macOS için Platformda Tek Oturum Açma
Platformda Tek Oturum Açma (Platform SSO) ile geliştiriciler macOS oturum açma penceresi özelliklerini genişleterek kullanıcıların yerel hesap kimlik bilgilerini bir kimlik sağlayıcı (IdP) ile eşzamanlamasını sağlayabilir. Yerel hesap parolası otomatik olarak eşzamanlı tutulur, böylece bulut parolası ve yerel parolalar eşleşir. Kullanıcılar Mac’lerinin kilidini Touch ID ve Apple Watch ile de açabilir.
Platform SSO şunları gerektirir:
macOS 13 veya daha yenisi
Platform SSO desteğini içeren Extensible Single Sign-on verisini destekleyen bir mobil aygıt yönetimi (MDM) çözümü
Platform SSO kimlik doğrulama protokolü için IdP’den gelen destek
Desteklenen iki kimlik doğrulama yönteminden biri:
Secure Enclave destekli bir anahtar ile kimlik doğrulama: Bu yöntemle, Mac’inde oturum açan kullanıcı parola olmadan IdP ile kimlik doğrulamak için Secure Enclave destekli bir anahtar kullanabilir. Secure Enclave anahtarı, kullanıcı kayıt işlemi sırasında IdP ile ayarlanır.
Parola ile kimlik doğrulama: Bu yöntemle, kullanıcı yerel bir parola veya IdP parolası ile kimliğini doğrular.
Not: Mac’in MDM çözümündeki kaydı silinirse, IdP’deki kaydı da silinir.
WS-Trust federasyonu
WS-Trust federasyonu macOS 13.3 veya daha yenisinde desteklenir. Bu, Platform SSO’nun, hesabı Microsoft Entra ID ile birleştirilmiş bir IdP tarafından yönetilen kullanıcıların kimliklerini başarılı bir şekilde doğrulamasını sağlar.
macOS 14 veya daha yenisindeki ek Platform SSO özellikleri
Sistem Ayarları’nda kullanıcı kaydı ve kayıt durumu: Kullanıcılar, aygıtlarını veya kullanıcı hesaplarını Sistem Ayarları’ndaki SSO ile kullanmak üzere kaydettirebilir. Menü öğesi, şu anki kayıt durumunu da görüntüler ve oluşan hataları belirterek iyileştirilmiş kullanıcı şeffaflığı sunar. Bu da kullanıcının, kaydın yeniden tamamlanması gerekip gerekmediğini bilmesini sağlar.
Kullanıcılar tarafından yerel hesap yaratılması: Kullanıcılar, paylaşılan dağıtımlarda hesap yönetimini kolaylaştırmak için kendi IdP kullanıcı adları ile parolalarını veya bir akıllı kartı kullanarak Mac’te FileVault kilidi açık olarak oturum açabilir ve yerel bir hesap yaratabilirler. Yeni
TokenToUserMappinganahtarı, IdP tarafından sunulan hangi özelliğin yerel kullanıcı adını seçmek için kullanılacağını tanımlamak için kullanılır. Bu özelliği kullanmak için şunlar gerekir:Ayarlama Yardımcısı’nın tamamlanması ve ilk yerel yönetici hesabının yaratılması gerekir.
Aygıtların, ön yükleme (bootstrap) jetonlarını destekleyen bir MDM çözümüne kayıtlı olması gerekir.
Kullanıcının Mac’inde, etkin
UseSharedDeviceKeysveEnableCreateUserAtLoginseçenekleri ve Platform SSO ile Extensible Single Sign-on verisi olmalıdır.Akıllı kart desteği, akıllı kartın IdP ile kayıtlı olmasını ve Mac’te ayarlanmış akıllı kart özellik eşlemesi olmasını gerektirir.
Yetkilendirme istemlerinde yerel olmayan IdP kullanıcı hesaplarını kullanma: Platform SSO, IdP kimlik bilgilerinin kullanımını Mac’te yetkilendirme amacıyla bir yerel kullanıcı hesabı olmayan kullanıcıları içerecek şekilde genişletir. Bu hesaplar Grup yönetimiyle aynı grupları kullanır. Örneğin kullanıcı, yönetici gruplarının bir üyesiyse hesap, macOS yöneticisi yetkilendirme istemlerinde kullanılabilir. Bu, güvenli jeton, sahiplik izinleri veya o anda oturum açmış kullanıcının kimlik doğrulamasını gerektiren yetkilendirme istemlerini hariç tutar.
Kullanıcılar kendi IdP’leri ile kimlik doğruladıklarında grup üyeliklerini güncelleme: Grup üyelikleri, macOS’teki IdP kullanıcılarının izinlerini ayrıntılı olarak yönetmek için kullanılabilir. Kullanıcının IdP ile her kimlik doğrulayışında grup üyeliği güncellenir. Grup üyeliğini tanımlamak için kullanılabilecek üç dizi anahtarı vardır:
AdministratorGroups: Kullanıcı, bu dizide listelenen bir grubun parçasıysa yerel yönetici erişimine sahiptir.
AuthorizationGroups: Yerleşik veya özel tanımlanmış yetkilendirme haklarını yönetmek için kullanılan belirli gruplar. Bu hak, belirtilen grubun parçası olan tüm kullanıcılara verilir. Örneğin
system.preferences.networkyetkilendirme hakkı atanmış bir gruptaki üyelik, kullanıcıların ağ ayarlarını değiştirmesine veyasystem.preferences.printingkullanıcıların yazıcı ayarlarını değiştirmesine izin verir.AdditionalGroups: İşletim sistemi tarafından, örneğin
sudoerişimini tanımlamak için kullanılabilir. Bu dizideki bir giriş, grup yoksa yerel dizinin içinde bir grup yaratır.