Platform egyszeri bejelentkezés macOS-hez
A platformra történő egyszeri bejelentkezéssel (Platform SSO) a fejlesztők olyan SSO-bővítményeket készíthetnek, amelyek kiterjedhetnek a macOS bejelentkezési ablakáig, és lehetővé teszik, hogy a felhasználó szinkronizálja a helyi fiók bejelentkezési adatait egy identitásszolgáltatóval. A helyi fiókjelszót a rendszer automatikusan szinkronizálja, hogy a felhőben tárolt és a helyi jelszavak egyezzenek. A felhasználók feloldhatják a Macet a Touch ID-val és az Apple Watchcsal.
A platform SSO-hoz a következők szükségesek:
macOS 13 vagy újabb
Olyan mobileszköz-felügyeleti (MDM) megoldás amely támogatja a kibővíthető egyszeri bejelentkezés adatcsomagját, amely tartalmazza a Platform SSO támogatását
A Platform SSO hitelesítési protokoll támogatása az IdP-től
Két támogatott hitelesítési mód közül az egyik:
Hitelesítés Secure Enclave-alapú kulccsal: Ezzel a módszerrel a Macjére bejelentkező felhasználó használhatja a Secure Enclave-alapú kulcsot az IdP-vel jelszó nélkül történő hitelesítéshez. A Secure Enclave kulcs az IdP-vel van beállítva a felhasználóregisztrációs folyamat közben.
Jelszó-hitelesítés: Ezzel a módszerrel a felhasználó hitelesíti magát a helyi jelszóval vagy egy IdP-jelszóval.
Megjegyzés: Ha a Mac regisztrációja törölve van az MDM-megoldásból, akkor az IdP-ből is törölve lesz a regisztrációja.
WS-Trust-összevonás
A WS-Trust-összevonás macOS 13.3 vagy újabb operációs rendszereken támogatott. Ez lehetővé teszi a Platform SSO számára, hogy sikeresen hitelesítse a felhasználókat, ha a fiókjukat egy Microsoft Entra ID-val összevont identitásszolgáltató felügyeli.
További Platform SSO szolgáltatások a macOS 14 és újabb rendszerben
User enrollment and registration status in System Settings (Felhasználói regisztráció és regisztráció állapota a Rendszerbeállításokban): A felhasználók a Rendszerbeállításokban regisztrálhatják az eszközüket vagy felhasználói fiókjukat SSO használatára. Ebben a menüben látható a regisztráció jelenlegi állapota, és megjeleníti az esetleges hibákat is, így átláthatóságot biztosít a felhasználó számára. Ez tájékoztatja a felhasználót, hogy újra el kell-e végezni a regisztrációt.
Local account creation by users (Helyi fiók létrehozása a felhasználó által): A fiókmenedzsment elősegítéséhez a megosztott telepítésekben, a felhasználók használhatják az identitásszolgáltatóhoz tartozó felhasználónevüket és jelszavukat a bejelentkezéshez a Macre feloldott FileVaulttal, és helyi fiókot hozhatnak létre. Az új
TokenToUserMappinghasználható annak definiálásához, hogy melyik, az identitásszolgáltató által biztosított kulcs használatos a helyi felhasználónév kiválasztásához. A funkció használatához a következők szükségesek:A Beállítási asszisztens lépéseit el kell végezni, és létre kell hozni egy kezdeti, helyi adminisztrátori fiókot.
Az eszközöket olyan MDM-megoldásba kell regisztrálni, amely támogatja a bootstrap tokeneket.
A felhasználó Macjének rendelkeznie kell egy Extensible Single Sign-on adatcsomaggal Platform SSO-val, és a
UseSharedDeviceKeysésEnableCreateUserAtLoginbeállításoknak engedélyezve kell lenniük.Az intelligens kártyák támogatásához szükséges, hogy az intelligens kártya regisztrálva legyen az identitásszolgáltatóval, és legyen intelligenskártya-attribútumhozzárendelés konfigurálva a Macen.
Using nonlocal IdP user accounts at authorization prompts (Nem helyi identitásszolgáltatói felhasználói fiókok használata hitelesítési felszólításokkor): A Platform SSO az identitásszolgáltatói hitelesítő adatok használatát kiterjeszti azon felhasználókra is, akik nem rendelkeznek helyi felhasználói fiókkal a Macen engedélyezési célokból. Ezek a fiókok ugyanazokat a csoportokat használják, mint a Csoportfelügyelet. Ha például a felhasználó az egyik adminisztrátori csoport tagja, a fiók használható a macOS adminisztrátori engedélyezést kérő üzeneteinél. Ez alól kivételt jelentenek az olyan engedélyezési üzeneteknél, amelyekhez biztonságos token, tulajdonosi engedélyek vagy a jelenleg bejelentkezett felhasználó hitelesítése szükséges.
Updating group membership of users when they authenticate with their IdP (Felhasználók csoporttagságának frissítése, amikor az identitásszolgáltatójukkal hitelesítenek): A csoporttagságok használhatók az identitásszolgáltatót használó felhasználók engedélyeinek részletes kezelésére a macOS-ben. A csoporttagság minden alkalommal frissítve van, amikor a felhasználó az identitásszolgáltató használatával hitelesít. A csoporttagság definiálásához három tömbkulcs érhető el:
AdministratorGroups: Ha a felhasználó egy ebben a tömbben felsorolt csoportnak, akkor helyi adminisztrátori hozzáférése lesz.
AuthorizationGroups: Specifikus csoportok a beépített vagy egyénileg definiált feljogosítási csoporthoz. A jogosultságot minden felhasználó megkapja, aki tagja az adott csoportnak. Ha például egy csoporttagsághoz meg van adva a
system.preferences.networkengedélyezési jog, az lehetővé teszi a felhasználóknak, hogy módosítsák a hálózati beállításokat, vagy asystem.preferences.printingengedélyezi a felhasználóknak a nyomtatóbeállítások módosítását.AdditionalGroups: Az operációs rendszer használhatja – például a
sudohozzáférés definiálásához. Ebben a tömbben egy bejegyzés egy csoportot hoz létre a helyi könyvtárban, ha a csoport nem létezik.