Jednokrotne logowanie na platformie dla systemu macOS
Dzięki funkcji jednokrotnego logowania na platformie (Platform SSO) programiści mogą tworzyć rozszerzenia SSO obejmujące okno logowania macOS, umożliwiając użytkownikom synchronizowanie poświadczeń konta lokalnego z dostawcą tożsamości (IdP). Hasło konta lokalnego jest automatycznie synchronizowane, dzięki czemu hasło w chmurze oraz hasła lokalne są takie same. Użytkownicy mogą także odblokować swojego Maca za pomocą Touch ID i Apple Watch.
Jednokrotne logowanie na platformie wymaga następujących elementów:
macOS 13 lub nowszy
Rozwiązanie MDM obsługujące pakiet danych Extensible Single Sign-on zawierający obsługę jednokrotnego logowania na platformie
Wsparcie dostawcy tożsamości dla protokołu uwierzytelniania Platform SSO
Jedna z dwóch obsługiwanych metod uwierzytelniania:
Uwierzytelnianie za pomocą klucza obsługiwanego przez Secure Enclave: Dzięki tej metodzie użytkownik, który loguje się na swoim komputerze Mac, może użyć klucza obsługiwanego przez Secure Enclave, aby uwierzytelnić się za pomocą dostawcy tożsamości bez hasła. Klucz Secure Enclave jest konfigurowany przez dostawcę tożsamości podczas procesu rejestracji użytkownika.
Uwierzytelnienie hasłem: W ramach tej metody użytkownik uwierzytelnia się za pomocą hasła lokalnego lub hasła dostawcy tożsamości.
Uwaga: Jeśli komputer Mac został wyrejestrowany z rozwiązania MDM, jest on również wyrejestrowany od dostawcy tożsamości.
Funkcje SSO na platformie
Funkcja | Minimalny obsługiwany system operacyjny | Opis |
|---|---|---|
Require authentication (Wymagaj uwierzytelniania) | macOS 15 | Wymaganie uwierzytelnienia za pośrednictwem dostawcy tożsamości na ekranie FileVault, ekranie blokady i w oknie logowania. |
Require authentication (Wymagaj uwierzytelniania) | macOS 15 | Opcjonalne konfigurowanie okresu prolongaty uwierzytelniania i trybu poza siecią, aby użytkownicy mogli zalogować się lub odblokować ekran, gdy są poza siecią. |
Require authentication (Wymagaj uwierzytelniania) | macOS 15 | Opcjonalne konfigurowanie Touch ID lub Apple Watch do odblokowywania ekranu. |
User enrollment and registration status in System Settings (Status rejestracji użytkownika w Ustawieniach systemowych) | macOS 14 | Użytkownicy mogą zarejestrować w Ustawieniach systemowych swoje urządzenie lub konto do użycia z funkcją logowania jednokrotnego. W menu wyświetlany jest także bieżący status rejestracji oraz wszelkie ewentualne błędy, zapewniając większą przejrzystość dla użytkownika. Dzięki temu użytkownik wie, czy rejestracja musi zostać wykonana ponownie. |
Local account creation by users (Tworzenie kont lokalnych przez użytkowników) | macOS 14 | Aby ułatwić zarządzanie kontami we wdrożeniach urządzeń współdzielonych, użytkownicy mogą logować się na Macu z odblokowaną funkcją FileVault i tworzyć konta lokalne, używając nazwy użytkownika i hasła od dostawcy tożsamości (lub karty inteligentnej). Przy użyciu nowego klucza
|
Using nonlocal IdP user accounts at authorization prompts (Używanie nielokalnych kont użytkowników od dostawcy tożsamości w oknach z prośbą o uwierzytelnienie) | macOS 14 | Funkcja jednokrotnego logowania na platformie rozszerza użycie danych uwierzytelniania od dostawcy tożsamości na użytkowników nieposiadających na Macu kont lokalnych. Konta te używają tych samych grup, które stosowane są przy zarządzaniu grupami. Na przykład, jeśli dany użytkownik należy do jednej z grup administratorów, jego konto może być używane w systemie macOS w oknach z prośbą o uwierzytelnienie administratora. Wyjątkiem są okna z prośbą o uwierzytelnienie wymagające tokenu zabezpieczeń, uprawnień własności lub uwierzytelnienia przez aktualnie zalogowanego użytkownika. |
Updating group membership of users when they authenticate with their IdP (Uaktualnianie członkostwa w grupach, gdy użytkownicy uwierzytelniają się przy użyciu danych od dostawcy tożsamości) | macOS 14 | Dokładne zarządzanie uprawnieniami użytkowników kont dostawcy tożsamości w systemie macOS możliwe jest przy użyciu mechanizmu członkostwa w grupach. Za każdym razem, gdy dany użytkownik uwierzytelnia się przy użyciu danych od dostawcy tożsamości, jego członkostwo w grupach jest uaktualniane. Istnieją trzy tablice kluczy umożliwiające definiowanie członkostwa w grupach:
|
Federacja WS-Trust | macOS 13.3 | Umożliwia to funkcji jednokrotnego logowania na platformie pomyślne uwierzytelnianie użytkowników kont zarządzanych przez dostawcę tożsamości sfederowanego z Microsoft Entra ID. |