macOS के लिए Platform Single Sign-on

अवलोकन

Platform Single Sign-on (Platform SSO) आपको या पहचान प्रबंधन डेवलपर को ऐसे SSO एक्सटेंशन बनाने की अनुमति देता है जो यूज़र को सेटअप सहायक के दौरान Mac पर अपने संगठन के आइडेंटिटी प्रोवाइडर (IdP) खाते के साथ प्रमाणित करने की अनुमति देते हैं। निम्नलिखित बातों को ध्यान में रखते हुए प्लैटफ़ॉर्म SSO को अन्य SSO एक्सटेंशन के साथ संयोजित किया जा सकता है :

• किसी विशिष्ट डोमेन को केवल एकल SSO एक्सटेंशन द्वारा ही हैंडल किया जा सकता है।

• Kerberos SSO कॉन्फ़िगरेशन में syncLocalPassword को false पर सेट करने की आवश्यकता है।

फ़ीचर

प्लैटफ़ॉर्म SSO निम्नलिखित फ़ीचर का समर्थन करता है :

• नामांकन प्रमाणित करने, प्रबंधित Apple खाते से साइन इन करने और स्थानीय यूज़र बनाने के लिए ऑटोमेटेड डिवाइस नामांकन के दौरान प्लैटफ़ॉर्म SSO सक्रिय और लागू करें।

• नेटिव और वेब ऐप्स के लिए सिंगल साइन-ऑन अनुभव प्रदान करें।

• सिस्टम सेटिंग में प्लैटफ़ॉर्म SSO स्टेटस और पंजीकरण विवरण देखें।

• स्थानीय यूज़र खातों के पासवर्ड IdP के साथ सिंक्रोनाइज़ करें और लॉगइन नीतियाँ निर्धारित करें।

• IdP खातों की समूह अनुमतियाँ निर्धारित करें और लोगों को प्रमाणीकरण संकेत पर केवल नेटवर्क IdP खातों का उपयोग करने की अनुमति दें।

• IdP खाते के क्रेडेंशियल से लॉगइन करते समय माँग के अनुसार स्थानीय यूज़र खाते बनाएँ।

• शेयर किए गए Mac कंप्यूटर पर अपने IdP क्रेडेंशियल के साथ अस्थायी रूप से लॉग इन करने वाले अतिथि यूज़र का समर्थन करें।

आवश्यकताएँ

• Apple silicon वाला Mac या Touch ID वाला Intel-आधारित Mac

• डिवाइस प्रबंधन सेवा जो ऐसे एक्सटेंसिबल सिंगल साइन-ऑन कॉन्फ़िगरेशन का समर्थन करती है जिसमें प्लैटफ़ॉर्म SSO के लिए सेटिंग शामिल है

• ऐप जिसमें IdP के साथ संगत प्लैटफ़ॉर्म SSO एक्सटेंशन है

• macOS 13 या बाद के संस्करण

निम्नलिखित फ़ीचर के लिए अतिरिक्त संस्करण आवश्यकताएँ हैं :

प्लैटफ़ॉर्म SSO सेटअप करें

प्लैटफ़ॉर्म SSO का उपयोग करने के लिए Mac और प्रत्येक यूज़र के लिए IdP में पंजीकृत होना आवश्यक है। IdP समर्थन और लागू कॉन्फ़िगरेशन के आधार पर Mac बैकग्राउंड में इनका उपयोग करके डिवाइस पंजीकरण मौन रूप से कर सकता है :

• विस्तार योग्य SSO कॉन्फ़िगरेशन में प्रदान किया गया IdP का पंजीकरण टोकन

• अटेस्टेशन, जो Mac के असली Apple डिवाइस होने का वास्तविक आश्वासन देता है और इसमें वैकल्पिक रूप से डिवाइस आइडेंटिफ़ायर (UDID और सीरियल नंबर) शामिल किए जा सकते हैं।

