Jednorazové prihlásenie na platforme pre macOS
Jednorazové prihlásenie na platforme umožňuje vývojárom vytvárať rozšírenia, ktoré sa používajú v prihlasovacom okne systému macOS a umožňujú užívateľom synchronizovať prihlasovacie údaje lokálneho účtu s poskytovateľom identít (IdP). Heslo lokálneho účtu sa pritom automaticky synchronizuje tak, aby sa zhodovalo s heslom cloudu. Užívatelia môžu tiež odomknúť svoj Mac pomocou Touch ID a Apple Watch.
SSO na platforme vyžaduje:
macOS 13 alebo novší
Riešenie správy mobilných zariadení (MDM) s podporou objemu dát Extensible Single Sign-on, ktorý zahŕňa podporu pre jednorazové prihlásenie na platforme
Podporu od IdP pre protokol autentifikácie na SSO na platforme
Jedna z dvoch podporovaných metód autentifikácie:
Autentifikácia pomocou kľúča zabezpečeného modulom Secure Enclave: Pomocou tejto metódy môže užívateľ, ktorý sa prihlasuje do svojho Macu, použiť na autentifikáciu u IdP kľúč s podporou Secure Enclave bez potreby hesla. Kľúč Secure Enclave sa u IdP nastavuje počas procesu registrácie užívateľa.
Autentifikácia pomocou hesla: Pomocou tejto metódy sa užívateľ autentifikuje pomocou lokálneho hesla alebo hesla IdP.
Poznámka: Ak sa Mac odregistruje z riešenia MDM, odregistruje sa aj od IdP.
Federovanie protokolu WS-Trust
V systéme macOS 13.3 alebo novšom je podporované federovanie protokolu WS-Trust. Vďaka tomu môže jednorazové prihlásenie na platforme úspešne overovať užívateľov, ak ich účet spravuje poskytovateľ identít federovaný pomocou služby Microsoft Entra ID.
Ďalšie funkcie jednorazového prihlásenia na platforme v systéme macOS 14 alebo novšom
Registrácia užívateľov a jej stav v Systémových nastaveniach: Užívatelia môžu registrovať svoje zariadenia alebo užívateľské účty na použitie s jednorazovým prihlásením na platforme v Systémových nastaveniach. Príslušná položka menu zobrazuje aj aktuálny stav registrácie a informuje o prípadných chybách, čím užívateľom poskytuje prehľadné informácie. Užívateľ sa vďaka tomu dozvie, či je nutné registráciu vykonať znova.
Vytváranie lokálnych účtov užívateľmi: Jednoduchšia správa účtov v zdieľaných nasadeniach umožňuje užívateľom prihlásenie do Macu s odomknutým FileVaultom a vytvorenie lokálneho účtu pomocou užívateľského mena a hesla od poskytovateľa identít alebo pomocou karty Smart Card. Na určenie, ktorý atribút od poskytovateľa identít sa použije na výber lokálneho užívateľského mena, je možné použiť nový kľúč
TokenToUserMapping. Na používanie tejto funkcie musia byť splnené nasledujúce požiadavky.Je potrebné dokončiť nastavenie v Sprievodcovi nastavením a vytvoriť počiatočný lokálny účet správcu.
Zariadenia musia byť zaregistrované v riešení MDM, ktoré podporuje bootstrap tokeny.
Na Macu užívateľa musí byť k dispozícii objem dát Extensible Single Sign-on s jednorazovým prihlásením na platforme a zapnutými možnosťami
UseSharedDeviceKeysaEnableCreateUserAtLogin.Podpora kariet Smart Card vyžaduje, aby bola karta Smart Card zaregistrovaná u poskytovateľa identít a aby bolo na Macu nakonfigurované mapovanie atribútov kariet Smart Card.
Používanie iných ako lokálnych užívateľských účtov od poskytovateľa identít vo výzvach na autorizáciu: Jednorazové prihlásenie na platforme rozširuje použitie prihlasovacích údajov od poskytovateľa identít na užívateľov, ktorí nemajú na účely autorizácie na Macu lokálny užívateľský účet. Tieto účty používajú rovnaké skupiny ako správa skupín. Ak je užívateľ napríklad členom jednej zo skupín správcov, je možné účet použiť vo výzvach na autorizáciu správcu systému macOS. Tým sú vylúčené všetky výzvy na autorizáciu, ktoré vyžadujú secure token, oprávnenia vlastníka alebo autentifikáciu aktuálne prihláseným užívateľom.
Aktualizácia členstva užívateľov v skupinách pri ich autentifikácii u poskytovateľa identít: Členstvo v skupinách je možné v systéme macOS použiť na podrobnú správu oprávnení užívateľov poskytovateľa identít. Pri každej autentifikácii užívateľa u poskytovateľa identít sa aktualizuje jeho členstvo v skupine. Na definovanie členstva v skupine sú k dispozícii tri polia kľúčov:
AdministratorGroups: Ak je užívateľ súčasťou skupiny uvedenej v tomto poli, bude mať prístup lokálneho správcu.
AuthorizationGroups: Špecifické skupiny používané na správu vastavaných alebo užívateľsky definovaných autorizačných práv. Toto právo je udelené všetkým užívateľom, ktorí sú súčasťou danej skupiny. Napríklad členstvo v skupine priradenej k autorizačnému právu
system.preferences.networkumožňuje užívateľom meniť nastavenia siete, zatiaľ čo členstvo v skupinesystem.preferences.printingužívateľom umožňuje meniť nastavenia tlačiarní.AdditionalGroups: Môže sa používať operačným systémom – napríklad na definovanie prístupového oprávnenia
sudo. Záznam v tomto poli vytvorí skupinu vo vnútri lokálneho adresára (ak daná skupina neexistuje).