Autentificarea unică la nivel de platformă pentru macOS
Cu autentificarea unică (SSO) la nivel de platformă, dezvoltatorii pot să construiască extensii SSO care extind funcționalitatea ferestrei de login pe macOS, permițându‑le utilizatorilor să sincronizeze acreditările contului local cu un furnizor de identitate (IdP). Parola contului local este menținută automat în sincronizare pentru ca parola de cloud și parolele locale să coincidă. De asemenea, utilizatorii își pot debloca Mac-ul cu Touch ID și Apple Watch-ul.
Autentificarea unică la nivel de platformă necesită următoarele:
macOS 13 sau ulterior
O soluție de gestionare a dispozitivelor mobile (MDM) compatibilă cu sarcina Autentificare unică extensibilă, care include compatibilitate cu SSO la nivel de platformă
Compatibilitate de la IdP pentru protocolul de autentificare unică la nivel de platformă
Una din următoarele două metode de autentificare acceptate:
Autentificarea cu o cheie bazată pe Secure Enclave: Cu această metodă, un utilizator care efectuează login la Mac-ul său poate utiliza o cheie bazată pe Secure Enclave pentru a se autentifica la IdP fără o parolă. Cheia Secure Enclave este configurată la IdP în timpul procesului de înregistrare a utilizatorului.
Autentificare cu parolă: Cu această metodă, utilizatorul se autentifică folosind o parolă locală sau o parolă IdP.
Notă: Dacă Mac-ului i se retrage înregistrarea din soluția MDM, i se retrage înregistrarea și de la IdP.
Funcționalități SSO la nivel de platformă
Funcționalitate | Sistem de operare minim acceptat | Descriere |
|---|---|---|
Necesită autentificare | macOS 15 | Necesită autentificare IdP în FileVault, pe ecranul de blocare și în fereastra de login. |
Necesită autentificare | macOS 15 | Opțional, configurați modul offline și perioada de grație pentru autentificare, astfel încât utilizatorii să se poată autentifica sau să poată debloca ecranul când sunt offline. |
Necesită autentificare | macOS 15 | Opțional, configurați Touch ID sau Apple Watch pentru a debloca ecranul. |
Înscrierea utilizatorilor și starea înregistrării în Configurări sistem | macOS 14 | Utilizatorii își pot înregistra dispozitivul sau contul de utilizator pentru utilizarea cu SSO în Configurări sistem. Articolul de meniu afișează și starea curentă a înregistrării și indică orice eroare ce este posibil să se fi produs, furnizând o transparență îmbunătățită. Astfel utilizatorul află dacă înregistrarea trebuie parcursă din nou. |
Crearea de conturi locale de către utilizatori | macOS 14 | Pentru a facilita gestionarea conturilor în implementările partajate, utilizatorii își pot folosi numele de utilizator și parola IdP sau un smart card pentru a efectua login pe un Mac cu FileVault deblocat și a crea un cont local. Noua cheie
|
Utilizarea conturilor de utilizator IdP nelocale la solicitările de autorizare | macOS 14 | SSO la nivel de platformă extinde utilizarea acreditărilor IdP la utilizatorii care nu au un cont de utilizator local pe Mac în scopuri de autorizare. Aceste conturi utilizează aceleași grupuri ca gestionarea grupurilor. De exemplu, dacă un utilizator este membru al unuia dintre grupurile de administratori, contul poate fi folosit la solicitările de autorizare ale administratorilor macOS. Sunt excluse orice solicitări de autorizare care necesită un token securizat, permisiuni de proprietate sau autentificarea de către utilizatorul cu o sesiune de login curentă. |
Actualizarea apartenenței la grup a utilizatorilor atunci când se autentifică la IdP‑ul lor | macOS 14 | Apartenența la grup poate fi folosită pentru gestionarea granulară a permisiunilor utilizatorilor IdP pe macOS. De fiecare dată când un utilizator la autentifică la IdP, apartenența sa la grup este actualizată. Există trei chei de matrice disponibile pentru a defini apartenența la grup:
|
Federația WS-Trust | macOS 13.3 | Aceasta permite ca SSO la nivel de platformă să autentifice cu succes utilizatorii atunci când contul lor este gestionat de un IdP în asociere cu Microsoft Entra ID. |