Inicio de sesión único de plataforma para macOS
Con el inicio de sesión único de la plataforma (SSO de plataforma), los desarrolladores pueden crear extensiones de SSO que amplían la ventana de inicio de sesión de macOS para permitir a los usuarios sincronizar las credenciales de la cuenta local con un proveedor de identidades (IdP). La contraseña de la cuenta local se mantiene sincronizada de forma automática, por lo que la contraseña local y la almacenada en la nube coinciden. Los usuarios también pueden desbloquear la Mac con Touch ID y Apple Watch.
El inicio de sesión único de plataforma requiere lo siguiente:
macOS 13 o posterior
Una solución de administración de dispositivos móviles (MDM) compatible con la carga útil Inicio de sesión único ampliable que incluye compatibilidad para SSO de plataforma
Un proveedor de identidades compatible
Uno de dos métodos de autenticación compatibles:
Autenticación mediante clave respaldada por Secure Enclave: con este método, un usuario que inicie sesión en su Mac puede usar una clave respaldada por Secure Enclave para autenticarse con el proveedor de identidades sin necesidad de una contraseña. La clave de Secure Enclave se configura con el proveedor de identidades durante el proceso de registro del usuario.
Autenticación mediante contraseña: con este método, un usuario se autentica mediante una contraseña local o con una contraseña del proveedor de identidades.
Nota: si se da de baja a la Mac de la solución de MDM, también se da de baja del proveedor de identidades.
Características del SSO de plataforma
Característica | Sistema operativo mínimo compatible | Descripción |
|---|---|---|
Requerir autenticación | macOS 15 | Requiere la autenticación con el proveedor de identidades en FileVault, la pantalla bloqueada y la ventana de inicio de sesión. |
Requerir autenticación | macOS 15 | Configura opcionalmente un periodo de gracia de autenticación sin conexión para que los usuarios puedan iniciar sesión o desbloquear la pantalla cuando no tengan conexión a Internet. |
Requerir autenticación | macOS 15 | Opcionalmente, configura Touch ID o Apple Watch para desbloquear la pantalla. |
Inscripción de usuarios y estado de registro en Configuración del Sistema | macOS 14 | los usuarios pueden registrar su dispositivo o su cuenta de usuario para usarla con SSO en Configuración del Sistema. El elemento del menú también muestra el estado de registro actual e indica cualquier error que haya podido ocurrir, lo que proporciona una mayor transparencia del usuario. Esto permite al usuario saber si es necesario completar otra vez el registro. |
Creación de cuenta local por los usuarios | macOS 14 | para facilitar la administración de cuentas en implementaciones compartidas, los usuarios pueden usar su nombre de usuario y contraseña de IdP o una tarjeta inteligente para iniciar sesión en una Mac con FileVault desbloqueado y crear una cuenta local. La nueva clave
|
Uso de cuentas de usuarios de IdP no locales en solicitudes de autorización | macOS 14 | SSO de plataforma amplía el uso de credenciales de IdP a los usuarios que no tienen una cuenta de usuario local en la Mac para fines de autorización. Estas cuentas usan los mismos grupos que Administración de grupos. Por ejemplo, si el usuario es miembro de uno de los grupos de administradores, se puede usar la cuenta en las solicitudes de autorización de administrador de macOS. Esto excluye cualquier solicitud de autorización que requiera de un identificador seguro, permisos de propiedad, o autenticación por el usuario con sesión abierta. |
Actualización de autorización de grupo de usuarios cuando se autentican con su IdP | macOS 14 | la autorización de grupo se puede usar para administrar permisos de usuarios de IdP de forma granular en macOS. Cada vez que un usuario se autentica con el IdP, se actualiza su autorización de grupo. Hay tres claves de matrices disponibles para definir la autorización de grupo:
|
Federación de WS-Trust | macOS 13.3 | Esto permite que SSO de plataforma autentique correctamente a los usuarios cuando su cuenta está administrada por un IdP federado con Microsoft Entra ID. |