全隔離區」的密鑰時)。如有需要,你可以使用「密碼」設定來強制執行本機密碼的密碼複雜度要求。
若已設定,macOS 可以從 IdP 同步本機帳號登入的個人檔案圖片。
你可以在強制軟體更新的「自動裝置註冊」期間使用「平台 SSO」。在此情況下,裝置管理服務需要先強制執行更新。
若 macOS 建立的使用者帳號是 Mac 上唯一的帳號,則會變成管理員帳號。若裝置管理服務使用帳號設定指令建立了管理員帳號,你可以使用「平台 SSO」群組管理來指派使用者帳號不同的權限。
單一登入
由於「平台 SSO」是「可延伸 SSO」的一部分,因此提供相同的單一登入功能,並允許使用者登入一次,然後使用初始認證提供的代號來認證支援的原生和網頁 App。
若代號遺失、過期或超過四小時,「平台 SSO」會嘗試從 IdP 重新整理或取得新的代號。此外,你可以設定以秒為單位(最短 1 小時)的持續時間,直到「平台 SSO」需要完整登入而不是代號重新整理。依照預設,每 18 小時需要完整登入一次。
「系統設定」中的平台 SSO
在註冊「平台 SSO」後,使用者可以在「系統設定」>「使用者與群組」> [使用者名稱] 中檢視使用者註冊狀態。如有需要,使用者可以啟動註冊修復並強制重新整理其認證代號。
裝置註冊狀態會顯示在「使用者與群組」>「網路帳號伺服器」,而且也會提供執行修復的選項。
密碼同步和登入規則
若你使用密碼認證方式,每當使用者在本機或遠端更改其密碼,本機使用者密碼都會自動與 IdP 同步。如有需要,macOS 會提示使用者輸入其之前的密碼。
依照預設,需要本機帳號密碼才能解鎖「檔案保險箱」、「鎖定畫面」和登入視窗。若輸入的密碼與本機使用者帳號的密碼不相符,macOS 會嘗試聯絡 IdP 來執行即時認證。若 macO S無法聯絡 IdP,或輸入的密碼與 IdP 儲存的密碼不相符,認證就會失敗。
透過登入規則,你可以立即允許在這三個提示中使用來自 IdP 的目前帳號密碼。你也可以個別設定下列「檔案保險箱」、「鎖定畫面」和登入視窗的規則:
嘗試認證。
若已設定,則會嘗試與 IdP 進行即時認證。
即使 Mac 在第一次嘗試後已離線,若 Mac 在線上,仍需要與 IdP 成功認證才能繼續。
若認證成功,「平台 SSO」會更新本機密碼。
若 Mac 處於離線狀態,使用者可以使用其本機帳號密碼。
需要認證。
若已設定,則需要與 IdP 進行即時認證才能繼續。
若 Mac 已連線,無論是否已設定離線寬限期,都必須與 IdP 成功認證才能繼續。
若認證成功,「平台 SSO」會更新本機密碼。
若 Mac 已離線,使用者便無法登入。在這些情況下,你可以啟用離線寬限期並設定為上次成功登入後的幾天,在此期間使用者可以繼續使用本機帳號密碼。
你可以定義任何登入 Mac 的帳號是否需要由「平台 SSO」管理,或是否仍允許使用僅限本機的帳號登入。你也可以定義規則套用或更新後到此設定強制執行的天數。這會允許暫時使用本機帳號。例如,你可以暫時使用裝置管理服務所建立的管理員帳號來執行或修復「平台 SSO」裝置註冊。
你也可以允許使用者在鎖定畫面上使用 Touch ID 或 Apple Watch,而不是即時認證。
如有需要,本機帳號(由你所定義)可以排除在登入規則之外,而且不會收到註冊「平台 SSO」的提示。
群組管理和網路授權
「平台 SSO」提供精細的權限管理,以提供使用者在 Mac 上所需的適當權限等級。為執行此操作,「平台 SSO」可以在使用者每次認證時將下列權限套用到帳號:
標準:帳號會取得標準使用者權限。
管理員:將帳號加入本機管理員群組。
群組:依照群組成員資格來定義權限,每次使用者透過 IdP 認證時都會更新。
使用群組時,帳號會根據下列成員資格取得權限:
管理員群組:若帳號是列出的群組的一部分,則具有本機管理員取用權限。
授權群組:若帳號是內建或自訂定義授權權限所指派群組的一部分,則帳號具有與該群組相關的權限。例如,macOS 會使用下列授權權限:
