Ενιαία σύνδεση πλατφόρμας για macOS
Με την Ενιαία σύνδεση πλατφόρμας (SSO πλατφόρμας), οι προγραμματιστές μπορούν να δημιουργούν επεκτάσεις SSO που εκτείνονται στο παράθυρο εισόδου του macOS, επιτρέποντας στους χρήστες να συγχρονίζουν τα διαπιστευτήρια τοπικού λογαριασμού με έναν πάροχο ταυτότητας (IdP). Το συνθηματικό του τοπικού λογαριασμού διατηρείται αυτόματα συγχρονισμένο, οπότε το συνθηματικό στο «σύννεφο» και το τοπικό συνθηματικό ταιριάζουν. Οι χρήστες μπορούν επίσης να ξεκλειδώνουν το Mac τους με το Touch ID και το Apple Watch.
Το SSO πλατφόρμας απαιτεί τα εξής:
macOS 13 ή μεταγενέστερη έκδοση
Μια λύση MDM (Διαχείριση φορητών συσκευών) που υποστηρίζει το φορτίο «Επεκτάσιμη Ενιαία σύνδεση», το οποίο περιλαμβάνει υποστήριξη για το SSO πλατφόρμας
Υποστήριξη από τον πάροχο ταυτότητας για το πρωτόκολλο ελέγχου ταυτότητας SSO πλατφόρμας
Μία από τις δύο υποστηριζόμενες μεθόδους ελέγχου ταυτότητας:
Έλεγχος ταυτότητας με κλειδί που υποστηρίζεται από το Secure Enclave: Με αυτήν τη μέθοδο, ένας χρήστης που συνδέεται στο Mac του μπορεί να χρησιμοποιήσει ένα κλειδί που υποστηρίζεται από το Secure Enclave για έλεγχο ταυτότητας με τον πάροχο ταυτότητας (IdP) χωρίς συνθηματικό. Το κλειδί Secure Enclave διαμορφώνεται με τον IdP κατά τη διαδικασία εγγραφής χρήστη.
Έλεγχος ταυτότητας συνθηματικού: Με αυτήν τη μέθοδο, ένας χρήστης πραγματοποιεί έλεγχο ταυτότητας με ένα τοπικό συνθηματικό ή συνθηματικό IdP.
Σημείωση: Αν το Mac απεγγραφεί από τη λύση MDM, θα καταργηθεί επίσης η καταχώρισή του από τον IdP.
Ομόσπονδος έλεγχος ταυτότητας μέσω WS-Trust
Ο Ομόσπονδος έλεγχος ταυτότητας μέσω WS-Trust υποστηρίζεται στο macOS 13.3 και μεταγενέστερες εκδόσεις. Αυτό επιτρέπει στο SSO πλατφόρμας να ελέγχει επιτυχώς την ταυτότητα των χρηστών όταν η διαχείριση του λογαριασμού τους γίνεται από πάροχο ταυτότητας που έχει ελέγχεται ομόσπονδα από το Microsoft Entra ID.
Πρόσθετες δυνατότητες του SSO πλατφόρμας στο macOS 14 ή μεταγενέστερο
Κατάσταση εγγραφής και καταχώρισης χρήστη στις Ρυθμίσεις συστήματος: Οι χρήστες μπορούν να καταχωρίσουν τη συσκευή τους ή τον λογαριασμό χρήστη τους για χρήση με την Ενιαία σύνδεση στις Ρυθμίσεις συστήματος. Το στοιχείο μενού εμφανίζει επίσης την τρέχουσα κατάσταση καταχώρισης και υποδεικνύει τυχόν σφάλματα που ενδέχεται να έχουν προκύψει, παρέχοντας βελτιωμένη διαφάνεια για τους χρήστες. Αυτό ενημερώνει τον χρήστη αν η καταχώριση πρέπει να ολοκληρωθεί ξανά.
