macOS용 플랫폼 단일 로그인(SSO)
플랫폼 단일 로그인(플랫폼 SSO)을 사용하면 개발자는 macOS 로그인 윈도우까지 확장하는 SSO 확장 프로그램을 개발하여 사용자가 로컬 계정 자격 증명을 신원 제공자(IdP)와 동기화할 수 있도록 허용할 수 있습니다. 로컬 계정 암호는 자동으로 동기화되기 때문에 클라우드 암호와 로컬 암호는 일치합니다. 또한 사용자는 Touch ID 및 Apple Watch로 Mac을 잠금 해제할 수 있습니다.
플랫폼 SSO의 요구 사항은 다음과 같습니다.
macOS 13 이상
플랫폼 SSO에 대한 지원이 포함된 확장 가능한 단일 로그인 페이로드를 지원하는 MDM(모바일 기기 관리) 솔루션
플랫폼 SSO 인증 프로토콜에 대한 IdP 지원
지원되는 다음 두 가지 인증 방식 중 하나:
Secure Enclave 기반 키로 인증: 이 방식을 통해 Mac에 로그인하는 사용자는 Secure Enclave 지원 키를 사용하여 암호 없이 IdP를 인증할 수 있습니다. 사용자를 등록하는 동안 Secure Enclave 키는 IdP로 설정됩니다.
암호 인증: 이 방식을 통해 사용자는 로컬 암호 또는 IdP 암호로 인증합니다.
참고: Mac이 MDM 솔루션에서 등록 해제되면 해당 Mac은 IdP에서도 등록 해제됩니다.
플랫폼 SSO 기능
기능 | 지원되는 최소 운영 체제 | 설명 |
|---|---|---|
인증 필요 | macOS 15 | FileVault, 잠금 화면 및 로그인 윈도우에서 IdP 인증을 요구합니다. |
인증 필요 | macOS 15 | 필요에 따라 오프라인 및 인증 유예 기간을 구성하여 사용자가 오프라인일 때 로그인하거나 화면을 잠금 해제할 수 있도록 합니다. |
인증 필요 | macOS 15 | Touch ID 또는 Apple Watch로 화면을 잠금 해제하도록 선택적으로 구성할 수 있습니다. |
시스템 설정의 사용자 등록 및 등록 상태 | macOS 14 | SSO에 사용하도록 사용자가 시스템 설정에서 자신의 기기 또는 사용자 계정을 등록할 수 있습니다. 또한 메뉴 항목이 현재 등록 상태를 표시하고 발생한 오류를 나타내어 사용자 투명성을 향상합니다. 이를 통해 사용자는 다시 등록을 완료할 필요가 있는지 알 수 있습니다. |
사용자에 의한 로컬 계정 생성 | macOS 14 | 공유 배포에서 계정 관리가 가능하도록 사용자는 자신의 IdP 사용자 이름 및 암호 또는 스마트 카드를 사용하여 FileVault가 잠금 해제된 Mac에 로그인하고 로컬 계정을 생성할 수 있습니다. 새로운
|
인증 프롬프트에서 로컬이 아닌 IdP 사용자 계정 사용 | macOS 14 | 플랫폼 SSO는 Mac에 로컬 사용자 계정이 없는 사용자가 인증 목적을 위해 IdP 자격 증명을 사용할 수 있도록 합니다. 이러한 계정은 그룹 관리와 동일한 그룹을 사용합니다. 예를 들어, 사용자가 관리 그룹 중 하나의 구성원인 경우 macOS 관리자 인증 프롬프트에서 해당 계정을 사용할 수 있습니다. Secure Token, 소유권 권한 또는 현재 로그인된 사용자의 인증을 요구하는 인증 프롬프트는 여기에서 제외됩니다. |
사용자가 자신의 IdP로 인증할 때 사용자의 그룹 회원 권한 업데이트 | macOS 14 | macOS에서 그룹 회원 권한을 사용하여 권한을 세부적으로 관리할 수 있습니다. 사용자가 IdP를 사용하여 인증할 때마다 사용자의 그룹 회원 권한이 업데이트됩니다. 다음과 같은 세 가지 배열 키로 그룹 회원 권한을 정의할 수 있습니다.
|
WS-Trust 연합 | macOS 13.3 | 이는 사용자 계정이 Microsoft Entra ID와 연합된 IdP에 의해 관리될 때 플랫폼 SSO가 해당 사용자를 성공적으로 인증하도록 허용합니다. |