Jednokrotne logowanie na platformie dla systemu macOS
Omówienie
Funkcja pojedynczego logowania na platformie (Platform SSO) pozwala Tobie (lub deweloperowi specjalizującemu się w zarządzaniu tożsamością) tworzyć rozszerzenia SSO, które umożliwiają użytkownikom używającym Asystenta konfiguracji na Macu uwierzytelnianie się za pomocą konta dostawcy tożsamości (IdP) Twojej organizacji. Możesz połączyć SSO na platformie z innymi rozszerzeniami SSO, pamiętając o następujących kwestiach:
Domenę może obsługiwać tylko jedno rozszerzenie SSO.
W konfiguracji Kerberos SSO należy ustawić wartość
syncLocalPasswordnafalse.
Funkcje
Funkcje obsługiwane przez SSO na platformie:
Aktywowanie i egzekwowanie SSO na platformie podczas automatycznej rejestracji urządzenia w celu uwierzytelnienia rejestracji, logowania za pomocą zarządzanego konta Apple oraz tworzenia użytkownika lokalnego.
Zapewnienie funkcji logowania pojedynczego dla aplikacji natywnych i internetowych.
Wyświetlanie statusu SSO na platformie oraz szczegółów rejestracji w Ustawieniach systemowych.
Synchronizowanie haseł lokalnych kont użytkowników z dostawcą tożsamości i definiowanie zasad logowania.
Definiowanie uprawnień grupy kont IdP i zezwalanie użytkownikom na korzystanie z wyłącznie sieciowych kont IdP podczas wyświetlania próśb o uwierzytelnienie.
Tworzenie lokalnych kont użytkowników na żądanie podczas logowania się przy użyciu poświadczeń z konta IdP.
Obsługa użytkowników-gości, którzy logują się tymczasowo przy użyciu swoich poświadczeń IdP na współdzielonych komputerach Mac.
Uwaga: Większość funkcji wymaga obsługi przez rozszerzenie SSO. Aby uzyskać więcej informacji na temat wdrażania SSO na platformie w Twojej organizacji, zapoznaj się z dokumentacją dostawcy tożsamości.
Wymagania
Mac z układem scalonym Apple lub Mac z procesorem Intel i czytnikiem Touch ID
Usługa zarządzania urządzeniami obsługująca konfigurację Extensible Single Sign-on obejmującą ustawienia pojedynczego logowania na platformie
Aplikacja zawierająca rozszerzenie SSO na platformie zgodne z dostawcą tożsamości
macOS 13 lub nowszy
Poniższe funkcje mają dodatkowe wymagania dotyczące wersji:
Funkcja | Minimalna obsługiwana wersja systemu operacyjnego | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Uwierzytelniony tryb gościa | macOS 26 | ||||||||||
Logowanie się stuknięciem | macOS 26 | ||||||||||
SSO na platformie podczas automatycznej rejestracji urządzenia | macOS 26 | ||||||||||
Prefiks UPN jako nazwa konta lokalnego | macOS 15.4 | ||||||||||
Atestacja identyfikatorów urządzeń | macOS 15.4 | ||||||||||
Zasady logowania | macOS 15 | ||||||||||
Tworzenie kont na żądanie | macOS 14 | ||||||||||
Zarządzanie grupami i uwierzytelnianie sieciowe | macOS 14 | ||||||||||
SSO na platformie w Ustawieniach systemowych | macOS 14 | ||||||||||
Konfigurowanie SSO na platformie
Aby używać SSO na platformie, wymagana jest rejestracja Maca i każdego użytkownika u dostawcy tożsamości. W zależności od obsługi przez dostawcę tożsamości oraz zastosowanej konfiguracji Mac może wykonywać rejestrację urządzenia w tle, używając:
Tokenu rejestracji dostawcy tożsamości podanego w konfiguracji rozszerzalnego SSO.
Atestacji, która zapewnia wysoki poziom pewności co do tego, że Mac jest autentycznym urządzeniem Apple, oraz opcjonalnie zawierającej identyfikatory urządzenia (UDID i numer seryjny).
Aby utrzymywać zaufane połączenie z dostawcą tożsamości niezależnie od użytkownika, SSO na platformie obsługuje wspólne klucze urządzenia. Zawsze, gdy to możliwe, używaj kluczy urządzeń współdzielonych — są one wymagane do automatycznej rejestracji urządzeń, tworzenia kont na żądanie, autoryzowania w sieci oraz używania uwierzytelnionego trybu gościa.
