Inicio de sesión único (SSO) en plataforma para macOS
Visión general
El inicio de sesión único en plataforma (SSO en plataforma) te permite ( a tio a un desarrollador especializado en la gestión de identidades) crear extensiones de SSO que permitan a los usuarios autenticarse con la cuenta del proveedor de identidades (IdP) de tu organización en un Mac durante Asistente de Configuración. El SSO en plataforma puede combinarse con otras extensiones de SSO teniendo en cuenta lo siguiente:
Solo una extensión de SSO puede gestionar un dominio específico.
syncLocalPassworddebe ajustarse afalseen la configuración de SSO de Kerberos.
Funciones
El SSO en plataforma admite las siguientes funciones:
Activar y aplicar el inicio de sesión único en plataforma durante la inscripción automatizada de dispositivos para autenticar la inscripción, iniciar sesión con una cuenta de Apple gestionada y crear un usuario local.
Ofrecer una experiencia de inicio de sesión único para apps web y nativas.
Consulta el estado y los detalles de registro del SSO en plataforma en Ajustes del Sistema.
Sincronizar las contraseñas de las cuentas de usuario locales con el IdP y definir políticas de inicio de sesión.
Definir los permisos de grupo de las cuentas de IdP y permitir que las personas usen cuentas de IdP solo de red en los avisos de autorización.
Crear cuentas de usuario locales bajo demanda al iniciar sesión con las credenciales de una cuenta de IdP.
Compatibilidad con usuarios invitados que inician sesión temporalmente con las credenciales de su IdP en ordenadores Mac compartidos.
Nota: La mayoría de las funciones requieren compatibilidad con la extensión de SSO. Para obtener más información sobre cómo implementar el SSO en plataforma en tu organización, consulta la documentación de tu IdP.
Requisitos
Un Mac con chip de Apple o un Mac con procesador Intel y Touch ID.
Un servicio de gestión de dispositivos compatible con la configuración de inicio de sesión único extensible, que incluye ajustes para el inicio de sesión único en plataforma.
Una app que contenga una extensión de SSO en plataforma compatible con el IdP.
macOS 13 o posterior
Las siguientes funciones tienen requisitos de versión adicionales:
Característica | Versión del sistema operativo mínima compatible | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Modo de invitado autenticado | macOS 26 | ||||||||||
Tocar para iniciar sesión | macOS 26 | ||||||||||
SSO en plataforma durante la inscripción automatizada de dispositivos | macOS 26 | ||||||||||
Prefijo UPN como nombre de cuenta local | macOS 15.4 | ||||||||||
Atestación de identificadores de dispositivo | macOS 15.4 | ||||||||||
Políticas de inicio de sesión | macOS 15 | ||||||||||
Creación de cuentas bajo demanda | macOS 14 | ||||||||||
Gestión de grupos y autorización de red | macOS 14 | ||||||||||
Inicio de sesión único en plataforma en Ajustes del Sistema | macOS 14 | ||||||||||
Configurar el inicio de sesión único en plataforma
Para usar el SSO en plataforma, el Mac y todos los usuarios deben registrarse con el IdP. En función de la compatibilidad del IdP y de la configuración aplicada, el Mac puede realizar el registro del dispositivo silencioso en segundo plano mediante:
Un token de registro del IdP proporcionado en la configuración extensible de SSO
Una atestación, que proporciona una garantía sólida de que el Mac es un dispositivo Apple auténtico y que puede incluir opcionalmente los identificadores del dispositivo (UDID y número de serie).
Para mantener una conexión de confianza con el IdP independiente del usuario, el SSO en plataforma admite las claves de dispositivo compartidas. Usa claves de dispositivo compartidas siempre que sea posible, ya que son necesarias para la inscripción automatizada de dispositivos, la creación de cuentas de usuario bajo demanda, la autorización de red y el modo de invitado autenticado.
Después de registrar el dispositivo correctamente, el usuario se registra (a menos que la cuenta de usuario esté usando el modo invitado autenticado). Si el IdP lo requiere, se puede solicitar al usuario que confirme su registro. En el caso de las cuentas locales a demanda, el SSO en plataforma registra al usuario automáticamente en segundo plano.
Nota: Al anular la inscripción de un Mac en el servicio de gestión de dispositivos, su inscripción en el proveedor de identidad (IdP) se anula.
Métodos de autenticación
El SSO en plataforma es compatible con varios métodos de autenticación con un IdP. La compatibilidad con cada uno depende del IdP y de la extensión de SSO en plataforma.
Contraseña: Con este método, un usuario se autentica con una contraseña local o una contraseña de IdP. También es compatible con WS-Trust, que permite al usuario autenticarse, aunque el IdP que gestiona su cuenta esté federado.
