Platform single sign-on (SSO) for macOS
Med platform single sign-on (SSO) kan utviklere bygge SSO-utvidelser som også omfatter macOS-påloggingsvinduet, slik at brukere kan synkronisere lokale kontoakkreditiver med en identitetsleverandør. Det lokale kontopassordet synkroniseres automatisk, slik at nettskypassord og lokale passord stemmer overens. Brukere kan også låse opp Macen med Touch ID og Apple Watch.
Platform SSO krever følgende:
macOS 13 eller nyere
En MDM-løsning som støtter Extensible Single Sign-On-nyttelasten, som inkluderer støtte for Platform SSO
Støtte fra identitetsleverandøren for Platform SSO-autentiseringsprotokollen
En av to støttede autentiseringsmetoder:
Autentisering med en Secure Enclave-godkjent nøkkel: Med denne metoden kan en bruker som logger på Macen sin bruke en Secure Enclave-godkjent nøkkel til å autentisere med identitetsleverandøren uten et passord. Secure Enclave-nøkkelen er konfigurert med identitetsleverandøren under brukerregistreringsprosessen.
Passordautentisering: Med denne metoden kan brukerne autentisere med et lokalt passord eller passord fra en identitetsleverandør.
Merk: Hvis Macen avregistreres i MDM-løsningen, avregistreres den også fra identitetsleverandøren.
Forening av WS-Trust
Forening av WS-Trust støttes i macOS 13.3 og nyere. Dette gjør at Platform SSO kan autentisere brukere når kontoen er administrert av en identitetsleverandør forent med Microsoft Entra ID.
Ytterligere Platform SSO-funksjoner i macOS 14
Brukerregistrering og registreringsstatus i Systeminnstillinger: Brukere kan registrere enheten eller brukerkontoen sin for bruk med SSO i Systeminnstillinger. Menyobjektet viser også gjeldende registreringsstatus og eventuelle feil som kan ha oppstått, som gir bedre klarhet til brukeren. Dette informerer brukeren om registreringen må fullføres på nytt.
Lokal kontooppretting av brukere: For å tilrettelegge for administrering av kontoer i utrullinger med delte enheter, kan brukerne bruke et smartkort eller brukernavnet og passordet fra identitetsleverandøren til å logge på Macen med FileVault låst opp og opprette en lokal konto. Den nye
TokenToUserMapping
-nøkkelen kan brukes til å definere hvilken attributt fra identitetsleverandøren som skal brukes til å velge det lokale brukernavnet. Følgende kreves for å bruke denne funksjonen:Oppsettassistent må fullføres og en lokal administratorkonto må opprettes.
Enhetene må være registrert i en MDM-løsning som støtter Bootstrap-kjennetegn.
Brukerens Mac må ha en Extensible Single Sign-on-nyttelast med Platform SSO og med valgene
UseSharedDeviceKeys
ogEnableCreateUserAtLogin
aktivert.Støtte for smartkort krever at smartkortet er registrert med identitetsleverandøren og at det er en smartkort-attributttilordning konfigurert på Macen.
Bruk av ikke-lokale brukerkontoer fra identitetsleverandøren ved varslinger om autorisering: Platform SSO utvider bruken av identitetsleverandør-akkreditiver til brukere som ikke har en lokal brukerkonto på Macen til autorisasjonsformål. Disse kontoene bruker samme grupper som gruppeadministrasjon. For eksempel hvis brukeren er med i en av administratorgruppene, kan kontoen brukes ved forespørsler om administratorgodkjenning i macOS. Dette gjelder ikke for godkjenningsforespørsler som krever sikkert kjennetegn, eiertillatelser eller godkjenning av brukeren som er logget på.
Oppdatering av gruppemedlemskap til brukere når de autentiserer med identitetsleverandøren sin: Gruppemedlemskap kan brukes til detaljert administrasjon av tillatelser for identitetsleverandørbrukere i macOS. Hver gang en bruker autentiserer med identitetsleverandøren, oppdateres brukerens gruppemedlemskap. Det finnes tre array-nøkler som kan definere gruppemedlemskap:
AdministratorGroups: Hvis brukeren er en del av en gruppe som er oppført i denne, får de lokal administratortilgang.
AuthorizationGroups: Bestemte grupper som brukes til å administrere innebygde eller egendefinerte godkjenningsrettigheter. Rettigheten gis til alle brukere som er med i den bestemte gruppen. For eksempel vil medlemmer i en gruppe tilordnet godkjenningsrettigheten
system.preferences.network
kunne endre nettverksinnstillinger, og medsystem.preferences.printing
vil de kunne endre skriverinnstillinger.AdditionalGroups: Kan for eksempel brukes av operativsystemet til å definere
sudo
-tilgang. En oppføring denne oppretter en gruppe i den lokale katalogen hvis gruppen ikke eksisterer.