Platform Single Sign-on för macOS
Med enkel plattformsinloggning (Platform SSO) kan utvecklare bygga SSO-tillägg som utökar inloggningsfönstret i macOS så att användare kan synkronisera lokala kontouppgifter med en identitetsleverantör (IdP). Det lokala kontolösenordet hålls automatiskt synkroniserat så att molnlösenordet matchar det lokala lösenordet. Användare kan också låsa upp sin dator med Touch ID och Apple Watch.
Enkel plattformsinloggning kräver följande:
macOS 13 eller senare
En MDM-lösning som stöder nyttolasten Extensible Single Sign-on som innehåller stöd för Platform SSO.
Stöd från identitetsleverantören för autentiseringsprotokollet Platform SSO
En av två autentiseringsmetoder som stöds:
Autentisering med en Secure Enclave-säkrad nyckel: Med den här metoden kan en användare som loggar in på sin Mac använda en Secure Enclave–säkrad nyckel till att autentisera med identitetsleverantören utan ett lösenord. Secure Enclave-nyckeln ställs in hos identitetsleverantören under processen för användarregistrering.
Lösenordsautentisering: Med den här metoden autentiserar en användare med ett lokalt lösenord eller ett lösenord för en identitetsleverantör.
Obs! Om datorn avregistreras från MDM-lösningen avregistreras den också från identitetsleverantören.
Platformsfunktioner för SSO
Funktion | Lägsta operativsystem som stöds | Beskrivning |
|---|---|---|
Kräv autentisering | macOS 15 | Kräv IdP-autentisering för FileVault, låsskärmen och inloggningsfönstret. |
Kräv autentisering | macOS 15 | Du kan välja att konfigurera offline- och autentiseringsfrist så att användare kan logga in eller låsa upp skärmen när de inte är uppkopplade. |
Kräv autentisering | macOS 15 | Du kan välja att konfigurera Touch ID eller Apple Watch för upplåsning av skärmen. |
Användarregistrering och registreringsstatus i Systeminställningar | macOS 14 | Användare kan registrera sin enhet eller sitt användarkonto för användning med enkel inloggning i Systeminställningar. Menyobjektet visar också den aktuella registreringsstatusen och indikerar eventuella fel som kan ha inträffat så att användaren får större insyn. Det ser till att användaren vet om registreringen måste göras om. |
Lokal kontoskapelse av användare | macOS 14 | För att underlätta kontohantering i delade driftsättningar kan användare använda sitt IdP-användarnamn och -lösenord eller ett smart kort till att logga in på en Mac där FileVault är olåst och skapa ett lokalt konto. Den nya nyckeln
|
Användning av icke-lokala IdP-användarkonton i auktoriseringsdialoger | macOS 14 | Platform SSO utökar användningen av IdP-inloggningsuppgifter till användare som saknar ett lokalt konto på datorn för autentiseringsändamål. Dessa konton använder samma grupper som Group-hantering. Om användaren till exempel tillhör en av administratörsgrupperna kan kontot användas i de flesta auktoriseringsdialogerna för macOS-administratörer. Detta undantar eventuella auktoriseringsdialoger som kräver en säkerhetstoken, ägarskapsbehörigheter eller autentisering av den användare som är inloggad för tillfället.. |
Uppdatering av gruppmedlemskap för användare när de autentiserar med sin IdP | macOS 14 | Gruppmedlemskap kan användas till finmaskig hantering av behörigheter för IdP-användare i macOS. Varje gång en användare autentiserar med IdP:n uppdateras användarens gruppmedlemskap. Det finns tre tillgängliga arraynycklar som definierar gruppmedlemskap:
|
WS-Trust-federering | macOS 13.3 | Det tillåter att enkel plattformsinloggning autentiserar användare vars konto hanteras av en IdP som federeras med Microsoft Entra ID. |