Inicio de sesión único de plataforma para macOS
Con el inicio de sesión único de la plataforma (SSO de plataforma), los desarrolladores pueden crear extensiones de SSO que amplían la ventana de inicio de sesión de macOS para permitir a los usuarios sincronizar las credenciales de la cuenta local con un proveedor de identidades (IdP). La contraseña de la cuenta local se mantiene sincronizada de forma automática, por lo que la contraseña local y la almacenada en la nube coinciden. Los usuarios también pueden desbloquear la Mac con Touch ID y Apple Watch.
El inicio de sesión único de plataforma requiere lo siguiente:
macOS 13 o posterior
Una solución de administración de dispositivos móviles (MDM) compatible con la carga útil Inicio de sesión único ampliable que incluye compatibilidad para SSO de plataforma
un proveedor de identidades compatible
Uno de dos métodos de autenticación compatibles:
Autenticación mediante clave respaldada por Secure Enclave: con este método, un usuario que inicie sesión en su Mac puede usar una clave respaldada por Secure Enclave para autenticarse con el proveedor de identidades sin necesidad de una contraseña. La clave de Secure Enclave se configura con el proveedor de identidades durante el proceso de registro del usuario.
Autenticación mediante contraseña: con este método, un usuario se autentica mediante una contraseña local o con una contraseña del proveedor de identidades.
Nota: si se da de baja a la Mac de la solución de MDM, también se da de baja del proveedor de identidades.
Federación de WS-Trust
La federación de WS-Trust es compatible con macOS 13.3 o versiones posteriores. Esto permite que SSO de plataforma autentique correctamente a los usuarios cuando su cuenta está administrada por un IdP federado con Microsoft Entra ID.
Funciones adicionales de SSO de plataforma en macOS 14 o posterior
Inscripción de usuarios y estado de registro en Configuración del Sistema: los usuarios pueden registrar su dispositivo o su cuenta de usuario para usarla con SSO en Configuración del Sistema. El elemento del menú también muestra el estado de registro actual e indica cualquier error que haya podido ocurrir, lo que proporciona una mayor transparencia del usuario. Esto permite al usuario saber si es necesario completar otra vez el registro.
Creación de cuenta local por los usuarios: para facilitar la administración de cuentas en implementaciones compartidas, los usuarios pueden usar su nombre de usuario y contraseña de IdP o una tarjeta inteligente para iniciar sesión en una Mac con FileVault desbloqueado y crear una cuenta local. La nueva clave
TokenToUserMappingse puede usar para definir qué atributo proporcionado por el IdP se usa para seleccionar el nombre de usuario local. Para usar esta función es necesario lo siguiente:Se debe completar el Asistente de Configuración y crear una cuenta de administrador local inicial.
Los dispositivos deben estar inscritos en una solución de MDM compatible con identificadores de arranque.
La Mac del usuario debe tener una carga útil Inicio de sesión único ampliable con SSO de plataforma y con las opciones
UseSharedDeviceKeysyEnableCreateUserAtLoginactivadas.La compatibilidad con tarjeta inteligente requiere que la tarjeta inteligente esté registrada con el IdP, y que la Mac tenga configurada una asignación de atributos de tarjeta inteligente.
Uso de cuentas de usuarios de IdP no locales en solicitudes de autorización: SSO de plataforma amplía el uso de credenciales de IdP a los usuarios que no tienen una cuenta de usuario local en la Mac para fines de autorización. Estas cuentas usan los mismos grupos que Administración de grupos. Por ejemplo, si el usuario es miembro de uno de los grupos de administradores, se puede usar la cuenta en las solicitudes de autorización de administrador de macOS. Esto excluye cualquier solicitud de autorización que requiera de un identificador seguro, permisos de propiedad, o autenticación por el usuario con sesión abierta.
Actualización de autorización de grupo de usuarios cuando se autentican con su IdP: la autorización de grupo se puede usar para administrar permisos de usuarios de IdP de forma granular en macOS. Cada vez que un usuario se autentica con el IdP, se actualiza su autorización de grupo. Hay tres claves de matrices disponibles para definir la autorización de grupo:
AdministratorGroups: si el usuario es parte de este grupo que se muestra en esta matriz, tendrá acceso de administrador local.
AuthorizationGroups: grupos específicos usados para administrar derechos de autorización integrados o personalizados. El derecho se otorga a todos los usuarios que forman parte del grupo especificado. Por ejemplo, la autorización en un grupo asignada al derecho de autorización
system.preferences.networkpermite a los usuarios modificar la configuración de red, osystem.preferences.printingpermite a los usuarios modificar la configuración de la impresora.AdditionalGroups: se puede usar por el sistema operativo; por ejemplo, para definir el acceso de
sudo. Una entrada en esta matriz crea un grupo dentro del directorio local si el grupo no existe.