Alustan kertakirjautuminen macOS:lle
Alustan kertakirjautuminen (SSO) tarjoaa kehittäjille mahdollisuuden tehdä kertakirjautumislaajennuksia, jotka ulottuvat macOS:n sisäänkirjautumisikkunaan. Näin käyttäjät voivat synkronoida paikallisen tilin tunnistetiedot identiteetin tarjoajan kanssa. Paikallisen tilin salasana pidetään automaattisesti synkronoituna, joten pilvisalasana ja paikallinen salasana ovat samat. Käyttäjät voivat myös avata Macin lukituksen Touch ID:n ja Apple Watchin avulla.
Alustan kertakirjautumiseen tarvitaan seuraavat:
macOS 13 tai uudempi
Mobiililaitteiden hallintaratkaisu (MDM), joka tukee Laajennettava kertakirjautuminen ‑tietosisältöä, joka sisältää alustan kertakirjautumisen tuen
Identiteetin tarjoajan tuki alustan kertakirjautumisen todentamisprotokollalle
Jompikumpi tuetuista todentamismenetelmistä:
Todentaminen Secure Enclaven takaamalla avaimella: Tässä menetelmässä käyttäjä, joka kirjautuu Maciin, voi suorittaa todentamisen identiteetin tarjoajalle ilman salasanaa käyttämällä Secure Enclaven takaamaa avainta. Secure Enclaven avain otetaan käyttöön identiteetin tarjoajan kanssa rekisteröintiprosessin aikana.
Salasanatodentaminen: Tässä menetelmässä käyttäjä suorittaa todentamisen paikallisella salasanalla tai identiteetin tarjoajan salasanalla.
Huomaa: Jos Macin rekisteröinti MDM-ratkaisuun poistetaan, myös sen rekisteröinti identiteetin tarjoajalle poistetaan.
Alustan kertakirjautumisen ominaisuudet
Ominaisuus | Tuettu minimikäyttöjärjestelmä | Kuvaus |
|---|---|---|
Vaadi todentaminen | macOS 15 | Vaatii identiteetin tarjoajan todennuksen FileVaultilla, lukitulla näytöllä ja kirjautumisikkunassa. |
Vaadi todentaminen | macOS 15 | Voit vaihtoehtoisesti määrittää offline- ja todennuksen aikarajan, jotta käyttäjät voivat kirjautua sisään tai avata näytön lukituksen ollessaan poissa linjoilta. |
Vaadi todentaminen | macOS 15 | Voit vaihtoehtoisesti määrittää Touch ID:n tai Apple Watchin näytön lukituksen avaamiseen. |
Käyttäjän rekisteröinti ja rekisteröinnin tila Järjestelmäasetuksissa | macOS 14 | Käyttäjät voivat rekisteröidä laitteensa tai käyttäjätilinsä kertakirjautumisen kanssa käytettäväksi Järjestelmäasetuksissa. Valikkokohde myös näyttää rekisteröinnin senhetkisen tilan ja kertoo mahdollisesti ilmenneistä virheistä. Tämä parantaa läpinäkyvyyttä käyttäjälle. Näin käyttäjä saa tiedon, jos rekisteröinti tarvitsee tehdä uudelleen. |
Paikallisen tilin luominen käyttäjien toimesta | macOS 14 | Jotta tilien hallinta jaetussa laiteissa olisi helpompaa, käyttäjät voivat käyttää identiteetin tarjoajan käyttäjätunnustaan ja salasanaansa tai älykorttia kirjautuakseen Maciin, jonka FileVault ei ole lukittu, ja luodakseen paikallisen tilin. Uudella
|
Ei-paikallisten identiteetin tarjoajan käyttäjätilien käyttäminen valtuutuskehotuksissa | macOS 14 | Alustan kertakirjautuminen laajentaa identiteetin tarjoajan kirjautumistietojen käyttöä valtuuttamiseen käyttäjille, joilla ei ole paikallista käyttäjätiliä Macissa. Nämä tilit käyttävät samoja ryhmiä kuin Ryhmä-hallinta. Esimerkiksi jos käyttäjä on jonkin ylläpitäjäryhmän jäsen, tiliä voidaan käyttää macOS:n ylläpitäjän valtuutuspyynnöille. Tämä ei koske sellaisia valtuutuspyyntöjä, jotka vaativat Secure Tokenin, omistajuusoikeudet tai parhaillaan kirjautuneena olevan käyttäjän tekemän todennuksen. |
Käyttäjien ryhmäjäsenyyden päivittäminen, kun he todentautuvat identiteetin tarjoajalle | macOS 14 | Ryhmäjäsenyyden avulla voidaan hallita hienojakoisesti identiteetin tarjoajan käyttäjille annettavia oikeuksia macOS:ssä. Joka kerta, kun käyttäjä todentautuu identiteetin tarjoajalle, hänen ryhmäjäsenyytensä päivitetään. Ryhmäjäsenyyden määrittelemiseen on käytettävissä kolme taulukkoavainta:
|
WS-Trust-federointi | macOS 13.3 | Sen ansioista alustan kertakirjautuminen voi todentaa käyttäjiä, kun heidän tilejään hallitsee Microsoft Entra ID:n kanssa federoitu identiteetin tarjoaja. |