Log ind i et trin på platform til macOS
Med Log ind i et trin på platform (Platform SSO) kan udviklere bygge SSO-udvidelser, der inkluderer macOS-loginvinduet, så brugerne kan synkronisere lokale kontooplysninger med en identitetsudbyder (IdP). Adgangskoden til en lokal konto synkroniseres automatisk, så adgangskoden i skyen og lokale adgangskoder stemmer overens. Brugere kan også låse deres Mac op med Touch ID og Apple Watch.
Platform SSO kræver følgende:
macOS 13 eller nyere
En løsning til administration af mobile enheder (MDM), der understøtter Data i Extensible Single Sign-on (udbredt log ind i et trin), som inkluderer understøttelse af Log ind i et trin på platform
Understøttelse fra identitetsudbyderen af Platform SSO-godkendelsesprotokollen
En af disse to understøttede godkendelsesmetoder:
Godkendelse med en Secure Enclave-baseret nøgle: Med denne metode kan en bruger, der logger ind på deres Mac, bruge en Secure Enclave-baseret nøgle til at godkende med identitetsudbyder uden en adgangskode. Secure Enclave-nøglen indstilles hos identitetsudbyderen under processen med brugerregistrering.
Godkendelse med adgangskode: Med denne metode godkender en bruger med en lokal kode eller en identitetsudbyderadgangskode.
Bemærk: Hvis Mac-computeren frameldes MDM-løsningen, fjernes registreringen af den hos identitetsudbyderen også.
Funktioner til Log på i et trin på platform
Funktion | Min. understøttede operativsystemer | Beskrivelse |
|---|---|---|
Kræver godkendelse | macOS 15 | Kræver godkendelse fra identitetsudbyderen på tværs af FileVault, låst skærm og loginvinduet. |
Kræver godkendelse | macOS 15 | Valgfri mulighed for at konfigurere forsinkelsestiden til offlinebrug og godkendelse, så brugerne kan logge ind eller låse skærmen op, når de er offline. |
Kræver godkendelse | macOS 15 | Valgfri mulighed for at konfigurere Touch ID eller Apple Watch til at låse skærmen op. |
Brugertilmelding og registreringsstatus i Systemindstillinger | macOS 14 | Brugerne kan registrere deres enhed eller deres brugerkonto til brug med Log ind i et trin i Systemindstillinger. Menuemnet viser også den aktuelle registreringsstatus og angiver eventuelle fejl, som kan være opstået, og det giver brugerne større gennemsigtighed. Dermed kan brugeren se, om registreringen skal udføres igen. |
Oprettelse af lokal konto af brugerne | macOS 14 | For at forenkle kontoadministration i delte implementeringer kan brugerne bruge deres brugernavn og adgangskode fra identitetsudbyderen eller et Smart Card til at logge ind på en Mac, hvor FileVault er låst op, og oprette en lokal konto. Den nye nøgle
|
Brug af ikke-lokale brugerkonti fra identitetsudbyderen ved anmodninger om godkendelse | macOS 14 | Log ind i et trin på platform udvider brugen af godkendelsesoplysninger fra identitetsudbyderen til brugere, der ikke har en lokal brugerkonto på Mac-computeren, med henblik på godkendelse. Disse konti bruger de samme grupper som Gruppeadministration. Hvis en bruger f.eks. er medlem af en af administratorgrupperne, kan kontoen bruges, når der kræves godkendelse fra en macOS-administrator. Det ekskluderer eventuelle anmodninger om godkendelse, der kræver et sikkert token, ejerskabstilladelser eller godkendelse fra den bruger, der er logget ind. |
Opdatering af brugeres gruppemedlemskab, når de godkender med deres identitetsudbyder | macOS 14 | Gruppemedlemskabet kan bruges til detaljeret administration af tilladelser fra identitetsudbyderens brugere i macOS. Hver gang brugere godkender med identitetsudbyderen, opdateres deres gruppemedlemskab. Der findes tre rækkenøgler til at definere gruppemedlemskabet:
|
WS-Trust federation | macOS 13.3 | Det gør det muligt for Platform SSO (Log ind i et trin på platform) at godkende brugere, når deres konto administreres af en identitetsudbyder, som er forenet med Microsoft Entra ID. |