यूज़र से स्वतंत्र IdP के साथ विश्वसनीय कनेक्शन बनाए रखने के लिए, प्लैटफ़ॉर्म SSO शेयर की गई डिवाइस कीज़ का समर्थन करता है। जब भी संभव हो शेयर किए गए डिवाइस कीज़ का उपयोग करें, वे “ऑटोमेटेड डिवाइस नामांकन”, माँग पर खाता बनाना, नेटवर्क ऑथराइज़ेशन और प्रमाणित अतिथि मोड के लिए आवश्यक हैं

डिवाइस सफलतापूर्वक पंजीकृत होने के बाद यूज़र भी पंजीकृत हो जाता है, जब तक कि खाता “प्रमाणित अतिथि मोड” का उपयोग न कर रहा हो। यदि IdP को इसकी आवश्यकता है, तो यूज़र को उनके पंजीकरण की पुष्टि करने के लिए संकेत दिया जा सकता है। ऑन-डिमांड स्थानीय खातों के लिए, प्लैटफ़ॉर्म SSO यूज़र को बैकग्राउंड में ऑटोमैटिकली पंजीकृत करता है।

ऑथेंटिकेशन विधियाँ

प्लैटफ़ॉर्म SSO IdP के साथ विभिन्न प्रमाणन विधियों का समर्थन करता है। प्रत्येक के लिए समर्थन IdP और प्लैटफ़ॉर्म SSO एक्सटेंशन पर निर्भर करता है।

• पासवर्ड : इस विधि के साथ, यूज़र स्थानीय पासवर्ड या IdP पासवर्ड की मदद से प्रमाणित करता है। यह WS-Trust का भी समर्थन करता है, जिससे यूज़र को फ़ेडरेटेड होने पर भी प्रमाणित करने की अनुमति मिलती है।

• Secure Enclave–समर्थित “की” : इस विधि के साथ, Mac में लॉगइन करने वाला यूज़र पासवर्ड के बिना IdP की मदद से प्रमाणित करने के लिए Secure Enclave–समर्थित की का उपयोग कर सकता है। यूज़र पंजीकरण प्रक्रिया के दौरान IdP Secure Enclave “की” सेटअप करता है।

• स्मार्ट कार्ड : इस विधि के साथ, यूज़र स्मार्ट कार्ड का इस्तेमाल करके IdP की मदद से प्रमाणित करता है। इस विधि का उपयोग करने के लिए आपको यह करना होगा :

  • स्मार्ट कार्ड को IdP के साथ पंजीकृत करें।

  • Mac पर स्मार्ट कार्ड विशेषता मैपिंग कॉन्फ़िगर करें।

    विशेषता मैपिंग कॉन्फ़िगरेशन के विवरण और उदाहरण देखने हैं, तो स्मार्ट कार्ड सेवाएँ प्रोजेक्ट के लिए मैने पृष्ठ देखें।

• “की” ऐक्सेस करें : इस विधि से, यूज़र IdP के साथ प्रमाणित करने के लिए Apple Wallet में संग्रहित पास का उपयोग करते हैं। स्मार्ट कार्ड के समान ऐक्सेस-की को IdP के साथ पंजीकृत करना आवश्यक है।

“माँग पर खाता बनाना” जैसे कुछ फ़ीचर के लिए विशिष्ट प्रमाणन विधि की ज़रूरत होती है।

फ़ीचर				पासवर्ड		Secure Enclave–समर्थित “की”		स्मार्ट कार्ड		ऐक्सेस-की
समूह प्रबंधन
ऑटोमेटेड डिवाइस नामांकन
प्रमाणित अतिथि मोड
ऑन-डिमांड खाता निर्माण
पासवर्ड सिंक्रोनाइज़ेशन

ऑटोमेटेड डिवाइस नामांकन प्रक्रिया के साथ प्लैटफ़ॉर्म SSO

ऑर्गेनाइज़ेशन ऑटोमेटेड डिवाइस नामांकन के साथ सेटअप सहायक के दौरान प्लैटफ़ॉर्म SSO को सक्रिय और लागू कर सकते हैं। यह विकल्प सिंगल यूज़र डिवाइस के लिए सबसे अच्छा काम करता है। macOS नामांकन प्रमाणित करने वाले यूज़र के लिए ऑटोमैटिकली स्थानीय खाता बनाता है, जिससे उन्हें समर्थित नैटिव और वेब ऐप्स तक तुरंत SSO ऐक्सेस मिलता है।

