Início de sessão único na plataforma para macOS
Com o início de sessão único na plataforma (SSO na plataforma), os programadores podem desenvolver extensões de início de sessão único que abrangem a janela de início de sessão do macOS, permitindo que os utilizadores sincronizem as credenciais da conta local com um fornecedor de identidade (IdP). A palavra-passe da conta local é automaticamente mantida em sincronização, para que a palavra-passe da nuvem e as palavras-passe locais coincidam. Os utilizadores também podem desbloquear o Mac com o Touch ID e o Apple Watch.
O início de sessão único na plataforma requer o seguinte:
macOS 13 ou posterior.
Uma solução de gestão de dispositivos móveis (MDM) que suporte a carga útil de perfil de início de sessão único extensível e que inclua suporte para o início de sessão único na plataforma.
Suporte do IdP para o protocolo de autenticação de início de sessão único na plataforma.
Um dos dois tipos de métodos de autenticação suportados:
Authentication with a Secure Enclave–backed key (Autenticação com uma chave suportada por Secure Enclave): com este método, um utilizador que inicie sessão no Mac pode usar uma chave suportada pelo Secure Enclave para efetuar a autenticação com o IdP sem uma palavra-passe. A chave do Secure Enclave é configurada com o IdP durante o processo de registo.
Password authentication (Autenticação de palavra‑passe): com este método, um utilizador efetua a autenticação com uma palavra-passe local ou uma palavra-passe de IdP.
Nota: se o registo do Mac for anulado da solução MDM, o registo também é anulado do IdP.
Funcionalidades do início de sessão único na plataforma
Funcionalidade | Sistema operativo mínimo compatível | Descrição |
---|---|---|
Pedir autenticação | macOS 15 | Requer a autenticação IdP no FileVault, no ecrã bloqueado e na janela de início de sessão. |
Pedir autenticação | macOS 15 | Configurar opcionalmente o período de tolerância de autenticação e offline, para que os utilizadores possam iniciar sessão ou desbloquear o ecrã quando estão offline. |
Pedir autenticação | macOS 15 | Opcionalmente, configurar o Touch ID ou o Apple Watch para desbloquear o ecrã. |
User enrollment and registration status in System Settings (Estado do registo do utilizador e do registo nas Definições do Sistema) | macOS 14 | Os utilizadores podem registar o dispositivo ou a conta de utilizador para utilização com o início de sessão único nas Definições do Sistema. O elemento do menu também apresenta o estado atual do registo e indica quaisquer erros que possam ter ocorrido, fornecendo a transparência melhorada do utilizador. Isso informa o utilizador se o registo necessita de ser realizado novamente. |
Local account creation by users (Criação de conta local pelos utilizadores) | macOS 14 | Para facilitar a gestão de contas nas implementações partilhadas, os utilizadores podem usar o nome de utilizador e a palavra‑passe do IdP ou um smart card para iniciar sessão num Mac com FileVault desbloqueado e criar uma conta local. A nova chave
|
Using nonlocal IdP user accounts at authorization prompts (Usar contas de utilizador de IdP não locais nos avisos de autorização) | macOS 14 | O início de sessão único na plataforma expande a utilização das credencias de IdP aos utilizadores que não têm uma conta de utilizador local no Mac para fins de autorização. Estas contas usam os mesmos grupos que a gestão de grupos. Por exemplo, se o utilizador for um membro de um dos grupos de administrador, a conta pode ser usada em avisos de autorização do administrador do macOS. Isso exclui quaisquer avisos de autorização que requerem tokens seguros, permissões de propriedade ou autenticação pelo utilizador com sessão iniciada atualmente. |
Updating group membership of users when they authenticate with their IdP (Atualização da adesão a grupos pelos utilizadores quando efetuam a autenticação com o seu IdP) | macOS 14 | A adesão a grupos pode ser usada para gerir as permissões de utilizadores de IdP no macOS de forma granular. Sempre que um utilizador se autentique com o IdP, a sua adesão a grupos é atualizada. Há três chaves em sequência disponíveis para definir a adesão a grupos:
|
Federação WS-Trust | macOS 13.3 | Isso permite que o início de sessão único na plataforma efetue a autenticação de utilizadores com sucesso quando a conta é gerida por um IdP federado com Microsoft Entra ID. |