Po pomyślnym zarejestrowaniu urządzenia użytkownik również rejestruje się, chyba że konto używa uwierzytelnionego trybu gościa. Jeśli dostawca tożsamości tego wymaga, użytkownik może zostać poproszony o potwierdzenie rejestracji. W przypadku lokalnych kont tworzonych na żądanie SSO na platformie rejestruje użytkownika automatycznie w tle.
Uwaga: Wyrejestrowanie Maca z usługi zarządzania urządzeniami powoduje także jego wyrejestrowanie z rejestru dostawcy tożsamości.
Metody uwierzytelniania
SSO na platformie obsługuje różne metody uwierzytelniania u dostawcy tożsamości. Obsługa każdej z nich zależy od dostawcy tożsamości oraz rozszerzenia SSO na platformie.
Hasło: W ramach tej metody użytkownik uwierzytelnia się za pomocą hasła lokalnego lub hasła dostawcy tożsamości. Obsługuje także standard WS-Trust, który pozwala użytkownikowi uwierzytelniać się, nawet gdy dostawca tożsamości zarządzający jego kontem jest sfederowany.
Klucz obsługiwany przez Secure Enclave: Dzięki tej metodzie użytkownik, który loguje się na swoim komputerze Mac, może użyć klucza obsługiwanego przez Secure Enclave, aby uwierzytelnić się za pomocą dostawcy tożsamości bez hasła. Klucz Secure Enclave jest konfigurowany przez dostawcę usług tożsamości podczas rejestracji użytkownika.
Karta inteligentna: W ramach tej metody użytkownik uwierzytelnia się za pomocą dostawcy tożsamości przy użyciu karty inteligentnej. Aby używać tej metody, należy:
Zarejestrować kartę inteligentną u dostawcy tożsamości.
Skonfigurować mapowanie atrybutów karty inteligentnej na Macu.
Szczegółowe informacje i przykład konfiguracji mapowania atrybutów znajdziesz na stronie man projektu Smart Card Services.
Klucz dostępu: W ramach tej metody użytkownicy używają karty przechowywanej w Portfelu Apple do uwierzytelniania się u dostawcy tożsamości. Podobnie jak karta inteligentna, klucz dostępu musi zostać zarejestrowany u dostawcy tożsamości.
Niektóre funkcje, takie jak tworzenie kont na żądanie, wymagają użycia określonej metody uwierzytelniania.
Funkcja | Hasło | Klucz obsługiwany przez Secure Enclave | Karta inteligentna | Klucz dostępu | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Zarządzanie grupami |  | | | | |||||||
Automatyczna rejestracja urządzenia | | | |  | |||||||
Uwierzytelniony tryb gościa | | | | | |||||||
Tworzenie kont na żądanie | | | | | |||||||
Synchronizacja haseł | | | | | |||||||
Uwaga: Aby umożliwić ukończenie rejestracji, rozszerzenie SSO musi obsługiwać żądaną metodę. Dozwolone są również zmiany metody, na przykład po pomyślnym zalogowaniu się konto utworzone przy użyciu nazwy użytkownika i hasła można przełączyć na korzystanie z klucza obsługiwanego przez Secure Enclave lub karty inteligentnej.
SSO na platformie z automatyczną rejestracją urządzenia
Organizacje mogą aktywować i wymuszać używanie SSO na platformie podczas korzystania z Asystenta ustawień w przypadku automatycznej rejestracji urządzeń. Ta opcja jest najbardziej odpowiednia dla urządzeń z jednym użytkownikiem. macOS automatycznie tworzy konto lokalne dla użytkownika uwierzytelniającego rejestrację, umożliwiając mu natychmiastowy dostęp SSO do obsługiwanych aplikacji natywnych i internetowych.
Jeśli rozszerzenie oraz konfiguracja SSO na platformie są skonfigurowane, system macOS pobiera je i instaluje. Może się to zdarzyć przed faktycznym przeprowadzeniem rejestracji w usłudze zarządzania urządzeniami, która umożliwia uwierzytelnianie rejestracji za pomocą SSO, lub po rejestracji, gdy Mac jest w stanie oczekiwania na konfigurację. W ramach tego procesu Mac wykonuje rejestrację urządzenia (w tle lub prosząc użytkownika), a następnie prosi użytkownika o uwierzytelnienie się u dostawcy tożsamości w celu zarejestrowania się. Użytkownicy nie mogą kontynuować bez pomyślnej rejestracji w funkcji SSO na platformie.