Clave almacenada en Secure Enclave: Con este método, un usuario que inicia sesión en su Mac puede usar una clave almacenada en Secure Enclave para autenticarse con el IdP sin contraseña. El IdP configura la clave de Secure Enclave durante el proceso de registro del usuario.
Tarjeta inteligente: Con este método, un usuario se autentica con el IdP mediante una tarjeta inteligente. Para usar este método, debes:
Registrar la tarjeta inteligente con el IdP.
Configurar la asignación de atributos de las tarjetas inteligentes en el Mac.
Para obtener más información y un ejemplo de la configuración de asignación de atributos, consulta la página principal del proyecto Smart Card Services.
Teclas de acceso Con este método, los usuarios usan un pase almacenado en la app Cartera para autenticarse con el IdP. Al igual que una tarjeta inteligente, la clave de acceso debe registrarse con el IdP.
Algunas funcionalidades, como la creación de cuentas de usuario a demanda, requieren que uses un método de autenticación específico.
Característica | Contraseña | Clave almacenada en Secure Enclave | Tarjeta inteligente | Teclas de acceso | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Gestión de grupos |  | | | | |||||||
Inscripción automatizada de dispositivo | | | |  | |||||||
Modo de invitado autenticado | | | | | |||||||
Creación de cuentas bajo demanda | | | | | |||||||
Sincronización de contraseñas | | | | | |||||||
Nota: La extensión de SSO debe ser compatible con el método solicitado para realizar el registro. También puedes cambiar de método; por ejemplo, una cuenta creada con un nombre de usuario y una contraseña puede pasar a usar una clave almacenada en Secure Enclave o una tarjeta inteligente una vez que el inicio de sesión se haya completado correctamente.
Inicio de sesión único en plataforma durante la inscripción automatizada de dispositivos
Las organizaciones pueden activar y aplicar el SSO en plataforma durante el asistente de configuración con la inscripción automatizada de dispositivos. Esta opción es la más adecuada para los dispositivos de un solo usuario. macOS crea automáticamente una cuenta local para el usuario que autentica la inscripción y le permite acceder inmediatamente a las apps web y nativas compatibles mediante SSO.
Si se ha configurado, macOS descarga e instala la extensión y la configuración del SSO en plataforma. Esto puede ocurrir antes de realizar la inscripción real con el servicio de gestión de dispositivos, lo que permite autenticar la inscripción con SSO, o después de la inscripción, cuando el Mac se mantiene en el estado “esperando configuración”. Durante este flujo, el Mac realiza el registro del dispositivo de forma silenciosa o solicitando al usuario que se autentique con su IdP para realizar el registro del usuario. Los usuarios no pueden continuar sin antes completar el registro del SSO en plataforma.
Tras una autenticación exitosa, macOS crea una cuenta local y la contraseña se sincroniza con la del IdP, o el usuario establece una contraseña local (cuando el SSO en plataforma utiliza una clave almacenada en Secure Enclave). Si es necesario, puedes aplicar los requisitos de complejidad de la contraseña local usando la configuración del código.
Si esta función está configurada, macOS puede sincronizar la imagen del perfil de inicio de sesión de la cuenta local desde el IdP.
Puedes usar el SSO en plataforma durante la inscripción automatizada de dispositivos con una actualización de software obligatoria. En este caso, el servicio de gestión de dispositivos debe aplicar primero la actualización.
Si la cuenta de usuario que macOS crea es la única del Mac, se convierte en una cuenta de administrador. Si el servicio de gestión de dispositivos ha creado una cuenta de administrador usando el comando de configuración de cuenta, puedes asignar a la cuenta de usuario diferentes privilegios mediante la gestión de grupos de SSO en plataforma.
inicio de sesión único
Dado que el SSO en plataforma forma parte del inicio de sesión único extensible, los usuarios inician sesión una sola vez y usan ese identificador de autenticación para acceder a las apps web y nativas compatibles.
Si faltan identificadores, han caducado o tienen más de cuatro horas, el SSO en plataforma intenta actualizarlos u obtener unos nuevos del IdP. También puedes configurar cuánto tiempo (mínimo una hora, en segundos) antes de que el SSO en plataforma requiera un inicio de sesión completo en lugar de la actualización del identificador. El valor por omisión es 18 horas.
Inicio de sesión único en plataforma en Ajustes del Sistema
Tras registrarse con el SSO en plataforma, los usuarios pueden comprobar su estado de registro en Ajustes del Sistema > Usuarios y grupos > [nombre de usuario]. A partir de ahí, pueden reparar el registro o actualizar su identificador de autenticación.
El estado del registro del dispositivo se muestra en Usuarios y Grupos > Servidor de cuentas de red, y también ofrece una opción para realizar una reparación.