system.preferences.datetime,允許帳號修改時間設定。system.preferences.energysaver,允許帳號修改能源節約器設定。system.preferences.network,允許帳號修改網路設定。system.preferences.printing,允許帳號加入或移除印表機。
其他群組:macOS 或特定 App 的自訂定義群組,macOS 會在本機目錄中自動製作(若群組不存在)。例如,你可以在
sudo設定中使用額外的群組來定義sudo取用權限。
網路授權
「平台 SSO」會將 IdP 憑證的使用擴展到 Mac 上沒有本機帳號的使用者來進行授權。這些帳號會使用與群組管理相同的群組。例如,若帳號是其中一個管理員群組的成員,它可以執行管理員授權提示。若要使用此功能,請使用共享裝置密鑰來設定「平台 SSO」。
若授權提示需要安全代號、擁有者權權限或目前登入的使用者認證,則無法進行網路授權。
按要求建立帳號
若要輔助共享部署中的帳號管理,使用者可以用其 IdP 使用者名稱和密碼或智慧卡來登入 Mac 以建立本機帳號。
你可以使用「自動裝置註冊」搭配「自動進行」來達成完全自動化的佈建程序。你需要使用裝置管理服務來建立第一個本機管理員帳號,並執行無提示的「平台 SSO」註冊。
下列是使用按要求建立帳號所需條件:
將 Mac 註冊到支援 Bootstrap 代號的裝置管理服務。
加入下列項目:包含「平台 SSO」、共享裝置密鑰和在登入時建立使用者選項的 SSO 延伸功能設定。
完成「設定輔助程式」並建立本機管理員帳號。
請讓 Mac 處於登入視窗,並解鎖「檔案保險箱」和連接網路。
使用可選的設定選項,你可以定義 IdP 中要用於本機帳號名稱(通常稱為使用者的簡稱)和全名的屬性。管理員也可以將帳號名稱的密鑰設定為 com.apple.PlatformSSO.AccountShortName 來使用 UPN 前置碼。
此外,你可以定義在登入時要套用到新建立帳號的權限。可使用相同的群組管理選項:
標準:帳號會取得標準使用者權限。
管理員:將帳號加入本機管理員群組。
群組:依照群組成員資格來定義權限,每次使用者透過 IdP 認證時都會更新。
已認證的訪客模式
「已認證的訪客模式」為共享部署(例如醫療診所或學校)提供快速登入體驗,不同使用者不需要建立本機帳號,因為他們只需在短時間內使用其 IdP 憑證登入即可。使用者依照預設會取得標準使用者權限,但你可以使用「平台 SSO」群組管理來更改這些權限。
若要使用此功能,你需要與按要求建立帳號相同的需求,但不是在登入時建立使用者的選項,而是設定「已認證的訪客模式」。
使用者登出時,macOS 會清除該帳號的所有本機資料,而共享的 Mac 會準備好讓下一位使用者登入。
感應登入
「感應登入」會將數位憑證功能從「Apple 錢包」延伸至 macOS。在過去幾年中,機構已在「Apple 錢包中採用數位識別證,讓使用者只需點一下 iPhone 或 Apple Watch 即可解鎖門,無需實體識別證。在 Mac 上也能使用相同的體驗。
此認證方式對於在多位使用者之間共享 Mac 的機構特別有價值,包含教育機構、零售環境和醫療設施。
透過「感應登入」,使用者可以在已設定為「已認證的訪客模式」的 Mac 上,將 iPhone 或 Apple Watch 感應連接的 NFC 讀卡機來認證。這會啟動安全單一登入程序,自動對使用者的 App 和網站認證,讓使用者快速登入並開始工作。
使用者憑證會透過 iPhone App 或瀏覽器在「Apple 錢包」票卡中提供為取用密鑰。這些取用密鑰會儲存在裝置的「安全隔離區」中,使其具有硬體支援和加密功能,並協助防範篡改或擷取的嘗試。「快速模式」功能可讓使用者無須喚醒或解鎖其裝置便能立即認證,類似於「Apple 錢包」中交通卡的運作方式,藉此提升便利性。
若要實作「感應登入」功能,Mac 需要:
已設定為「已認證的訪客模式」
配備支援的外接 NFC 讀卡機
取用密鑰的製作和管理需要參與「Apple 錢包取用計畫」。若要進一步瞭解如何製作取用密鑰,請參閱「Apple 錢包取用計畫指南」中的「佈建」。