Inicio de sesión único (SSO) de plataforma para macOS
Con el inicio de sesión de plataforma (SSO de plataforma), los desarrolladores pueden crear extensiones de SSO que extienden la ventana de inicio de sesión de macOS y permitir a los usuarios sincronizar credenciales de cuenta local con un proveedor de identidades (IdP). La contraseña de la cuenta local se sincroniza automáticamente para que la contraseña de la nube y las locales sean las mismas. Además, los usuarios pueden desbloquear su Mac con Touch ID y el Apple Watch.
El SSO de plataforma requiere lo siguiente:
macOS 13 o posterior
Una solución de gestión de dispositivos móviles (MDM) compatible con la carga “Inicio de sesión único extensible” que con compatibilidad para el inicio de sesión único en plataforma
Compatibilidad del IdP con el protocolo de autenticación SSO de plataforma
Uno de dos métodos de autenticación compatibles:
Autenticación con una clave almacenada en Secure Enclave: Con este método, un usuario que inicia sesión en su Mac puede usar una clave almacenada en Secure Enclave para autenticarse con el IdP sin contraseña. La clave de Secure Enclave se configura con el IdP durante el proceso de registro del usuario.
Autenticación con contraseña: Con este método, un usuario se autentica con una contraseña local o una contraseña de IdP.
Nota: Si se anula la inscripción del Mac en la solución MDM, también se anula su registro en el IdP.
Funciones de “Inicio de sesión único en plataforma”
Característica | Sistema operativo compatible mínimo | Description |
|---|---|---|
Requerir autenticación | macOS 15 | Requiere la autenticación IdP en FileVault, la pantalla de bloqueo y la ventana de inicio de sesión. |
Requerir autenticación | macOS 15 | Configura opcionalmente un periodo de gracia de autenticación sin conexión para que los usuarios puedan iniciar sesión o desbloquear la pantalla cuando no tengan conexión a internet. |
Requerir autenticación | macOS 15 | Opcionalmente, configura Touch ID o Apple Watch para desbloquear la pantalla. |
Estado de registro e inscripción de usuario en Ajustes del Sistema | macOS 14 | Los usuarios pueden registrar su dispositivo o cuenta de usuario para utilizarlo con el inicio de sesión único en Ajustes del Sistema. El ítem del menú también muestra el estado de registro actual e indica cualquier error que haya podido producirse para mejorar la transparencia de los usuarios. Esto indica al usuario si debe volver a realizar el registro. |
Creación de cuentas locales por parte de los usuarios | macOS 14 | Para facilitar la gestión de cuentas en implementaciones compartidas, los usuarios pueden utilizar su nombre de usuario y contraseña de IdP o una tarjeta inteligente para iniciar sesión en un Mac con FileVault desbloqueado y crear una cuenta local. La nueva clave
|
Uso de cuentas de usuario IdP no locales en los avisos de autorización | macOS 14 | El inicio de sesión único en plataforma amplía el uso de credenciales IdP a usuarios que no tengan una cuenta de usuario local en el Mac a efectos de autorización. Estas cuentas utilizan los mismos grupos que la gestión de grupos. Por ejemplo, si el usuario es miembro de uno de los grupos de administradores, la cuenta puede utilizarse en los avisos de autorización para administradores de macOS. Esto excluye cualquier aviso de autorización que requieran un identificador seguro, permisos de propiedad o autenticación del usuario que esté conectado. |
Actualización de los grupos de pertenencia de los usuarios que se autentican con su IdP | macOS 14 | La pertenencia a grupos debe usarse para gestionar al detalle los permisos de los usuarios IdP en macOS. Cada vez que un usuario se autentica con el IdP, su grupo de pertenencia se actualiza. Existen tres claves de matriz para definir la pertenencia a un grupo:
|
Federación WS-Trust | macOS 13.3 | Esto permite autenticar con el inicio de sesión único en plataforma a los usuarios cuya cuenta esté gestionada por un IdP vinculado con Microsoft Entra ID. |