Po pomyślnym uwierzytelnieniu się system macOS tworzy konto lokalne, a jego hasło jest albo synchronizowane z dostawcą tożsamości albo ustawiane przez użytkownika (gdy SSO na platformie używa klucza obsługiwanego przez Secure Enclave). W razie potrzeby można wymusić wymagania dotyczące złożoności hasła lokalnego, korzystając z konfiguracji kodu.
Jeśli to skonfigurowano, system macOS może następnie synchronizować zdjęcie profilowe logowania konta lokalnego od dostawcy tożsamości.
Funkcja SSO na platformie może zostać użyta podczas procesu automatycznej rejestracji z wymuszonym uaktualnieniem oprogramowania. W takim przypadku usługa zarządzania urządzeniami musi najpierw wymusić uaktualnienie.
Jeśli konto użytkownika utworzone przez system macOS jest jedynym kontem na Macu, staje się ono kontem administratora. Jeśli usługa zarządzania urządzeniami utworzyła konto administratora przy użyciu polecenia konfiguracji konta, można przypisać kontu użytkownika inne uprawnienia przy użyciu funkcji zarządzania grupami SSO na platformie.
Logowanie jednokrotne
Ponieważ SSO na platformie jest częścią rozszerzalnego pojedynczego logowania, użytkownicy logują się tylko raz, a następnie uzyskują dostęp do obsługiwanych aplikacji natywnych i internetowych, używając tokenu uwierzytelnienia.
Jeśli brakuje tokenów albo tokeny wygasły lub są starsze niż cztery godziny, SSO na platformie próbuje odświeżyć je lub pobrać nowe od dostawcy tożsamości. Możesz także skonfigurować czas trwania (nie krótszy niż godzina; wyrażony w sekundach), po którym SSO na platformie wymaga pełnego zalogowania się, a nie odświeżenia tokenu. Domyślnie jest to 18 godzin.
SSO na platformie w Ustawieniach systemowych
Po zarejestrowaniu się w SSO na platformie użytkownicy mogą sprawdzić swój stan rejestracji w panelu Ustawienia systemowe > Użytkownicy i grupy > [nazwa użytkownika]. Z tego miejsca każdy użytkownik może rozpocząć naprawę rejestracji lub wymusić odświeżenie swojego tokenu uwierzytelniania.
Status rejestracji urządzenia jest widoczny w panelu Użytkownicy i grupy > Serwer kont sieciowych i pozwala także na naprawę.
Zasady synchronizacji haseł i logowania
Jeśli używana jest metoda uwierzytelniania hasłem, hasło lokalnego użytkownika jest automatycznie synchronizowane z dostawcą tożsamości, gdy użytkownik zmienia swoje hasło, lokalnie lub zdalnie. W razie konieczności system macOS prosi użytkownika o podanie poprzedniego hasła.
Domyślnie odblokowanie FileVault, ekranu blokady i okna logowania wymaga podania hasła konta lokalnego. Jeśli podane hasło nie jest zgodne z hasłem konta użytkownika lokalnego, system macOS próbuje połączyć się z dostawcą tożsamości w celu wykonania uwierzytelnienia na żywo. Jeśli system macOS nie może połączyć się z dostawcą tożsamości lub podane hasło nie jest zgodne z hasłem przechowywanym przez dostawcę tożsamości, uwierzytelnianie nie powiedzie się.
Zasady logowania pozwalają od razu zezwolić na użycie bieżącego hasła konta od dostawcy tożsamości w trzech poniższych sytuacjach. Możesz także ustawić następujące zasady indywidualnie dla FileVault, ekranu blokady i okna logowania:
Próba uwierzytelnienia.
Jeśli to skonfigurowano, następuje próba uwierzytelnienia na żywo poprzez dostawcę tożsamości.
Jeśli Mac jest online, wymagane jest pomyślne uwierzytelnienie poprzez dostawcę tożsamości, nawet jeśli Mac przejdzie w tryb offline po pierwszej próbie.
Jeśli uwierzytelnienie się powiedzie, SSO na platformie uaktualnia hasło lokalne.
Jeśli Mac jest w trybie offline, użytkownik może użyć swojego hasła konta lokalnego.
Wymaganie uwierzytelnienia.
Jeśli to skonfigurowano, wymagane jest uwierzytelnianie na żywo poprzez dostawcę tożsamości, aby kontynuować.
Jeśli Mac jest online, wymagane jest pomyślne uwierzytelnienie poprzez dostawcę tożsamości, niezależnie od skonfigurowanego okresu karencji offline.