कॉन्फ़िगर किए जाने पर, macOS प्लैटफ़ॉर्म SSO एक्सटेंशन और कॉन्फ़िगरेशन डाउनलोड और इंस्टॉल करता है। यह डिवाइस प्रबंधन सेवा के साथ वास्तविक नामांकन करने से पहले हो सकता है जो SSO के साथ नामांकन को प्रमाणित करने की अनुमति देता है या नामांकन के बाद जब Mac को प्रतीक्षा कॉन्फ़िगरेशन स्थिति में रखा जाता है। इस फ़्लो के दौरान Mac या तो मौन रूप से या यूज़र को संकेत देकर डिवाइस पंजीकरण करता है और यूज़र पंजीकरण करने के लिए यूज़र से उनके IdP से प्रमाणीकरण करने के लिए कहता है। सफल प्लैटफ़ॉर्म SSO पंजीकरण के बिना यूज़र आगे नहीं बढ़ सकते हैं।

सफल प्रमाणीकरण के बाद, macOS स्थानीय खाता बनाता है और पासवर्ड IdP के साथ सिंक हो जाता है या यूज़र स्थानीय पासवर्ड सेट करता है (जब प्लैटफ़ॉर्म SSO Secure Enclave–समर्थित “की” का उपयोग करता है) । यदि आवश्यक हो, तो आप पासकोड कॉन्फ़िगरेशन का उपयोग करके स्थानीय पासवर्ड के लिए पासवर्ड जटिलता आवश्यकताओं को लागू कर सकते हैं।

कॉन्फ़िगर किए जाने पर macOS स्थानीय खाता लॉगइन प्रोफ़ाइल तस्वीर को IdP से सिंक कर सकता है।

आप जबरन सॉफ़्टवेयर अपडेट के साथ ऑटोमेटेड डिवाइस नामांकन के दौरान प्लैटफ़ॉर्म SSO का उपयोग कर सकते हैं। इस स्थिति में डिवाइस प्रबंधन सेवा को पहले अपडेट लागू करना होगा।

यदि macOS द्वारा बनाया गया यूज़र खाता Mac पर अकेला खाता है, तो वह ऐडमिनिस्ट्रेटर खाता बन जाता है। यदि डिवाइस प्रबंधन सेवा ने खाता कॉन्फ़िगरेशन कमांड का उपयोग करके ऐडमिनिस्ट्रेटर खाता बनाया है, तो आप प्लैटफ़ॉर्म SSO समूह प्रबंधन का उपयोग करके यूज़र खाते को अलग-अलग विशेषाधिकार असाइन कर सकते हैं।

सिंगल साइन-ऑन

चूँकि प्लैटफ़ॉर्म SSO एक्सटेंसिबल SSO का हिस्सा है, यूज़र एक बार लॉगइन करते हैं और समर्थित नैटिव और वेब ऐप्स को ऐक्सेस करने के लिए उस प्रमाणन टोकन का उपयोग करते हैं।

यदि टोकन अनुपलब्ध हैं, उनकी समय सीमा समाप्त हो चुकी है या चार घंटे से ज़्यादा पुराने हैं, तो प्लैटफ़ॉर्म SSO IdP से उन्हें रीफ़्रेश करने या नए टोकन प्राप्त करने की कोशिश करता है। आप प्लैटफ़ॉर्म SSO के लिए टोकन रीफ़्रेश के बजाय पूर्ण लॉगइन की आवश्यकता होने से पहले कितने समय (न्यूनतम एक घंटा, सेकंड में) तक कॉन्फ़िगर कर सकते हैं। डिफ़ॉल्ट 18 घंटे है।

