Єдиний вхід на платформу (SSO) для macOS
Завдяки єдиному входу на платформу (Platform SSO) розробники можуть створювати розширення SSO, які поширюються на вікно входу в macOS, надаючи змогу користувачам синхронізувати дані локального облікового запису за допомогою постачальника посвідчення. Пароль локального облікового запису автоматично синхронізується, тому хмарні й локальні паролі збігаються. Крім того, користувачі можуть розблокувати свій Mac за допомогою Touch ID та Apple Watch.
Для єдиного входу на платформу потрібно виконати наведені нижче умови.
macOS 13 або новіша
Рішення керування мобільними пристроями (MDM), яке підтримує набір даних Extensible Single Sign-on (Розширюваний єдиний вхід) який включає підтримку єдиного входу на платформу
Підтримка протоколу автентифікації єдиного входу на платформу з боку постачальника ідентифікаційних даних
Один із двох підтримуваних методів автентифікації:
Автентифікація з використанням ключа Secure Enclave. За допомогою цього методу, користувач, який входить у систему на пристрої Mac, може використовувати ключ Secure Enclave для автентифікації в системі постачальника ідентифікаційних даних без пароля. Ключ Secure Enclave налаштовано за допомогою постачальника ідентифікаційних даних під час процесу реєстрації користувача.
Автентифікація за допомогою пароля. Цей метод забезпечує автентифікацію користувача з використанням локального пароля або пароля постачальника ідентифікаційних даних.
Примітка. Якщо пристрій Mac не зареєстровано в системі рішення MDM, його також не зареєстровано в системі постачальника ідентифікаційних даних.
Федерація WS-Trust
Федерація WS-Trust підтримується в macOS 13.3 і новіших. Це дає змогу функції єдиного входу на платформу успішно автентифікувати користувачів, облікові записи яких керуються постачальником посвідчень, федерованим із Microsoft Entra ID.
Додаткові функції єдиного входу на платформу в macOS 14 або новішій
Реєстрація користувача і статус реєстрації в Системних параметрах. Користувачі можуть зареєструвати свої пристрої або облікові записи для єдиного входу в Системних параметрах. Елемент меню також відображає поточний стан реєстрації і вказує всі проблеми, які могли виникнути, забезпечуючи кращу прозорість для користувачів. Це дає користувачеві знати, чи потрібно повторно проходити реєстрацію.
Створення локального облікового запису користувачами. Щоб здійснювати керування обліковими записами у спільних розгортаннях, користувачі можуть використовувати своє ім’я і пароль IdP або смарт-картку для входу в систему Mac з відмкненим FileVault і створити локальний обліковий запис. Можна використати новий ключ
TokenToUserMapping, щоб визначити, які атрибути, надані IdP, використовуються для вибору імені локального користувача. Щоб використовувати цю функцію, потрібно:Має бути завершена робота Асистента налаштування і створено локальний обліковий запис адміністратора.
Пристрої мають бути зареєстровані в рішенні MDM, яке підтримує токени самозавантаження.
На комп’ютері Mac користувача має бути набір даних Extensible Single Sign-on з увімкненими опцієми єдиного входу на платформу,
UseSharedDeviceKeysіEnableCreateUserAtLogin.Для підтримки смарт-карток потрібно, щоб смарт-картка була зареєстрована провайдером посвідчень, і щоб на Mac було конфігуровано зіставлення атрибутів смарт-картки.
Використання нелокальних облікових записів IdP під час підказок про авторизацію. Єдиний вхід на платформу розширює використання облікових даних IdP для користувачів, які не мають локального облікового запису на Mac, для авторизації. Ці облікові записи використовують такі ж групи, як і керування групами. Наприклад, якщо користувач є учасником однієї з адміністративних груп, обліковий запис можна використовувати для авторизації адміністратора на macOS. Сюди не входять запити про авторизацію, які вимагають токен безпеки, права власності або автентифікацію користувача, який вже в системі.
Оновлення членства в групі користувачів, коли вони автентифікуються зі своїм IdP. Групове членство можна використовувати для докладного керування дозволами користувачів IdP в macOS. Щоразу, коли користувач автентифікується зі своїм IdP, членство в групі оновлюється. Є три ключі масиву, доступні для визначення членства в групі:
AdministratorGroups. Якщо користувач належить до групи, вказаної в цьому масиві, він має локальні права адміністратора.
AuthorizationGroups. Спеціальні групи, які використовуються для керування вбудованими або власними правами авторизації. Право надається всім користувачам, які входять до вказаної групи. Наприклад, членство в групі, призначеній праву авторизації
system.preferences.network, дозволяє користувачам змінювати мережеві параметри, аsystem.preferences.printingдозволяє змінювати параметри принтерів.AdditionalGroups. Можуть використовуватися операційною системою, наприклад, для визначення доступу
sudo. Запис у цьому масиві створює групу всередині локального каталогу, якщо група не існує.