Jeśli uwierzytelnienie się powiedzie, SSO na platformie uaktualnia hasło lokalne.
Jeśli Mac jest w trybie offline, użytkownicy nie mogą się zalogować. W takich sytuacjach można włączyć okres karencji offline i ustawić jego długość (w dniach) od poprzedniego udanego logowania, w ciągu którego użytkownik może nadal używać hasła konta lokalnego.
Możesz zdefiniować, czy każde konto służące do logowania się na Macu musi być zarządzane przez SSO na platformie, czy też logowanie się przy użyciu kont lokalnych jest nadal dozwolone. Możesz także ustawić okres opóźnienia egzekwowania wprowadzonych zasad (w dniach). Umożliwia to tymczasowe używanie kont lokalnych. Na przykład możesz tymczasowo użyć konta administratora utworzonego przez usługę zarządzania urządzeniami do wykonania lub naprawienia rejestracji urządzenia w funkcji SSO na platformie.
Zamiast uwierzytelniania na żywo możesz także pozwolić użytkownikom używać Touch ID lub Apple Watch na ekranie blokady.
W razie potrzeby konta lokalne (zdefiniowane przez Ciebie) mogą być wyłączone z zasad logowania i nie muszą rejestrować się w funkcji SSO na platformie.
Zarządzanie grupami i uwierzytelnianie sieciowe
SSO na platformie może oferować szczegółowe zarządzanie uprawnieniami, stosując następujące uprawnienia do konta przy każdym uwierzytelnieniu się użytkownika:
Standardowe: Konto otrzymuje standardowe uprawnienia użytkownika.
Administrator: Dodaje konto do lokalnej grupy administratorów.
Grupy: Definiuje uprawnienia na podstawie członkostwa w grupie, które są uaktualniane za każdym razem, gdy użytkownik uwierzytelnia się poprzez dostawcę tożsamości.
Gdy używasz grup, konto otrzymuje uprawnienia na podstawie członkostwa w następujących grupach:
Grupy administratorów: Jeśli konto jest częścią wymienionej grupy, ma lokalny dostęp administratora.
Grupy uprawnień: Jeśli konto jest częścią grupy przypisanej do wbudowanego lub własnego uprawnienia, otrzymuje uprawnienia powiązane z tą grupą. Na przykład system macOS używa następujących uprawnień:
system.preferences.datetime, które pozwala na zmianę ustawień czasu.system.preferences.energysaver, które pozwala na modyfikowanie ustawień oszczędzania energii.system.preferences.network, które pozwala na modyfikowanie ustawień sieci przez konto.system.preferences.printing, które pozwala na dodawanie i usuwanie drukarek przez konto.
Dodatkowe grupy: Zdefiniowane samodzielnie grupy dla systemu macOS lub określonych aplikacji, które system macOS tworzy automatycznie w katalogu lokalnym (jeśli jeszcze nie istnieją). Na przykład możesz użyć dodatkowej grupy w konfiguracji
sudo, aby zdefiniować dostęp do poleceniasudo.
Uwierzytelnianie sieciowe
SSO na platformie umożliwia użytkownikom nieposiadającym konta lokalnego na Macu używanie danych uwierzytelniania od dostawcy tożsamości do uwierzytelniania. Konta te używają tych samych grup, które stosowane są przy zarządzaniu grupami. Na przykład, jeśli konto jest członkiem jednej z grup administratorów, może używać monitów o autoryzację administratora. Aby używać tej funkcji, skonfiguruj SSO na platformie przy użyciu wspólnych kluczy urządzenia.
Uwierzytelnianie sieciowe nie jest możliwe, gdy okna dialogowe wymagają bezpiecznego tokenu, uprawnień właściciela lub uwierzytelnienia przez aktualnie zalogowanego użytkownika.
Tworzenie kont na żądanie
We wdrożeniach wspólnych urządzeń użytkownicy mogą logować się na Macu i tworzyć konta lokalne, używając nazwy użytkownika i hasła od dostawcy tożsamości (lub karty inteligentnej).
W pełni zautomatyzowany proces wdrażania można osiągnąć, używając automatycznej rejestracji urządzeń z przesuwaniem. Należy utworzyć pierwsze lokalne konto administratora przy użyciu usługi zarządzania urządzeniami oraz wykonać ciche rejestrowanie w funkcji SSO na platformie.
Poniżej przedstawiono wymagania dotyczące tworzenia kont na żądanie:
Zarejestruj Maca w usłudze zarządzania urządzeniami obsługującej tokeny inicjujące.