सिस्टम सेटिंग में प्लैटफ़ॉर्म SSO

प्लैटफ़ॉर्म SSO के साथ पंजीकरण करने के बाद, यूज़र सिस्टम सेटिंग > यूज़र और समूह > [यूज़रनेम] में जाकर अपना पंजीकरण स्टेटस देख सकते हैं। वहाँ से वे पंजीकरण की मरम्मत कर सकते हैं या अपने प्रमाणन टोकन को रीफ़्रेश कर सकते हैं।

डिवाइस पंजीकरण स्टेटस यूज़र और समूह > नेटवर्क खाता सर्वर में दिखाई देता है और मरम्मत करने का विकल्प भी प्रदान करता है।

पासवर्ड सिंक्रोनाइज़ेशन और लॉगइन से संबंधित नीतियाँ

यदि आप पासवर्ड प्रमाणन विधि का उपयोग करते हैं, तो स्थानीय यूज़र पासवर्ड ऑटोमैटिकली IdP के साथ सिंक हो जाता है जब भी यूज़र अपना पासवर्ड बदलता है, चाहे वह स्थानीय रूप से हो या रिमोटली। आवश्यक होने पर, macOS यूज़र को उनके पिछले पासवर्ड के लिए संकेत देता है।

डिफ़ॉल्ट रूप से, FileVault, लॉक स्क्रीन और लॉगइन विंडो अनलॉक करने के लिए स्थानीय खाता पासवर्ड आवश्यक होता है। यदि दर्ज किया गया पासवर्ड स्थानीय यूज़र खाते के पासवर्ड से मेल नहीं खाता है, तो macOS लाइव प्रमाणन करने के लिए IdP तक पहुँचने की कोशिश करता है। यदि macOS IdP तक नहीं पहुँच पाता है या दर्ज किया गया पासवर्ड IdP द्वारा संग्रहित पासवर्ड से मेल नहीं खाता है, तो प्रमाणन विफल हो जाता है।

लॉगइन नीतियों के साथ आप इन तीनों प्रॉम्प्ट पर IdP से वर्तमान खाता पासवर्ड के उपयोग को तुरंत अनुमति दे सकते हैं। आप FileVault, लॉक स्क्रीन और लॉगइन विंडो के लिए ये नीतियाँ अलग-अलग भी सेट कर सकते हैं :

• प्रमाणन की कोशिश करें।

  • कॉन्फ़िगर किए जाने पर IdP के साथ लाइव प्रमाणन की कोशिश की जाती है।

  • अगर Mac ऑनलाइन है, तो पहली कोशिश के बाद Mac ऑफ़लाइन रहने पर भी IdP के साथ सफल प्रमाणन करना जारी रखने के लिए आवश्यक है।

    यदि प्रमाणन सफल होता है, तो प्लैटफ़ॉर्म SSO स्थानीय पासवर्ड अपडेट करता है।

  • यदि Mac ऑफ़लाइन है, तो यूज़र अपने स्थानीय खाता पासवर्ड का उपयोग कर सकता है।

• प्रमाणन आवश्यक है।

  • कॉन्फ़िगर किए जाने पर आगे बढ़ने के लिए IdP के साथ लाइव प्रमाणन आवश्यक है।

  • यदि Mac ऑनलाइन है, तो कॉन्फ़िगर किए गए ऑफ़लाइन ग्रेस पीरियड की परवाह किए बिना आगे बढ़ने के लिए IdP के साथ सफल प्रमाणन आवश्यक है।

    यदि प्रमाणन सफल होता है, तो प्लैटफ़ॉर्म SSO स्थानीय पासवर्ड अपडेट करता है।

  • यदि Mac ऑफ़लाइन है, तो यूज़र लॉगइन नहीं कर सकते हैं। ऐसी स्थितियों में आप ऑफ़लाइन ग्रेस पीरियड सक्षम कर सकते हैं और उसे पिछले सफल लॉगइन के बाद के दिनों की संख्या पर सेट कर सकते हैं, जिसके दौरान यूज़र स्थानीय खाता पासवर्ड का उपयोग जारी रख सकता है।

