Jednotné přihlašování k platformě pro macOS
Jednotné přihlášení na platformě umožňuje vývojářům vytvářet rozšíření, která se používají v přihlašovacím okně systému macOS a umožňují uživatelům synchronizovat přihlašovací údaje k místnímu účtu s poskytovatelem identit (IdP). Heslo místního účtu se automaticky synchronizuje, takže heslo v cloudu i místní hesla se shodují. Uživatelé také mohou svůj Mac odemykat pomocí Touch ID nebo Apple Watch.
Pro jednotné přihlášení na platformě platí následující požadavky:
macOS 13 nebo novější
Služba správy mobilních zařízení (MDM) s podporou datové části Extensible Single Sign-on, která zahrnuje podporu pro jednotné přihlášení na platformě
Podpora od IdP pro ověřovací protokol jednotného přihlášení na platformě
Jedna ze dvou podporovaných metod ověřování totožnosti:
Ověřování totožnosti pomocí klíče zajištěného modulem Secure Enclave: Pomocí této metody může uživatel, který se přihlásí ke svému Macu, použít k ověření u IdP bez hesla klíč s podporou Secure Enclave. Klíč Secure Enclave se u IdP nastaví během procesu registrace uživatele.
Ověřování totožnosti heslem: Při použití této metody se uživatel ověřuje pomocí místního hesla nebo hesla IdP.
Poznámka: Při zrušení registrace Macu ve službě MDM je zrušena také jeho registrace u IdP.
Funkce platformy pro jednotné přihlášení
Funkce | Minimální podporovaná verze operačního systému | Popis |
|---|---|---|
Vyžadovat ověření | macOS 15 | Vyžaduje ověření prostřednictvím IdP ve FileVaultu, na zamknuté obrazovce i v přihlašovacím okně. |
Vyžadovat ověření | macOS 15 | Umožňuje volitelně nakonfigurovat interval tolerance pro offline režim a ověřování, aby se uživatelé mohli přihlašovat a odemykat obrazovku, když jsou offline. |
Vyžadovat ověření | macOS 15 | Umožňuje volitelně nakonfigurovat odemykání obrazovky pomocí Touch ID nebo Apple Watch. |
Registrace uživatelů a její stav v Nastavení systému | macOS 14 | Uživatelé můžou registrovat svá zařízení nebo uživatelské účty pro použití s jednotným přihlášením na platformě v Nastavení systému. Příslušná položka nabídky také zobrazuje aktuální stav registrace a informuje o případných chybách a poskytuje tak uživatelům přehledné informace. Uživatel se díky tomu dozví, zda je nutné registraci provést znovu. |
Vytváření místních účtů uživateli | macOS 14 | Snazší správa účtů ve sdílených nasazeních umožňuje uživatelům přihlášení k Macu s odemčeným FileVaultem a vytvoření místního účtu pomocí uživatelského jména a hesla od IdP nebo pomocí čipové karty. Prostřednictvím nového klíče
|
Použití jiných než místních uživatelských účtů od IdP ve výzvách k autorizaci | macOS 14 | Jednotné přihlášení na platformě rozšiřuje použití přihlašovacích údajů od IdP na uživatele, kteří nemají pro účely autorizace na Macu místní uživatelský účet. Tyto účty používají stejné skupiny jako správa skupin. Pokud je uživatel například členem jedné ze skupin správců, lze účet použít při výzvách k autorizaci správce systému macOS. Tím jsou vyloučeny všechny výzvy k autorizaci, které vyžadují zabezpečený token, oprávnění vlastníka nebo ověření totožnosti provedené aktuálně přihlášeným uživatelem. |
Aktualizace členství uživatelů ve skupinách při ověřování jejich totožnosti u IdP | macOS 14 | Členství ve skupinách lze v systému macOS použít k podrobné správě oprávnění uživatelů IdP. Při každém ověření totožnosti uživatele u IdP se aktualizuje jeho členství ve skupině. Pro definování členství ve skupině jsou k dispozici tři pole klíčů:
|
Federování protokolu WS-Trust | macOS 13.3 | Díky tomu může jednotné přihlašování na platformě úspěšně ověřovat uživatele, pokud jejich účet spravuje IdP federovaný pomocí Microsoft Entra ID. |