Início de Sessão Único (SSO) de Plataforma para macOS
Com o Início de Sessão Único de Plataforma (SSO de Plataforma), equipes de desenvolvimento podem criar extensões de SSO que alcançam a janela de início de sessão do macOS, permitindo que usuários sincronizem credenciais da conta local com um provedor de identidade (IdP). A senha da conta local é mantida automaticamente em sincronia, para que a senha na nuvem e as senhas locais coincidam. Os usuários também podem desbloquear o Mac com Touch ID e o Apple Watch.
O SSO de Plataforma exige o seguinte:
macOS 13 ou posterior
Uma solução de gerenciamento de dispositivos móveis (MDM) compatível com o payload de Início de Sessão Único Extensível que inclua compatibilidade com o SSO de Plataforma
Compatibilidade do IdP com o protocolo de autenticação de SSO de Plataforma
Um destes dois métodos de autenticação compatíveis:
Autenticação com uma chave assegurada pelo Secure Enclave: com este método, um usuário que inicia a sessão no Mac pode usar uma chave assegurada pelo Secure Enclave para se autenticar com o IdP sem uma senha. A chave do Secure Enclave é configurada com o IdP durante o processo de registro do usuário.
Autenticação com senha: com este método, um usuário se autentica com uma senha local ou uma senha do IdP.
Nota: se o registro do Mac na solução MDM for desfeito, o registro no IdP também será desfeito.
Recursos do SSO de Plataforma
Recurso | Sistema operacional mínimo compatível | Descrição |
|---|---|---|
Requer autenticação | macOS 15 | Requer autenticação IdP no FileVault, na Tela Bloqueada e na janela de início de sessão. |
Requer autenticação | macOS 15 | Configuração opcional do período de carência para autenticação off-line, para que os usuários possam iniciar sessão ou desbloquear a tela quando estiverem off-line. |
Requer autenticação | macOS 15 | Configuração opcional do Touch ID ou do Apple Watch para desbloquear a tela. |
Registro de usuário e estado do registro nos Ajustes do Sistema | macOS 14 | Usuários podem registrar seus dispositivos ou contas de usuário para uso com o SSO nos Ajustes do Sistema. O item de menu também mostra o estado de registro atual e indica qualquer erro que possa ter ocorrido, o que fornece mais transparência ao usuário. Isso permite que o usuário saiba se o registro precisa ser concluído novamente. |
Criação de conta local por usuários | macOS 14 | Para facilitar o gerenciamento de contas em implementações compartilhadas, usuários podem usar seus nomes e senhas do IdP ou um smart card para iniciar a sessão em um Mac com o FileVault desbloqueado e criar uma conta local. A nova chave
|
Uso de contas de usuário de IdP não local em avisos de autorização | macOS 14 | O SSO de Plataforma expande o uso de credenciais do IdP para usuários que não têm uma conta local no Mac para propósitos de autorização. Essas contas usam os mesmos grupos do Gerenciamento de grupo. Por exemplo, se o usuário é membro de um dos grupos de administrador, a conta pode ser usada em avisos de autorização de administrador no macOS. Isso exclui qualquer aviso de autorização que requeira secure token, permissões de propriedade ou autenticação do usuário com sessão iniciada no momento. |
Atualização da adesão ao grupo para usuários quando autenticam com o IdP | macOS 14 | A adesão ao grupo pode ser usada para gerenciar de forma granular as permissões de usuários do IdP no macOS. Sempre que um usuário autentica com o IdP, sua adesão ao grupo é atualizada. Há três chaves de vetores disponíveis para definir a adesão ao grupo:
|
Federação WS-Trust | macOS 13.3 | Isso permite que o SSO de Plataforma autentique usuários de forma bem‑sucedida quando suas contas são gerenciadas por um IdP federado com Microsoft Entra ID. |