Início de Sessão Único (SSO) de Plataforma para macOS
Com o Início de Sessão Único de Plataforma (SSO de Plataforma), equipes de desenvolvimento podem criar extensões de SSO que alcançam a janela de início de sessão do macOS, permitindo que usuários sincronizem credenciais da conta local com um provedor de identidade (IdP). A senha da conta local é mantida automaticamente em sincronia, para que a senha na nuvem e as senhas locais coincidam. Os usuários também podem desbloquear o Mac com Touch ID e o Apple Watch.
O SSO de Plataforma exige o seguinte:
macOS 13 ou posterior
Uma solução de gerenciamento de dispositivos móveis (MDM) compatível com o payload de Início de Sessão Único Extensível que inclua compatibilidade com o SSO de Plataforma
Compatibilidade do IdP com o protocolo de autenticação de SSO de Plataforma
Um destes dois métodos de autenticação compatíveis:
Autenticação com uma chave assegurada pelo Secure Enclave: com este método, um usuário que inicia a sessão no Mac pode usar uma chave assegurada pelo Secure Enclave para se autenticar com o IdP sem uma senha. A chave do Secure Enclave é configurada com o IdP durante o processo de registro do usuário.
Autenticação com senha: com este método, um usuário se autentica com uma senha local ou uma senha do IdP.
Nota: se o registro do Mac na solução MDM for desfeito, o registro no IdP também será desfeito.
Federação WS-Trust
A federação WS-Trust é compatível com o macOS 13.3 ou posterior. Isso permite que o SSO de Plataforma autentique usuários de forma bem‑sucedida quando suas contas são gerenciadas por um IdP federado com Microsoft Entra ID.
Recursos adicionais de SSO de Plataforma no macOS 14
Registro de usuário e estado do registro nos Ajustes do Sistema: usuários podem registrar seus dispositivos ou contas de usuário para uso com o SSO nos Ajustes do Sistema. O item de menu também mostra o estado de registro atual e indica qualquer erro que possa ter ocorrido, o que fornece mais transparência ao usuário. Isso permite que o usuário saiba se o registro precisa ser concluído novamente.
Criação de conta local por usuários: para facilitar o gerenciamento de contas em implementações compartilhadas, usuários podem usar seus nomes e senhas do IdP ou um smart card para iniciar a sessão em um Mac com o FileVault desbloqueado e criar uma conta local. A nova chave
TokenToUserMapping
pode ser usada para definir qual atributo fornecido pelo IdP é usado para selecionar o nome de usuário local. Para usar esse recurso, é necessário o seguinte:O Assistente de Configuração deve ser concluído e uma conta de administrador local inicial deve ser criada.
Os dispositivos devem estar registrados em uma solução MDM compatível com bootstrap tokens.
O Mac do usuário deve ter um payload de Início de Sessão Único Extensível com SSO de Plataforma e as opções
UseSharedDeviceKeys
eEnableCreateUserAtLogin
ativadas.A compatibilidade com smart cards requer que o smart card esteja registrado no IdP e que um mapeamento de atributo de smart card esteja configurado no Mac.
Uso de contas de usuário de IdP não local em avisos de autorização: o SSO de Plataforma expande o uso de credenciais do IdP para usuários que não têm uma conta local no Mac para propósitos de autorização. Essas contas usam os mesmos grupos do Gerenciamento de grupo. Por exemplo, se o usuário é membro de um dos grupos de administrador, a conta pode ser usada em avisos de autorização de administrador no macOS. Isso exclui qualquer aviso de autorização que requeira secure token, permissões de propriedade ou autenticação do usuário com sessão iniciada no momento.
Atualização da adesão ao grupo para usuários quando autenticam com o IdP: a adesão ao grupo pode ser usada para gerenciar de forma granular as permissões de usuários do IdP no macOS. Sempre que um usuário autentica com o IdP, sua adesão ao grupo é atualizada. Há três chaves de vetores disponíveis para definir a adesão ao grupo:
AdministratorGroups: se o usuário fizer parte de um grupo na lista deste vetor, ele terá acesso de administrador local.
AuthorizationGroups: grupos específicos usados para gerenciar direitos de autorização integrados ou personalizados. O direito será concedido a todos os usuários que fizerem parte do grupo especificado. Por exemplo, a adesão a um grupo atribuído ao direito de autorização
system.preferences.network
permite que os usuários modifiquem os ajustes de rede, enquantosystem.preferences.printing
permite que os usuários modifiquem os ajustes de impressora.AdditionalGroups: pode ser usado pelo sistema operacional para definir acesso
sudo
, por exemplo. Uma entrada neste vetor cria um grupo dentro do diretório local caso o grupo não exista.