Plateforme d’authentification unique pour macOS
Au moyen de l’authentification unique de plateforme, les développeurs peuvent concevoir des extensions d’authentification unique qui s’étendent à la fenêtre de connexion de macOS, permettant aux utilisateurs de synchroniser les informations d’identification du compte local avec un fournisseur d’identité. Le mot de passe du compte local est synchronisé afin que le mot de passe stocké dans le nuage et le mot de passe local concordent. Les utilisateurs peuvent également déverrouiller leur Mac à l’aide de Touch ID et d’une Apple Watch.
L’authentification unique de la plateforme requiert les éléments suivants :
macOS 13 ou version ultérieure
Une solution de gestion des appareils mobiles (GAM) qui prend en charge l’entité Authentification unique extensible compatible avec les plateformes d’authentification unique
Prise en charge par le fournisseur d’identité du protocole d’authentification unique de la plateforme
Une ou deux méthodes d’authentification prises en charge :
Authentification avec une clé renforcée par le Secure Enclave : Avec cette méthode, un utilisateur qui se connecte à son Mac peut utiliser une clé renforcée par Secure Enclave pour s’authentifier auprès du fournisseur d’identité sans mot de passe. La clé Secure Enclave est configurée avec le fournisseur d’identité pendant le processus d’enregistrement de l’utilisateur.
Authentification avec mot de passe : Avec cette méthode, un utilisateur s’authentifie avec un mot de passe local ou un mot de passe du fournisseur d’identité.
Remarque : Si le Mac est désinscrit de la solution de GAM, il est également désinscrit du fournisseur d’identité.
Fédération WS-Trust
La fédération WS-Trust est prise en charge sous macOS 13.3 et toutes versions ultérieures. La plateforme d’authentification unique peut ainsi authentifier correctement les utilisateurs lorsque leur compte est géré par un fournisseur d’identité avec Microsoft Entra ID.
Fonctionnalités supplémentaires de la plateforme d’authentification unique sous macOS 14 ou version ultérieure
Inscription de l’utilisateur et état d’inscription dans Réglages système : Les utilisateurs peuvent inscrire leur appareil ou leur compte d’utilisateur dans Réglages système pour les utiliser avec l’authentification unique. L’élément du menu affiche également l’état d’inscription actuel et indique toute erreur étant survenue pour plus de transparence. L’utilisateur peut ainsi savoir s’il doit de nouveau procéder à l’inscription.
Création de comptes locaux par les utilisateurs : Pour faciliter la gestion du compte au sein de déploiements partagés, les utilisateurs peuvent utiliser le nom d’utilisateur et le mot de passe de leur fournisseur d’identité ou une carte intelligente pour se connecter à un Mac tout en déverrouillant FileVault et créer un compte local. La nouvelle clé
TokenToUserMappingpeut servir à définir quel attribut fourni par le fournisseur d’identité est utilisé pour sélectionner le nom d’utilisateur local. Pour utiliser cette fonctionnalité, vous aurez besoin de ce qui suit :La configuration au moyen d’Assistant réglages doit avoir été effectuée, et un compte local bénéficiant du rôle d’administrateur doit avoir été créé.
Les appareils doivent être inscrits à une solution de GAM qui prend en charge les jetons d’amorçage.
Le Mac de l’utilisateur doit disposer d’une entité Authentification unique extensible dotée d’une plateforme d’authentification et dont les options
UseSharedDeviceKeysetEnableCreateUserAtLoginsont activées.La prise en charge d’une carte intelligente requiert que cette dernière soit enregistrée auprès du fournisseur d’identité et que le mappage de l’attribut d’une carte intelligente soit configuré sur le Mac.
Utilisation de comptes d’utilisateur d’un fournisseur d’identité non local lors des demandes d’autorisation : La plateforme d’authentification unique étend l’utilisation de données d’identification du fournisseur d’identité aux utilisateurs qui ne disposent pas d’un compte d’utilisateur local sur le Mac à des fins d’autorisation. Ces comptes utilisent les mêmes groupes que la gestion de groupes. Par exemple, si l’utilisateur est membre de l’un des groupes d’administrateurs, le compte peut être utilisé lors de la demande d’autorisation d’administration de macOS. Toutes les demandes d’autorisation qui requièrent un jeton sécurisé, des autorisations de propriété ou l’authentification de l’utilisateur dont la session est en cours sont exclues.
Mise à jour de l’adhésion des utilisateurs au groupe lorsqu’ils s’authentifient auprès de leur fournisseur d’identité : L’adhésion au groupe peut être utilisée pour gérer avec précision les autorisations des utilisateurs du fournisseur d’identité dans macOS. Chaque fois qu’un utilisateur s’authentifie auprès du fournisseur d’identité, son adhésion au groupe est mise à jour. Trois clés d’ensemble permettent de définir l’adhésion au groupe :
AdministratorGroups : Si l’utilisateur appartient à un groupe répertorié dans cet ensemble, il dispose alors d’un accès administrateur local.
AuthorizationGroups : Il s’agit de groupes particuliers utilisés pour la gestion de droits d’autorisation intégrés ou personnalisés. Le droit est accordé à tous les utilisateurs qui appartiennent au groupe indiqué. Par exemple, l’adhésion à un groupe assigné à l’autorisation
system.preferences.networkautorise les utilisateurs à modifier les réglages réseau, alors que celle assignée à l’autorisationsystem.preferences.printingles autorise à modifier les réglages d’imprimante.AdditionalGroups : Cet ensemble peut être utilisé par le système d’exploitation, par exemple pour définir l’accès
sudo. Une entrée dans cet ensemble crée un groupe dans le répertoire local si le groupe n’existe pas.