Sincronización de contraseñas y políticas de inicio de sesión
Si usas el método de autenticación por contraseña, la contraseña del usuario local se sincroniza automáticamente con el IdP cada vez que un usuario cambia su contraseña, ya sea localmente o de forma remota. Si es necesario, macOS avisa al usuario de que introduzca la contraseña anterior.
Por omisión, se requiere la contraseña de la cuenta local para desbloquear FileVault, la pantalla de bloqueo y en la ventana de inicio de sesión. Si la contraseña introducida no coincide con la de la cuenta de usuario local, macOS intenta contactar con el IdP para realizar una autenticación en vivo. Si macOS no puede acceder al IdP o si la contraseña introducida no coincide con la contraseña guardada por el IdP, se produce un error de autenticación.
Con las políticas de inicio de sesión, puedes permitir de inmediato el uso de la contraseña de la cuenta actual del IdP en estos tres avisos. También puedes definir las siguientes políticas individualmente para FileVault, la pantalla de bloqueo y la ventana de inicio de sesión:
Intentar la autenticación.
Si está configurada, se intenta la autenticación en vivo con el IdP.
Si el Mac tiene conexión a internet, es necesario que se autentique correctamente con el IdP para continuar, aunque el Mac se desconecte tras el primer intento.
Si la autenticación es correcta, el SSO en plataforma actualiza la contraseña local.
Si el Mac no tiene conexión a internet, el usuario puede usar la contraseña de su cuenta local.
Requerir autenticación.
Si está configurada, se requiere la autenticación en vivo con el IdP para continuar.
Si el Mac tiene conexión a internet, es necesario que se autentique correctamente con el IdP para continuar, independientemente de que haya configurado un periodo de gracia sin conexión.
Si la autenticación es correcta, el SSO en plataforma actualiza la contraseña local.
Si el Mac no está conectado a la red, los usuarios no pueden iniciar sesión. En esos casos, puedes activar un periodo de gracia sin conexión y establecer el número de días desde el último inicio de sesión correcto durante los cuales el usuario podrá seguir usando la contraseña de la cuenta local.
Puedes definir si cualquier cuenta que inicie sesión en el Mac debe gestionarla el inicio de sesión único en plataforma o si se sigue permitiendo iniciar sesión con cuentas solo locales. También puedes establecer un periodo de gracia (en días) después de que se aplique la política antes de que se inicie la imposición. Esto permite el uso temporal de cuentas locales. Por ejemplo, puedes utilizar temporalmente una cuenta de administrador creada por el servicio de gestión de dispositivos para llevar a cabo o reparar el registro del dispositivo de inicio de sesión único en plataforma.
En lugar de la autenticación en vivo, también puedes permitir a los usuarios usar Touch ID o el Apple Watch en la pantalla de bloqueo.
Si es necesario, las cuentas locales (definidas por ti) pueden quedar exentas de las políticas de inicio de sesión y no se les pedirá que se registren en el SSO en plataforma.
Gestión de grupos y autorización de red
El SSO en plataforma puede proporcionar una gestión más precisa de los permisos aplicando los siguientes privilegios a una cuenta cada vez que el usuario se autentica:
Estándar: La cuenta obtiene privilegios de usuario estándar.
Administrador: Añade la cuenta al grupo de administradores locales.
Grupos: Define los privilegios en función de la pertenencia a grupos, y se actualizan cada vez que el usuario se autentica con el IdP.
Cuando usas grupos, una cuenta obtiene los privilegios en función de su pertenencia a los siguientes grupos:
Grupos de administradores: Si la cuenta forma parte de un grupo incluido en la lista, tiene acceso de administrador local.
Grupos de autorización: Si la cuenta forma parte de un grupo asignado a un derecho de autorización integrado o definido por el usuario, entonces la cuenta tiene privilegios asociados a ese grupo. Por ejemplo, macOS utiliza los siguientes derechos de autorización:
system.preferences.datetime, que permite a la cuenta modificar los ajustes de hora.system.preferences.energysaver, que permite a la cuenta modificar los ajustes de ahorro de energía.system.preferences.network, que permite a la cuenta modificar los ajustes de red.system.preferences.printing, que permite a la cuenta añadir o eliminar impresoras.
Grupos adicionales: Grupos definidos por el usuario para macOS o apps concretas, que macOS crea automáticamente dentro del directorio local (si aún no existen). Por ejemplo, puedes usar un grupo adicional en la configuración de
sudopara definir el accesosudo.
Autorización de red
El SSO en plataforma permite a los usuarios que no tengan una cuenta local en el Mac usar sus credenciales IdP a efectos de autorización. Estas cuentas utilizan los mismos grupos que la gestión de grupos. Por ejemplo, si la cuenta es miembro de uno de los grupos de administradores, puede realizar avisos de autorización para administradores. Para usar esta funcionalidad, configura el inicio de sesión único en plataforma con claves de dispositivo compartidas.
