Eenmalige platformaanmelding voor macOS
Met eenmalige platformaanmelding kunnen ontwikkelaars extensies voor eenmalige aanmelding bouwen die integreren met het inlogvenster van macOS, zodat gebruikers de inloggegevens van een lokale account kunnen synchroniseren met een identiteitsprovider (IdP). Het wachtwoord van de lokale account wordt automatisch gesynchroniseerd, zodat het cloudwachtwoord en het lokale wachtwoord altijd overeenkomen. Gebruikers kunnen hun Mac ook ontgrendelen met Touch ID en Apple Watch.
Vereisten voor eenmalige platformaanmelding:
macOS 13 of nieuwer
Een MDM-oplossing (Mobile Device Management) die de payload 'Uitbreidbare SSO' met ondersteuning voor eenmalige platformaanmelding ondersteunt
Ondersteuning van de IdP voor het authenticatieprotocol van eenmalige platformaanmelding
Een van deze twee ondersteunde authenticatiemethoden:
Authenticatie met een sleutel die is opgeslagen in de Secure Enclave: Met deze methode kan een gebruiker die inlogt op een Mac een sleutel uit de Secure Enclave gebruiken om zich zonder wachtwoord bij de IdP te authenticeren. De sleutel in de Secure Enclave wordt ingesteld tijdens de gebruikersregistratie bij de IdP.
Authenticatie met een wachtwoord: Bij deze methode authenticeert een gebruiker zich met een lokaal wachtwoord of een IdP-wachtwoord.
Opmerking: Als de Mac wordt uitgeschreven bij de MDM-oplossing, wordt de registratie bij de IdP ook ongedaan gemaakt.
WS-Trust-bundeling
WS-Trust-bundeling wordt ondersteund in macOS 13.3 of nieuwer. Hiermee kunnen gebruikers via eenmalige platformaanmelding worden geauthenticeerd wanneer hun account wordt beheerd door een IdP die is gebundeld met Microsoft Entra ID.
Extra functies voor eenmalige platformaanmelding in macOS 14
Gebruikersinschrijving en registratiestatus in Systeeminstellingen: Gebruikers kunnen in Systeeminstellingen hun apparaat of hun gebruikersaccount registreren voor gebruik met eenmalige aanmelding. De transparantie voor gebruikers is verbeterd doordat ook de huidige registratiestatus en eventuele fouten die zich hebben voorgedaan worden weergegeven in het menu-onderdeel. Zo kan de gebruiker zien of de registratie opnieuw moet worden uitgevoerd.
Aanmaak van lokale accounts door gebruikers: Om accountbeheer in gedeelde implementaties mogelijk te maken, kunnen gebruikers met hun IdP-gebruikersnaam en -wachtwoord of een smartcard inloggen op een Mac waarop FileVault is ontgrendeld en een lokale account aanmaken. De nieuwe sleutel
TokenToUserMapping
kan worden gebruikt om op te geven met welk kenmerk afkomstig van de IdP de naam van de lokale gebruiker wordt geselecteerd. Voor deze functie is het volgende vereist:De configuratie-assistent moet zijn uitgevoerd en er moet een lokale beheerdersaccount zijn aangemaakt.
Apparaten moeten zijn ingeschreven bij een MDM-oplossing die Bootstrap Tokens ondersteunt.
Op de Mac van de gebruiker moet een 'Uitbreidbare SSO'-payload met eenmalige platformaanmelding zijn geïnstalleerd waarvan de opties
UseSharedDeviceKeys
enEnableCreateUserAtLogin
zijn ingeschakeld.Voor ondersteuning van smartcards is het vereist dat de smartcard is geregistreerd bij de IdP en dat toewijzing van smartcardkenmerken is geconfigureerd op de Mac.
Niet-lokale IdP-gebruikersaccounts gebruiken als om autorisatie wordt gevraagd: Eenmalige platformaanmelding maakt het ook mogelijk voor gebruikers zonder een lokale gebruikersaccount op de Mac om IdP-inloggegevens te gebruiken voor autorisatie. Deze accounts gebruiken dezelfde groepen als groepsbeheer. Als de gebruiker bijvoorbeeld lid is van een van de beheerdersgroepen, kan de account worden gebruikt wanneer om autorisatie door een macOS-beheerder wordt gevraagd. Dit geldt niet voor autorisatieverzoeken waarvoor een Secure Token of authenticatie door de ingelogde gebruiker nodig is of eigenaarsbevoegdheden vereist zijn.
Het groepslidmaatschap van gebruikers bijwerken wanneer ze zich met hun IdP-gegevens authenticeren: Groepslidmaatschappen kunnen worden gebruikt om de bevoegdheden van IdP-gebruikers in macOS nauwkeurig te beheren. Steeds wanneer gebruikers zich authenticeren met de IdP-gegevens, wordt hun groepslidmaatschap bijgewerkt. Er zijn drie arraysleutels beschikbaar voor het definiëren van groepslidmaatschappen:
AdministratorGroups: Als gebruikers deel uitmaken van een groep die in deze array wordt vermeld, hebben ze lokale beheerderstoegang.
AuthorizationGroups: Specifieke groepen die worden gebruikt om ingebouwde of aangepaste autorisatiebevoegdheden te beheren. De bevoegdheid wordt verleend aan alle gebruikers die deel uitmaken van de opgegeven groep. Als gebruikers bijvoorbeeld lid zijn van een groep waaraan de bevoegdheid
system.preferences.network
is toegewezen, kunnen deze gebruikers netwerkinstellingen wijzigen. Zijn ze lid van een groep met de bevoegdheidsystem.preferences.printing
, dan kunnen ze printerinstellingen wijzigen.AdditionalGroups: Groepen in deze array kunnen worden gebruikt door het besturingssysteem om bijvoorbeeld toegang tot
sudo
in te stellen. Met een vermelding in deze array wordt een groep aangemaakt in de lokale adreslijst als de groep nog niet bestaat.