  • आप यह निर्धारित कर सकते हैं कि Mac में लॉगइन करने वाले किसी खाते को प्लैटफ़ॉर्म SSO द्वारा प्रबंधित किया जाना चाहिए या नहीं या अभी भी केवल स्थानीय खातों की ही अनुमति है। आप नीति लागू होने के बाद प्रवर्तन शुरू होने से पहले एक छूट अवधि (दिनों में) भी सेट कर सकते हैं। यह स्थानीय खातों के अस्थायी उपयोग की अनुमति देता है। उदाहरण के लिए, आप प्लैटफ़ॉर्म SSO डिवाइस पंजीकरण करने या उसकी मरम्मत करने के लिए डिवाइस प्रबंधन सेवा द्वारा बनाए गए ऐडमिनिस्ट्रेटर खाते का अस्थायी रूप से उपयोग कर सकते हैं।

  • लाइव प्रमाणन के बजाए आप यूज़र को लॉक स्क्रीन पर Touch ID या Apple Watch का उपयोग करने की अनुमति भी दे सकते हैं।

यदि आवश्यक हो, तो स्थानीय खातों (आपके द्वारा परिभाषित) को लॉगइन नीति से छूट दी जा सकती है और उन्हें प्लैटफ़ॉर्म SSO के लिए पंजीकृत करने के लिए संकेत नहीं दिया जाएगा।

समूह प्रबंधन और नेटवर्क ऑथराइज़ेशन

प्लैटफ़ॉर्म SSO यूज़र द्वारा प्रमाणीकरण किए जाने पर हर बार किसी खाते पर निम्नलिखित विशेषाधिकार लागू करके ग्रेन्युलर अधिकार प्रबंधन प्रदान कर सकता है :

• मानक : खाते को मानक यूज़र विशेषाधिकार मिलते हैं।

• ऐडमिनिस्ट्रेटर : खाते को स्थानीय ऐडमिनिस्ट्रेटर समूह में जोड़ता है।

• समूह : समूह सदस्यता के अनुसार विशेषाधिकार परिभाषित करें, जो हर बार यूज़र द्वारा IdP के साथ प्रमाणित करने पर अपडेट होते हैं।

जब आप समूहों का उपयोग करते हैं, तो निम्नलिखित के लिए सदस्यता के आधार पर खाते को विशेषाधिकार मिलते हैं :

• ऐडमिनिस्ट्रेटर समूह : यदि खाता सूचीबद्ध समूह का हिस्सा है, तो उनके पास स्थानीय ऐडमिनिस्ट्रेटर ऐक्सेस है।

• ऑथराइज़ेशन समूह : यदि खाता बिल्ट-इन या कस्टम-परिभाषित अधिकृत अधिकार को असाइन किए गए समूह का हिस्सा है, तो खाते में उस समूह से संबद्ध विशेषाधिकार होंगे। उदाहरण के लिए, macOS निम्नलिखित अधिकृत अधिकारों का उपयोग करता है :

  • system.preferences.datetime, जो खाते को समय सेटिंग संशोधित करने की अनुमति देता है।

  • system.preferences.energysaver, जो खाता को ऊर्जा बचत सेटिंग संशोधित करने की अनुमति देता है।

  • system.preferences.network, जो खाते को नेटवर्क सेटिंग संशोधित करने की अनुमति देता है।

  • system.preferences.printing, जो खाते को प्रिंटर जोड़ने या हटाने की अनुमति देता है।

• अतिरिक्त समूह : macOS या विशिष्ट ऐप्स के लिए कस्टम-परिभाषित समूह, जिन्हें macOS स्थानीय डायरेक्टरी के अंदर ऑटोमैटिकली बनाता है (यदि वे पहले से मौजूद नहीं हैं)। उदाहरण के लिए, आप sudo ऐक्सेस को निर्धारित करने के लिए sudo कॉन्फ़िगरेशन में अतिरिक्त समूह का उपयोग कर सकते हैं।

