Jednorazové prihlásenie na platforme pre macOS
Jednorazové prihlásenie na platforme umožňuje vývojárom vytvárať rozšírenia, ktoré sa používajú v prihlasovacom okne systému macOS a umožňujú užívateľom synchronizovať prihlasovacie údaje lokálneho účtu s poskytovateľom identít (IdP). Heslo lokálneho účtu sa pritom automaticky synchronizuje tak, aby sa zhodovalo s heslom cloudu. Užívatelia môžu tiež odomknúť svoj Mac pomocou Touch ID a Apple Watch.
SSO na platforme vyžaduje:
macOS 13 alebo novší
Riešenie správy mobilných zariadení (MDM) s podporou objemu dát Extensible Single Sign-on, ktorý zahŕňa podporu pre jednorazové prihlásenie na platforme
Podporu od IdP pre protokol autentifikácie na SSO na platforme
Jedna z dvoch podporovaných metód autentifikácie:
Autentifikácia pomocou kľúča zabezpečeného modulom Secure Enclave: Pomocou tejto metódy môže užívateľ, ktorý sa prihlasuje do svojho Macu, použiť na autentifikáciu u IdP kľúč s podporou Secure Enclave bez potreby hesla. Kľúč Secure Enclave sa u IdP nastavuje počas procesu registrácie užívateľa.
Autentifikácia pomocou hesla: Pomocou tejto metódy sa užívateľ autentifikuje pomocou lokálneho hesla alebo hesla IdP.
Poznámka: Ak sa Mac odregistruje z riešenia MDM, odregistruje sa aj od IdP.
Funkcie SSO platformy
Funkcia | Minimálny podporovaný operačný systém | Popis |
|---|---|---|
Vyžadovať autentifikáciu | macOS 15 | Vyžadovanie IdP autentifikácie vo FileVaulte, na zamknutej obrazovke a v prihlasovacom okne. |
Vyžadovať autentifikáciu | macOS 15 | Voliteľná konfigurácia času offline a doby odkladu pre autentifikáciu, aby sa užívatelia mohli prihlásiť alebo odomknúť obrazovku, keď sú offline. |
Vyžadovať autentifikáciu | macOS 15 | Voliteľná konfigurácia odomknutia obrazovky pomocou Touch ID alebo Apple Watch. |
Registrácia užívateľov a jej stav v Systémových nastaveniach | macOS 14 | Užívatelia môžu registrovať svoje zariadenia alebo užívateľské účty na použitie s jednorazovým prihlásením na platforme v Systémových nastaveniach. Príslušná položka menu zobrazuje aj aktuálny stav registrácie a informuje o prípadných chybách, čím užívateľom poskytuje prehľadné informácie. Užívateľ sa vďaka tomu dozvie, či je nutné registráciu vykonať znova. |
Vytváranie lokálnych účtov užívateľmi | macOS 14 | Jednoduchšia správa účtov v zdieľaných nasadeniach umožňuje užívateľom prihlásenie do Macu s odomknutým FileVaultom a vytvorenie lokálneho účtu pomocou užívateľského mena a hesla od poskytovateľa identít alebo pomocou karty Smart Card. Na určenie, ktorý atribút od poskytovateľa identít sa použije na výber lokálneho užívateľského mena, je možné použiť nový kľúč
|
Používanie iných ako lokálnych užívateľských účtov od poskytovateľa identít vo výzvach na autorizáciu | macOS 14 | Jednorazové prihlásenie na platforme rozširuje použitie prihlasovacích údajov od poskytovateľa identít na užívateľov, ktorí nemajú na účely autorizácie na Macu lokálny užívateľský účet. Tieto účty používajú rovnaké skupiny ako správa skupín. Ak je užívateľ napríklad členom jednej zo skupín správcov, je možné účet použiť vo výzvach na autorizáciu správcu systému macOS. Tým sú vylúčené všetky výzvy na autorizáciu, ktoré vyžadujú secure token, oprávnenia vlastníka alebo autentifikáciu aktuálne prihláseným užívateľom. |
Aktualizácia členstva užívateľov v skupinách pri ich autentifikácii u poskytovateľa identít | macOS 14 | Členstvo v skupinách je možné v systéme macOS použiť na podrobnú správu oprávnení užívateľov poskytovateľa identít. Pri každej autentifikácii užívateľa u poskytovateľa identít sa aktualizuje jeho členstvo v skupine. Na definovanie členstva v skupine sú k dispozícii tri polia kľúčov:
|
Federovanie protokolu WS-Trust | macOS 13.3 | Vďaka tomu môže jednorazové prihlásenie na platforme úspešne overovať užívateľov, ak ich účet spravuje poskytovateľ identít federovaný pomocou služby Microsoft Entra ID. |