No es posible autorizar la red con avisos de autorización que requieran un token seguro, permisos de propiedad o autenticación por parte del usuario que tiene iniciada la sesión actualmente.
Creación de cuentas bajo demanda
En implementaciones compartidas, los usuarios pueden iniciar sesión con su nombre de usuario y contraseña de IdP o con una tarjeta inteligente para crear una cuenta local automáticamente.
Para conseguir un proceso de aprovisionamiento totalmente automatizado, puedes usar la inscripción automatizada de dispositivos con avance automático. Debes crear la primera cuenta de administrador local mediante un servicio de gestión de dispositivos y realizar el registro silencioso de SSO en plataforma.
Para usar la creación de cuentas bajo demanda, se requiere lo siguiente:
Inscribe el Mac en un servicio de gestión de dispositivos que admita identificadores de arranque.
Añade lo siguiente: una configuración de extensión de SSO con SSO en plataforma, claves de dispositivo compartidas y la opción de crear un usuario al iniciar sesión.
Completa el asistente de configuración y crea una cuenta de administrador local.
Ten el Mac en la ventana de inicio de sesión con FileVault desbloqueado y una conexión de red.
Mediante una configuración opcional, puedes especificar qué atributo del IdP se usará para el nombre de la cuenta local (nombre corto) y para el nombre completo. Los administradores también pueden definir la clave del nombre de la cuenta como com.apple.PlatformSSO.AccountShortName para usar el prefijo UPN.
También puedes definir qué privilegios se aplicarán a las cuentas recién creadas cuando inicien sesión. Estás disponibles las mismas opciones de gestión de grupos:
Estándar: La cuenta obtiene privilegios de usuario estándar.
Administrador: Añade la cuenta al grupo de administradores locales.
Grupos: Define los privilegios en función de la pertenencia a grupos, y se actualizan cada vez que el usuario se autentica con el IdP.
Modo de invitado autenticado
El modo de invitado autenticado simplifica el inicio de sesión en implementaciones compartidas, como centros médicos o escuelas, donde los usuarios inician sesión temporalmente con sus credenciales de IdP y no necesitan una cuenta local persistente. Los usuarios obtienen privilegios de usuario estándar por omisión, pero puedes cambiarlos mediante la gestión de grupos de SSO en plataforma.
Los requisitos son los mismos que los de la creación de cuentas bajo demanda, pero en lugar de la opción de crear un usuario al iniciar sesión, se configura el modo de invitado autenticado.
Cuando un usuario cierra la sesión, macOS borra todos los datos locales de esa cuenta y el Mac compartido queda listo para que el siguiente usuario inicie sesión.
Tocar para iniciar sesión
La función “Tocar para iniciar sesión” permite utilizar las credenciales digitales de la app Cartera de Apple en macOS. Las organizaciones que ya usan credenciales digitales en la app Cartera de Apple (que permiten a los usuarios desbloquear puertas con un iPhone o un Apple Watch) pueden llevar esa misma experiencia al inicio de sesión en el Mac.
Este método de autenticación es especialmente valioso para las organizaciones que comparten un Mac entre varios usuarios, como centros educativos, entornos comerciales y centros sanitarios.
Con “Tocar para iniciar sesión”, los usuarios pueden autenticarse en un Mac configurado para el modo de invitado autenticado acercando el iPhone o Apple Watch a un lector NFC conectado. Esto inicia un proceso de inicio de sesión único seguro que autentica automáticamente a los usuarios en sus apps y sitios web, lo que les permite iniciar sesión y ponerse manos a la obra rápidamente.
Las credenciales de usuario se proporcionan como llaves de acceso en una tarjeta de la app Cartera a través de una app o un navegador del iPhone. Estas claves de acceso se almacenan en el Secure Enclave del dispositivo, lo que las hace más seguras y difíciles de extraer o manipular. El modo exprés permite la autenticación inmediata sin que los usuarios tengan que reactivar o desbloquear el dispositivo, de forma similar a como funcionan las tarjetas de transporte público en la app Cartera de Apple.
Para implementar la funcionalidad “Tocar para iniciar sesión”, el Mac debe cumplir los siguientes requisitos:
Estar configurado para el modo de invitado autenticado.
Estar equipado con un lector NFC externo compatible.
Para crear y gestionar llaves de acceso, debes participar en el programa de acceso mediante la app Cartera. Para obtener más información sobre cómo crear una clave de acceso, consulta Aprovisionamiento en la guía de uso del programa de acceso mediante la app Cartera de Apple.