Δημιουργία τοπικών λογαριασμών από χρήστες: Για να διευκολυνθεί η διαχείριση λογαριασμών σε κοινόχρηστες αναπτύξεις, οι χρήστες μπορούν να χρησιμοποιήσουν το όνομα χρήστη και το συνθηματικό του παρόχου ταυτότητας ή μια έξυπνη κάρτα για να πραγματοποιήσουν είσοδο σε Mac με ξεκλείδωτο FileVault και να δημιουργήσουν έναν τοπικό λογαριασμό. Το νέο κλειδί
TokenToUserMappingμπορεί να χρησιμοποιηθεί για να καθορίσει ποιο χαρακτηριστικό που παρέχεται από τον πάροχο ταυτότητας χρησιμοποιείται για επιλογή του ονόματος τοπικού χρήστη. Για χρήση αυτής της δυνατότητας, απαιτούνται τα εξής:Πρέπει να ολοκληρωθεί ο Βοηθός διαμόρφωσης και να δημιουργηθεί ένας αρχικός τοπικός λογαριασμός διαχειριστή.
Οι συσκευές πρέπει να εγγραφούν σε λύση MDM που υποστηρίζει διακριτικά bootstrap.
Το Mac του χρήστη πρέπει να διαθέτει το φορτίο «Επεκτάσιμη Ενιαία σύνδεση» με το SSO πλατφόρμας και ενεργοποιημένες τις επιλογές
UseSharedDeviceKeysκαιEnableCreateUserAtLogin.Η υποστήριξη έξυπνων καρτών απαιτεί την καταχώριση της έξυπνης κάρτας στον πάροχο ταυτότητας και τη διαμόρφωση μιας αντιστοίχισης χαρακτηριστικών έξυπνης κάρτας στο Mac.
Χρήση λογαριασμών χρηστών μη τοπικών παρόχων ταυτότητας σε προτροπές εξουσιοδότησης: Το SSO πλατφόρμας επεκτείνει τη χρήση των διαπιστευτηρίων παρόχου ταυτότητας σε χρήστες που δεν έχουν λογαριασμό τοπικού χρήστη στο Mac για σκοπούς εξουσιοδότησης. Αυτοί οι λογαριασμοί χρησιμοποιούν τις ίδιες ομάδες όπως η διαχείριση ομάδων. Για παράδειγμα, αν ο χρήστης είναι μέλος μιας ομάδας διαχειριστών, ο λογαριασμός μπορεί να χρησιμοποιηθεί στις προτροπές εξουσιοδότησης διαχειριστή macOS. Αυτό αποκλείει τις προτροπές εξουσιοδότησης που απαιτούν ασφαλές διακριτικό, δικαιώματα ιδιοκτησίας ή έλεγχο ταυτότητας από τον χρήστη που έχει πραγματοποιήσει είσοδο τη δεδομένη στιγμή.
Ενημέρωση της ομαδικής συνδρομής των χρηστών κατά τον έλεγχο ταυτότητας με τον IdP (πάροχος ταυτότητας) τους: Η ομαδική συνδρομή μπορεί να χρησιμοποιηθεί για λεπτομερή διαχείριση των δικαιωμάτων των χρηστών IdP στο macOS. Κάθε φορά που ένας χρήστης επαληθεύει την ταυτότητά του με τον IdP, ενημερώνεται η ομαδική συνδρομή του. Υπάρχουν τρία κλειδιά πίνακα διαθέσιμα για καθορισμό της ομαδικής συνδρομής:
AdministratorGroups: Αν ο χρήστης είναι μέλος μιας ομάδας που αναφέρεται σε αυτόν τον πίνακα, θα έχει πρόσβαση τοπικού διαχειριστή.
AuthorizationGroups: Συγκεκριμένες ομάδες που χρησιμοποιούνται για διαχείριση ενσωματωμένων ή προσαρμοσμένων δικαιωμάτων εξουσιοδότησης. Το δικαίωμα χορηγείται σε όλους τους χρήστες που αποτελούν μέρος της καθορισμένης ομάδας. Για παράδειγμα, η συνδρομή σε μια ομάδα που έχει εκχωρηθεί στο δικαίωμα εξουσιοδότησης
system.preferences.networkεπιτρέπει στους χρήστες να τροποποιούν τις ρυθμίσεις δικτύου, ή τοsystem.preferences.printingεπιτρέπει στους χρήστες να τροποποιούν τις ρυθμίσεις εκτυπωτή.AdditionalGroups: Μπορεί να χρησιμοποιηθεί από το λειτουργικό σύστημα, π.χ. για προσδιορισμό της πρόσβασης στο
sudo. Μια καταχώριση σε αυτόν τον πίνακα δημιουργεί μια ομάδα μέσα στον τοπικό κατάλογο αν η ομάδα δεν υπάρχει.