नेटवर्क ऑथराइज़ेशन

प्लैटफ़ॉर्म SSO स्थानीय Mac खाते के बिना यूज़र को प्रमाणीकरण के लिए अपने IdP क्रेडेंशियल का उपयोग करने की अनुमति देता है। ये खाते समूह प्रबंधन के तौर पर समान समूहों का ही उपयोग करते हैं। उदाहरण के लिए, यदि खाता किसी ऐडमिनिस्ट्रेटर समूह का सदस्य है, तो यह ऐडमिनिस्ट्रेटर ऑथराइज़ेशन संकेत कर सकता है। इस फ़ंक्शनैलिटी का उपयोग करने के लिए शेयर की गई डिवाइस कीज़ के साथ प्लैटफ़ॉर्म SSO कॉन्फ़िगर करें।

सुरक्षित टोकन, ओनरशिप अनुमतियाँ या वर्तमान में लॉगइन किए गए यूज़र द्वारा प्रमाणन की आवश्यकता वाले अधिकृत संकेत के साथ नेटवर्क अधिकृत करना संभव नहीं है।

ऑन-डिमांड खाता निर्माण

शेयर किए गए डिप्लॉयमेंट में, यूज़र अपने IdP यूज़रनेम और पासवर्ड या स्मार्ट कार्ड का उपयोग करके ऑटोमैटिकली स्थानीय खाता बना सकते हैं।

ऑटो एडवांस के साथ ऑटोमेटेड डिवाइस नामांकन का उपयोग करके आप पूरी तरह ऑटोमेटेड प्रोविज़निंग प्रक्रिया प्राप्त कर सकते हैं। आपको डिवाइस प्रबंधन सेवा का उपयोग करके पहला स्थानीय ऐडमिनिस्ट्रेटर खाता बनाना होगा और मौन प्लैटफ़ॉर्म SSO पंजीकरण करना होगा।

ऑन-डिमांड खाता बनाने वाले फ़ीचर का उपयोग करने के लिए निम्नलिखित आवश्यक हैं :

• Mac को डिवाइस प्रबंधन सेवा में नामांकित करें जो बूटस्ट्रैप टोकन का समर्थन करती है।

• निम्नलिखित जोड़ें : प्लैटफ़ॉर्म SSO, शेयर की गई डिवाइस कीज़ और लॉगइन पर यूज़र बनाने के विकल्प के साथ SSO एक्सटेंशन कॉन्फ़िगरेशन।

• सेटअप सहायक पूरा करें और स्थानीय ऐडमिनिस्ट्रेटर खाता बनाएँ।

• FileVault अनलॉक और नेटवर्क कनेक्शन के साथ Mac को लॉगइन विंडो पर रखें।

वैकल्पिक कॉन्फ़िगरेशन का उपयोग करके, आप निर्दिष्ट कर सकते हैं कि स्थानीय खाता नाम (संक्षिप्त नाम) और पूरे नाम के लिए किस IdP ऐट्रिब्यूट का उपयोग करना है। UPN प्रीफ़िक्स का उपयोग करने के लिए व्यवस्थापक com.apple.PlatformSSO.AccountShortName के लिए खाता नाम की भी “की” सेट कर सकते हैं।

इसके अतिरिक्त, आप यह परिभाषित कर सकते हैं कि लॉगइन पर नए बनाए गए खातों पर कौन से विशेषाधिकार लागू किए जाएँ। समूह प्रबंधन के लिए समान विकल्प उपलब्ध हैं :

• मानक : खाते को मानक यूज़र विशेषाधिकार मिलते हैं।

• ऐडमिनिस्ट्रेटर : खाते को स्थानीय ऐडमिनिस्ट्रेटर समूह में जोड़ता है।

• समूह : समूह सदस्यता के अनुसार विशेषाधिकार परिभाषित करें, जो हर बार यूज़र द्वारा IdP के साथ प्रमाणित करने पर अपडेट होते हैं।

