Jednokrotne logowanie na platformie dla systemu macOS
Dzięki funkcji jednokrotnego logowania na platformie (Platform SSO) programiści mogą tworzyć rozszerzenia SSO obejmujące okno logowania macOS, umożliwiając użytkownikom synchronizowanie poświadczeń konta lokalnego z dostawcą tożsamości (IdP). Hasło konta lokalnego jest automatycznie synchronizowane, dzięki czemu hasło w chmurze oraz hasła lokalne są takie same. Użytkownicy mogą także odblokować swojego Maca za pomocą Touch ID i Apple Watch.
Jednokrotne logowanie na platformie wymaga następujących elementów:
macOS 13 lub nowszy
Rozwiązanie MDM obsługujące pakiet danych Extensible Single Sign-on zawierający obsługę jednokrotnego logowania na platformie
Wsparcie dostawcy tożsamości dla protokołu uwierzytelniania Platform SSO
Jedna z dwóch obsługiwanych metod uwierzytelniania:
Uwierzytelnianie za pomocą klucza obsługiwanego przez Secure Enclave: Dzięki tej metodzie użytkownik, który loguje się na swoim komputerze Mac, może użyć klucza obsługiwanego przez Secure Enclave, aby uwierzytelnić się za pomocą dostawcy tożsamości bez hasła. Klucz Secure Enclave jest konfigurowany przez dostawcę tożsamości podczas procesu rejestracji użytkownika.
Uwierzytelnienie hasłem: W ramach tej metody użytkownik uwierzytelnia się za pomocą hasła lokalnego lub hasła dostawcy tożsamości.
Uwaga: Jeśli komputer Mac został wyrejestrowany z rozwiązania MDM, jest on również wyrejestrowany od dostawcy tożsamości.
Federacja WS-Trust
Federacja WS-Trust jest obsługiwana w systemie macOS 13.3 i nowszych. Umożliwia to funkcji jednokrotnego logowania na platformie pomyślne uwierzytelnianie użytkowników kont zarządzanych przez dostawcę tożsamości sfederowanego z Microsoft Entra ID.
Dodatkowe funkcje jednokrotnego logowania na platformie w systemie macOS 14 lub nowszym
Status rejestracji użytkownika w Ustawieniach systemowych: Użytkownicy mogą zarejestrować w Ustawieniach systemowych swoje urządzenie lub konto do użycia z funkcją logowania jednokrotnego. W menu wyświetlany jest także bieżący status rejestracji oraz wszelkie ewentualne błędy, zapewniając większą przejrzystość dla użytkownika. Dzięki temu użytkownik wie, czy rejestracja musi zostać wykonana ponownie.
Tworzenie kont lokalnych przez użytkowników: Aby ułatwić zarządzanie kontami we wdrożeniach urządzeń współdzielonych, użytkownicy mogą logować się na Macu z odblokowaną funkcją FileVault i tworzyć konta lokalne, używając nazwy użytkownika i hasła od dostawcy tożsamości (lub karty inteligentnej). Przy użyciu nowego klucza
TokenToUserMappingmożna zdefiniować, który atrybut zapewniany przez dostawcę tożsamości ma być używany do wybierania nazwy użytkownika lokalnego. Funkcja ta ma następujące wymagania:Musi zostać ukończona konfiguracja przy użyciu Asystenta ustawień oraz utworzone lokalne konto administratora.
Urządzenia muszą być zarejestrowane w rozwiązaniu MDM obsługującym tokeny inicjujące.
Na Macu użytkownika musi znajdować się pakiet danych Extensible Single Sign-on z włączoną funkcją jednokrotnego logowania na platformie (Platform SSO) i włączonymi opcjami
UseSharedDeviceKeysorazEnableCreateUserAtLogin.Obsługa kart inteligentnych wymaga, aby karta inteligentna była zarejestrowana przez dostawcę tożsamości, a na Macu skonfigurowane zostało odwzorowanie atrybutów karty inteligentnej.
Używanie nielokalnych kont użytkowników od dostawcy tożsamości w oknach z prośbą o uwierzytelnienie: Funkcja jednokrotnego logowania na platformie rozszerza użycie danych uwierzytelniania od dostawcy tożsamości na użytkowników nieposiadających na Macu kont lokalnych. Konta te używają tych samych grup, które stosowane są przy zarządzaniu grupami. Na przykład, jeśli dany użytkownik należy do jednej z grup administratorów, jego konto może być używane w systemie macOS w oknach z prośbą o uwierzytelnienie administratora. Wyjątkiem są okna z prośbą o uwierzytelnienie wymagające tokenu zabezpieczeń, uprawnień własności lub uwierzytelnienia przez aktualnie zalogowanego użytkownika.
Uaktualnianie członkostwa w grupach, gdy użytkownicy uwierzytelniają się przy użyciu danych od dostawcy tożsamości: Dokładne zarządzanie uprawnieniami użytkowników kont dostawcy tożsamości w systemie macOS możliwe jest przy użyciu mechanizmu członkostwa w grupach. Za każdym razem, gdy dany użytkownik uwierzytelnia się przy użyciu danych od dostawcy tożsamości, jego członkostwo w grupach jest uaktualniane. Istnieją trzy tablice kluczy umożliwiające definiowanie członkostwa w grupach:
AdministratorGroups: Użytkownicy należący do grupy z tej tablicy otrzymują uprawnienia administratora lokalnego.
AuthorizationGroups: Określone grupy używane do zarządzania wbudowanymi lub własnymi uprawnieniami. Dane uprawnienie przydzielane jest wszystkim użytkownikom należącym do określonej grupy. Na przykład, członkostwo w grupie przypisanej do uprawnienia
system.preferences.networkpozwala użytkownikom modyfikować ustawienia sieci, asystem.preferences.printingpozwala modyfikować ustawienia drukarek.AdditionalGroups: Może być używana przez system operacyjny, na przykład w celu definiowania dostępu do funkcji
sudo. Wpis w tej tablicy powoduje utworzenie danej grupy w katalogu lokalnym, jeśli grupa ta nie istnieje.