Plateforme d’authentification unique pour macOS
Au moyen de l’authentification unique de plateforme, les développeurs peuvent concevoir des extensions d’authentification unique qui s’étendent à la fenêtre de connexion de macOS, permettant aux utilisateurs de synchroniser les informations d’identification du compte local avec un fournisseur d’identité. Le mot de passe du compte local est synchronisé afin que le mot de passe stocké dans le nuage et le mot de passe local concordent. Les utilisateurs peuvent également déverrouiller leur Mac à l’aide de Touch ID et d’une Apple Watch.
L’authentification unique de la plateforme requiert les éléments suivants :
macOS 13 ou version ultérieure
Une solution de gestion des appareils mobiles (GAM) qui prend en charge l’entité Authentification unique extensible compatible avec les plateformes d’authentification unique
Prise en charge par le fournisseur d’identité du protocole d’authentification unique de la plateforme
Une ou deux méthodes d’authentification prises en charge :
Authentification avec une clé renforcée par le Secure Enclave : Avec cette méthode, un utilisateur qui se connecte à son Mac peut utiliser une clé renforcée par Secure Enclave pour s’authentifier auprès du fournisseur d’identité sans mot de passe. La clé Secure Enclave est configurée avec le fournisseur d’identité pendant le processus d’enregistrement de l’utilisateur.
Authentification avec mot de passe : Avec cette méthode, un utilisateur s’authentifie avec un mot de passe local ou un mot de passe du fournisseur d’identité.
Remarque : Si le Mac est désinscrit de la solution de GAM, il est également désinscrit du fournisseur d’identité.
Fonctionnalités de l’authentification unique à la plateforme
Fonctionnalité | Système d’exploitation minimum pris en charge | Description |
|---|---|---|
Authentification requise | macOS 15 | Exigence d’une authentification par un fournisseur d’identité pour FileVault, l’écran verrouillé et la fenêtre de connexion. |
Authentification requise | macOS 15 | Possibilité de configurer la période de grâce hors ligne et d’authentification, afin que les utilisateurs puissent se connecter ou déverrouiller l’écran lorsqu’ils sont hors ligne. |
Authentification requise | macOS 15 | Possibilité de configurer Touch ID ou Apple Watch pour déverrouiller l’écran. |
Inscription de l’utilisateur et état d’inscription dans Réglages système | macOS 14 | Les utilisateurs peuvent inscrire leur appareil ou leur compte d’utilisateur dans Réglages système pour les utiliser avec l’authentification unique. L’élément du menu affiche également l’état d’inscription actuel et indique toute erreur étant survenue pour plus de transparence. L’utilisateur peut ainsi savoir s’il doit de nouveau procéder à l’inscription. |
Création de comptes locaux par les utilisateurs | macOS 14 | Pour faciliter la gestion du compte au sein de déploiements partagés, les utilisateurs peuvent utiliser le nom d’utilisateur et le mot de passe de leur fournisseur d’identité ou une carte intelligente pour se connecter à un Mac tout en déverrouillant FileVault et créer un compte local. La nouvelle clé
|
Utilisation de comptes d’utilisateur d’un fournisseur d’identité non local lors des demandes d’autorisation | macOS 14 | La plateforme d’authentification unique étend l’utilisation de données d’identification du fournisseur d’identité aux utilisateurs qui ne disposent pas d’un compte d’utilisateur local sur le Mac à des fins d’autorisation. Ces comptes utilisent les mêmes groupes que la gestion de groupes. Par exemple, si l’utilisateur est membre de l’un des groupes d’administrateurs, le compte peut être utilisé lors de la demande d’autorisation d’administration de macOS. Toutes les demandes d’autorisation qui requièrent un jeton sécurisé, des autorisations de propriété ou l’authentification de l’utilisateur dont la session est en cours sont exclues. |
Mise à jour de l’adhésion des utilisateurs au groupe lorsqu’ils s’authentifient auprès de leur fournisseur d’identité | macOS 14 | L’adhésion au groupe peut être utilisée pour gérer avec précision les autorisations des utilisateurs du fournisseur d’identité dans macOS. Chaque fois qu’un utilisateur s’authentifie auprès du fournisseur d’identité, son adhésion au groupe est mise à jour. Trois clés d’ensemble permettent de définir l’adhésion au groupe :
|
Fédération WS-Trust | macOS 13.3 | La plateforme d’authentification unique peut ainsi authentifier correctement les utilisateurs lorsque leur compte est géré par un fournisseur d’identité avec Microsoft Entra ID. |