Autentificarea unică la nivel de platformă pentru macOS
Cu autentificarea unică (SSO) la nivel de platformă, dezvoltatorii pot să construiască extensii SSO care extind funcționalitatea ferestrei de login pe macOS, permițându‑le utilizatorilor să sincronizeze acreditările contului local cu un furnizor de identitate (IdP). Parola contului local este menținută automat în sincronizare pentru ca parola de cloud și parolele locale să coincidă. De asemenea, utilizatorii își pot debloca Mac-ul cu Touch ID și Apple Watch-ul.
Autentificarea unică la nivel de platformă necesită următoarele:
macOS 13 sau ulterior
O soluție de gestionare a dispozitivelor mobile (MDM) compatibilă cu sarcina Autentificare unică extensibilă, care include compatibilitate cu SSO la nivel de platformă
Compatibilitate de la IdP pentru protocolul de autentificare unică la nivel de platformă
Una din următoarele două metode de autentificare acceptate:
Autentificarea cu o cheie bazată pe Secure Enclave: Cu această metodă, un utilizator care efectuează login la Mac-ul său poate utiliza o cheie bazată pe Secure Enclave pentru a se autentifica la IdP fără o parolă. Cheia Secure Enclave este configurată la IdP în timpul procesului de înregistrare a utilizatorului.
Autentificare cu parolă: Cu această metodă, utilizatorul se autentifică folosind o parolă locală sau o parolă IdP.
Notă: Dacă Mac-ului i se retrage înregistrarea din soluția MDM, i se retrage înregistrarea și de la IdP.
Federația WS-Trust
Federația WS-Trust este compatibilă cu macOS 13.3 sau ulterior. Aceasta permite ca SSO la nivel de platformă să autentifice cu succes utilizatorii atunci când contul lor este gestionat de un IdP în asociere cu Microsoft Entra ID.
Funcționalități suplimentare SSO la nivel de platformă în macOS 14 sau versiuni ulterioare
Înscrierea utilizatorilor și starea înregistrării în Configurări sistem: Utilizatorii își pot înregistra dispozitivul sau contul de utilizator pentru utilizarea cu SSO în Configurări sistem. Articolul de meniu afișează și starea curentă a înregistrării și indică orice eroare ce este posibil să se fi produs, furnizând o transparență îmbunătățită. Astfel utilizatorul află dacă înregistrarea trebuie parcursă din nou.
Crearea de conturi locale de către utilizatori: Pentru a facilita gestionarea conturilor în implementările partajate, utilizatorii își pot folosi numele de utilizator și parola IdP sau un smart card pentru a efectua login pe un Mac cu FileVault deblocat și a crea un cont local. Noua cheie
TokenToUserMappingpoate fi folosită pentru a defini atributul furnizat de IdP care să fie utilizat pentru a selecta numele de utilizator local. Pentru a utiliza această funcționalitate, sunt necesare următoarele:Trebuie să se finalizeze Asistentul de configurare și să se creeze un cont inițial de administrator local.
Dispozitivele trebuie înregistrate într-o soluție MDM care acceptă tokenuri de amorsare.
Mac-ul utilizatorului trebuie să aibă o sarcină Autentificare unică extensibilă cu SSO la nivel de platformă și cu opțiunile
UseSharedDeviceKeysșiEnableCreateUserAtLoginactivate.Compatibilitatea cu smart cardul necesită ca acesta să fie înregistrat la IdP și să existe o mapare a atributelor smart cardului configurată pe Mac.
Utilizarea conturilor de utilizator IdP nelocale la solicitările de autorizare: SSO la nivel de platformă extinde utilizarea acreditărilor IdP la utilizatorii care nu au un cont de utilizator local pe Mac în scopuri de autorizare. Aceste conturi utilizează aceleași grupuri ca gestionarea grupurilor. De exemplu, dacă un utilizator este membru al unuia dintre grupurile de administratori, contul poate fi folosit la solicitările de autorizare ale administratorilor macOS. Sunt excluse orice solicitări de autorizare care necesită un token securizat, permisiuni de proprietate sau autentificarea de către utilizatorul cu o sesiune de login curentă.
Actualizarea apartenenței la grup a utilizatorilor atunci când se autentifică la IdP-ul lor: Apartenența la grup poate fi folosită pentru gestionarea granulară a permisiunilor utilizatorilor IdP pe macOS. De fiecare dată când un utilizator la autentifică la IdP, apartenența sa la grup este actualizată. Există trei chei de matrice disponibile pentru a defini apartenența la grup:
AdministratorGroups: Dacă utilizatorul face parte dintr-un grup listat în această matrice, va avea acces de tip Administrator local.
AuthorizationGroups: Anumite grupuri utilizate pentru a gestiona drepturi de autorizare integrate sau definite în mod personalizat. Dreptul este acordat tuturor utilizatorilor care fac parte din grupul specificat. De exemplu, apartenența la un grup cu dreptul de autorizare
system.preferences.networkle permite utilizatorilor să modifice configurările de rețea; un grup cusystem.preferences.printingle permite utilizatorilor să modifice configurările imprimantei.AdditionalGroups: Poate fi folosită de sistemul de operare, de exemplu, pentru a defini accesul
sudo. O înregistrare în această matrice creează un grup în interiorul directorului local, dacă grupul nu există deja.