Platform single sign-on (SSO) for macOS
Med platform single sign-on (SSO) kan utviklere bygge SSO-utvidelser som også omfatter macOS-påloggingsvinduet, slik at brukere kan synkronisere lokale kontoakkreditiver med en identitetsleverandør. Det lokale kontopassordet synkroniseres automatisk, slik at nettskypassord og lokale passord stemmer overens. Brukere kan også låse opp Macen med Touch ID og Apple Watch.
Platform SSO krever følgende:
macOS 13 eller nyere
En MDM-løsning som støtter Extensible Single Sign-On-nyttelasten, som inkluderer støtte for Platform SSO
Støtte fra identitetsleverandøren for Platform SSO-autentiseringsprotokollen
En av to støttede autentiseringsmetoder:
Autentisering med en Secure Enclave-godkjent nøkkel: Med denne metoden kan en bruker som logger på Macen sin bruke en Secure Enclave-godkjent nøkkel til å autentisere med identitetsleverandøren uten et passord. Secure Enclave-nøkkelen er konfigurert med identitetsleverandøren under brukerregistreringsprosessen.
Passordautentisering: Med denne metoden kan brukerne autentisere med et lokalt passord eller passord fra en identitetsleverandør.
Merk: Hvis Macen avregistreres i MDM-løsningen, avregistreres den også fra identitetsleverandøren.
Engangspåloggingsfunksjoner på plattform (SSO)
Funksjon | Eldste støttede operativsystem | Beskrivelse |
|---|---|---|
Krev autentisering | macOS 15 | Krever IdP-autentisering på tvers av FileVault, låst skjerm og påloggingsvinduet. |
Krev autentisering | macOS 15 | Konfigurer eventuelt forsinkelsestid for frakobling og autentisering, slik at brukere kan logge på eller låse opp skjermen når de er frakoblet. |
Krev autentisering | macOS 15 | Konfigurer eventuelt Touch ID eller Apple Watch til å låse opp skjermen. |
Brukerregistrering og registreringsstatus i Systeminnstillinger | macOS 14 | Brukere kan registrere enheten eller brukerkontoen sin for bruk med SSO i Systeminnstillinger. Menyobjektet viser også gjeldende registreringsstatus og eventuelle feil som kan ha oppstått, som gir bedre klarhet til brukeren. Dette informerer brukeren om registreringen må fullføres på nytt. |
Lokal kontooppretting av brukere | macOS 14 | For å tilrettelegge for administrering av kontoer i utrullinger med delte enheter, kan brukerne bruke et smartkort eller brukernavnet og passordet fra identitetsleverandøren til å logge på Macen med FileVault låst opp og opprette en lokal konto. Den nye
|
Bruk av ikke-lokale brukerkontoer fra identitetsleverandøren ved varslinger om autorisering | macOS 14 | Platform SSO utvider bruken av identitetsleverandør-akkreditiver til brukere som ikke har en lokal brukerkonto på Macen til autorisasjonsformål. Disse kontoene bruker samme grupper som gruppeadministrasjon. For eksempel hvis brukeren er med i en av administratorgruppene, kan kontoen brukes ved forespørsler om administratorgodkjenning i macOS. Dette gjelder ikke for godkjenningsforespørsler som krever sikkert kjennetegn, eiertillatelser eller godkjenning av brukeren som er logget på. |
Oppdatering av gruppemedlemskap til brukere når de autentiserer med identitetsleverandøren sin | macOS 14 | Gruppemedlemskap kan brukes til detaljert administrasjon av tillatelser for identitetsleverandørbrukere i macOS. Hver gang en bruker autentiserer med identitetsleverandøren, oppdateres brukerens gruppemedlemskap. Det finnes tre array-nøkler som kan definere gruppemedlemskap:
|
Forening av WS-Trust | macOS 13.3 | Dette gjør at Platform SSO kan autentisere brukere når kontoen er administrert av en identitetsleverandør forent med Microsoft Entra ID. |