Autenticazione Single Sign-On su piattaforma per macOS
Con l’autenticazione Single Sign-On su piattaforma, gli sviluppatori possono creare estensioni SSO che raggiungono la finestra di login di macOS, consentendo la sincronizzazione delle credenziali dell’account locale con un fornitore di identità. La password dell’account locale viene sincronizzata automaticamente, in modo che la password del cloud e quella locale coincidano. Gli utenti possono anche sbloccare il Mac con Touch ID e Apple Watch.
L’autenticazione SSO su piattaforma richiede quanto segue:
macOS 13 o versione successiva
Una soluzione MDM che supporta il payload “Extensible Single Sign-on”, che include il supporto per il Single Sign-On su piattaforma
Supporto dal fornitore di identità per il protocollo di autenticazione SSO su piattaforma
Uno dei due metodi di autenticazione supportati:
Autenticazione con una chiave basata su Secure Enclave: con questo metodo, un utente che accede al Mac può usare una chiave basata su Secure Enclave per autenticarsi con un fornitore di identità senza una password. La chiave Secure Enclave viene configurata con il fornitore di identità durante il processo di registrazione dell’utente.
Autenticazione tramite password: con questo metodo, un utente effettua l’autenticazione con una password locale o con una password di un fornitore di identità.
Nota: se la registrazione del Mac alla soluzione MDM viene annullata, viene cancellata anche la registrazione al fornitore di identità.
Funzionalità della piattaforma Single Sign-On
Funzionalità | Sistemi operativi minimi supportati | Descrizione |
|---|---|---|
Richiede l’autenticazione | macOS 15 | Richiede l’autenticazione IdP in FileVault, nella schermata di blocco e nella finestra di accesso. |
Richiede l’autenticazione | macOS 15 | Consente facoltativamente la configurazione offline e abilita un periodo di tolleranza dell’autenticazione, in modo che gli utenti possano accedere o sbloccare lo schermo quando non sono in linea. |
Richiede l’autenticazione | macOS 15 | Configura facoltativamente Touch ID o Apple Watch per sbloccare lo schermo. |
Registrazione utente e stato della registrazione in Impostazioni di Sistema | macOS 14 | gli utenti possono registrare il proprio dispositivo o il proprio account utente per essere utilizzato con il Single Sign-On in Impostazioni di Sistema. L’elemento del menu mostra anche lo stato attuale della registrazione e riporta eventuali errori che si sono verificati, offrendo all’utente una maggiore trasparenza. In questo modo l’utente è informato se la registrazione deve essere completata di nuovo. |
Creazione di account locali da parte degli utenti | macOS 14 | Per facilitare la gestione degli account nelle distribuzioni condivise, gli utenti possono utilizzare il nome utente dal loro fornitore di identità o una smart card per accedere a un Mac con FileVault sbloccato e creare un account locale. Per definire quale attributo comunicato dal fornitore di identità viene usato per selezionare il nome utente locale è possibile utilizzare la nuova chiave
|
Utilizzo di fornitori di identità non locali nelle richieste di autorizzazione | macOS 14 | l’autenticazione Single Sign-On su piattaforma espande l’uso delle credenziali da fornitore di identità agli utente che non hanno un account utente locale sul Mac per eseguire le autorizzazioni. Questi account utilizzano gli stressi gruppi che si trovano nella gestione dei gruppi. Ad esempio, se l’utente è membro di uno dei gruppi amministratore, l’account può essere usato nelle richieste di autorizzazione da parte dell’amministratore su macOS. Ciò esclude qualsiasi richiesta di autorizzazione che richiede un token Secure, premessi di proprietà o autenticazione da parte dell’utente attualmente attivo. |
Aggiornamento dell’appartenenza degli utenti a un gruppo quando eseguono l’autenticazione con il proprio fornitore di identità | macOS 14 | l’appartenenza a un gruppo può essere utilizzata per gestire in maniera granulare i permessi degli utente che utilizzano un fornitore di identità in macOS. Ogni volta che un utente esegue l’autenticazione con il proprio fornitore di identità, la sua appartenenza a un gruppo viene aggiornata. Di seguito sono riportate le chiavi di tre array disponibili per definire l’appartenenza a un gruppo:
|
Federazione WS-Trust | macOS 13.3 | Essa consente al Single Sign-On su piattaforma di autenticare correttamente gli utenti quando il loro account è gestito da un fornitore di identità federato con Microsoft Entra ID. |