प्रमाणित अतिथि मोड

प्रमाणित गेस्ट मोड शेयर किए गए डिप्लॉयमेंट के लिए एक सुव्यवस्थित लॉगइन अनुभव प्रदान करता है, जैसे कि मेडिकल कार्यालय या स्कूल, जहाँ यूज़र अपने IdP क्रेडेंशियल के साथ अस्थायी तौर पर साइन इन करते हैं और उन्हें स्थायी स्थानीय खाते की ज़रूरत नहीं होती है। यूज़र को डिफ़ॉल्ट रूप से मानक यूज़र विशेषाधिकार मिलते हैं, लेकिन आप प्लैटफ़ॉर्म SSO समूह प्रबंधन का उपयोग करके उन विशेषाधिकार को बदल सकते हैं।

आवश्यकताएँ ऑन-डिमांड खाता बनाने जैसी ही हैं, अंतर यह है कि आप लॉगिन पर यूज़र बनाने के विकल्प के बजाय प्रमाणित अतिथि मोड कॉन्फ़िगर करते हैं।

जब यूज़र लॉग आउट करता है, तो macOS उस खाते के लिए सभी स्थानीय डेटा मिटा देता है और शेयर किया गया Mac अगले यूज़र के लॉग इन करने के लिए तैयार हो जाता है।

लॉगइन करने के लिए टैप करें

“लॉगइन करने के लिए टैप करें” से Apple Wallet डिजिटल क्रेडेंशियल समर्थन macOS में आता है। जिन संगठनों द्वारा Apple Wallet (यूज़र को iPhone या Apple Watch से दरवाज़े अनलॉक करने की सुविधा) में पहले से डिजिटल बैज का इस्तेमाल किया जा रहा है, वे अब Mac लॉगिन के लिए उसी अनुभव का विस्तार कर सकते हैं।

यह प्रमाणन विधि उन संगठनों के लिए ख़ास तौर पर मूल्यवान है जो शैक्षणिक संस्थान, रिटले इन्वायरन्मेंट और स्वास्थ्य सेवा सुविधाएँ सहित कई यूज़र के बीच Mac शेयर करते हैं।

“लॉगइन करने के लिए टैप करें” के साथ यूज़र प्रमाणित अतिथि मोड के लिए कॉन्फ़िगर किए गए Mac पर प्रमाणित हो सकते हैं जब वे अपने iPhone या Apple Watch को अटैच किए गए NFC रीडर पर टैप करते हैं। यह एक सुरक्षित सिंगल साइन-ऑन प्रक्रिया शुरू करता है जो यूज़र को उनके ऐप्स और वेबसाइट पर ऑटोमैटिकली प्रमाणित करता है जिससे वे तेज़ी से लॉगइन कर सकते हैं और काम शुरू कर सकते हैं।

यूज़र क्रेडेंशियल को iPhone ऐप या ब्राउज़र के ज़रिए Apple Wallet पास में ऐक्सेस की के रूप में प्रोविज़न किया जाता है। ये ऐक्सेस कीज़ डिवाइस के Secure Enclave में संग्रहित की जाती हैं, जिससे वे हार्डवेयर समर्थित और एंक्रिप्टेड बन जाती हैं और टैंपरिंग या एक्सट्रैक्शन की कोशिशों से सुरक्षा मिलती है। एक्सप्रेस मोड से यूज़र को अपने डिवाइस को सक्रिय करने या अनलॉक किए बिना तत्काल प्रमाणन करने की अनुमति मिलती है जो सुविधाजनक है, ठीक उसी तरह जैसे Apple Wallet में ट्रैंज़िट कार्ड काम करते हैं।

“लॉगइन करने के लिए टैप करें” फ़ंक्शनैलिटी लागू करने के लिए Mac होना चाहिए :

• प्रमाणित अतिथि मोड के लिए कॉन्फ़िगर किया गया

• समर्थित बाहरी NFC रीडर के साथ

ऐक्सेस की बनाने और प्रबंधित करने के लिए Apple Wallet ऐक्सेस प्रोग्राम में सहभागिता आवश्यक है। ऐक्सेस “की” बनाने के बारे में अधिक जानकारी के लिए Apple Wallet ऐक्सेस प्रोग्राम गाइड में प्रोविज़निंग देखें।