Dodaj następujące elementy: konfiguracja rozszerzenia SSO z funkcją SSO na platformie, wspólnymi kluczami urządzenia oraz opcją tworzenia użytkownika podczas logowania.
Ukończ Asystenta ustawień i utwórz lokalne konto administratora.
Uruchom Maca tak, aby wyświetlał okno logowania, z odblokowaną funkcją FileVault i połączeniem sieciowym.
Używając opcjonalnej konfiguracji, możesz określić, który atrybut dostawcy tożsamości ma być używany dla nazwy konta lokalnego (krótkiej nazwy użytkownika) oraz pełnej nazwy. Administratorzy mogą także ustawić klucz dla nazwy konta na wartość com.apple.PlatformSSO.AccountShortName, aby używać prefiksu UPN.
Dodatkowo możesz zdefiniować, jakie uprawnienia mają być stosowane do nowo utworzonych kont podczas logowania. Dostępne są te same opcje dla zarządzania grupami:
Standardowe: Konto otrzymuje standardowe uprawnienia użytkownika.
Administrator: Dodaje konto do lokalnej grupy administratorów.
Grupy: Definiuje uprawnienia na podstawie członkostwa w grupie, które są uaktualniane za każdym razem, gdy użytkownik uwierzytelnia się poprzez dostawcę tożsamości.
Uwierzytelniony tryb gościa
Uwierzytelniony tryb gościa zapewnia szybsze logowanie we wdrożeniach urządzeń wspólnych, takich jak gabinety lekarskie lub szkoły, gdzie użytkownicy logują się tymczasowo przy użyciu swoich poświadczeń od dostawcy tożsamości i nie potrzebują konta lokalnego. Użytkownik ma domyślnie standardowe uprawnienia użytkownika, ale możesz je zmienić, używając narzędzia do zarządzania grupami SSO na platformie.
Wymagania są takie same jak w przypadku tworzenia kont na żądanie z jednym wyjątkiem: zamiast możliwości tworzenia użytkownika podczas logowania konfigurowany jest uwierzytelniony tryb gościa.
Gdy użytkownik się wylogowuje, system macOS wymazuje wszystkie lokalne dane tego konta, a współdzielony Mac jest gotowy do zalogowania się kolejnego użytkownika.
Logowanie się stuknięciem
Funkcja logowania się stuknięciem rozszerza obsługę cyfrowych danych uwierzytelniania z Portfela Apple na system macOS. Organizacje, które już używają cyfrowych kart dostępu w Portfelu Apple (pozwolając użytkownikom na odblokowywanie drzwi za pomocą iPhone’a lub Apple Watch), mogą teraz rozszerzyć to samo doświadczenie na logowanie się na Macu.
Ta metoda uwierzytelniania jest szczególnie przydatna dla organizacji udostępniających Maca wielu użytkownikom, w tym instytucji edukacyjnych, sklepów detalicznych i zakładów opieki zdrowotnej.
Funkcja logowania się stuknięciem pozwala użytkownikom uwierzytelniać się na Macu skonfigurowanym w uwierzytelnionym trybie gościa, stukając swoim iPhone’em lub Apple Watch w podłączony czytnik NFC. Rozpoczyna to bezpieczny proces logowania jednokrotnego, który automatycznie uwierzytelnia użytkowników w ich aplikacjach i witrynach, umożliwiając im szybkie zalogowanie się i rozpoczęcie pracy.
Dane uwierzytelniania użytkownika są udostępniane jako klucze dostępu w karcie Portfela Apple za pośrednictwem aplikacji lub przeglądarki na iPhonie. Te klucze dostępu są przechowywane w Secure Enclave urządzenia, co oznacza, że są obsługiwane sprzętowo i zaszyfrowane, a tym samym chronią przed próbami manipulowania nimi lub wyodrębniania. Tryb ekspresowy umożliwia natychmiastowe uwierzytelnianie bez konieczności budzenia lub odblokowywania urządzenia, podobnie jak w przypadku kart transportu publicznego w Portfelu Apple.
Aby móc korzystać z funkcji logowania się stuknięciem, Mac musi spełniać następujące wymagania:
Skonfigurowany uwierzytelniony tryb gościa
Wyposażony w obsługiwany zewnętrzny czytnik NFC
Tworzenie kluczy dostępu i zarządzanie nimi wymaga udziału w programie dostępu do Portfela Apple. Aby uzyskać więcej informacji na temat tworzenia klucza dostępu, zobacz: Provisioning (Wdrażanie) w przewodniku programu dostępu do Portfela Apple .