macOS için Platformda Tek Oturum Açma
Genel Bilgiler
Platformda Tek Oturum Açma (Platform SSO) sayesinde siz veya kimlik yönetimi konusunda uzman bir geliştirici, kullanıcıların Ayarlama Yardımcısı sırasında Mac’te kuruluşunuzun kimlik sağlayıcı (IdP) hesabıyla kimlik doğrulamasına izin veren SSO genişletmeleri oluşturabilirsiniz. Platform SSO, aşağıdaki konular dikkate alınarak diğer SSO uzantılarıyla birleştirilebilir:
Belirli bir alan yalnızca tek bir SSO genişletmesi ile işlenebilir.
syncLocalPassword, Kerberos SSO konfigürasyonundafalseolarak ayarlanmalıdır.
Özellikler
Platform SSO, şu özellikleri destekler:
Kaydı doğrulamak, Yönetilen Apple Hesabı ile giriş yapmak ve yerel bir kullanıcı yaratmak için Otomatik Aygıt Kaydı sırasında Platform SSO’yu etkinleştirip zorunlu kılın.
Özgün uygulamalar ve web uygulamaları için Tek Oturum Açma deneyimi sunar.
Sistem Ayarları’nda Platform SSO durumunu ve kayıt ayrıntılarını görüntüleyebilirsiniz.
Yerel kullanıcı hesaplarının parolalarını IdP ile eşzamanlayın ve giriş politikalarını tanımlayın.
IdP hesaplarının grup izinlerini tanımlayın ve kişilerin yetkilendirme istemlerinde yalnızca ağ için IdP hesaplarını kullanmasına izin verin.
IdP hesabından kimlik bilgileriyle oturum açarken isteğe bağlı olarak yerel kullanıcı hesapları yaratın.
Paylaşılan Mac bilgisayarlarda, konuk kullanıcıların geçici olarak kendi IdP kimlik bilgilerini kullanarak giriş yapmasına destek verin.
Not: Çoğu özellik, SSO genişletmesinden destek gerektirir. Platform SSO’yu kuruluşunuzda uygulama hakkında daha fazla bilgi edinmek için IdP’nizin belgelerine bakın.
Gereksinimler
Apple Silicon çipli bir Mac veya Touch ID’li ve Intel tabanlı bir Mac
Platform SSO ayarlarını içeren Genişletilebilir Tek Oturum Açma konfigürasyonunu destekleyen bir aygıt yönetimi servisi
IdP ile uyumlu Platform SSO genişletmesi içeren bir uygulama
macOS 13 veya daha yenisi
Aşağıdaki özelliklerin ek sürüm gereksinimleri vardır:
Özellik | Desteklenen minimum işletim sistemi sürümü | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Kimliği Doğrulanmış Konuk Modu | macOS 26 | ||||||||||
Oturum Açmak İçin Dokunun | macOS 26 | ||||||||||
Otomatik Aygıt Kaydı sırasında Platform SSO | macOS 26 | ||||||||||
Yerel hesap adı olarak UPN ön eki | macOS 15.4 | ||||||||||
Aygıt tanıtıcıları için onaylama | macOS 15.4 | ||||||||||
Oturum açma politikaları | macOS 15 | ||||||||||
İsteğe bağlı hesap yaratma | macOS 14 | ||||||||||
Grup yönetimi ve ağ yetkilendirmesi | macOS 14 | ||||||||||
Sistem Ayarları’nda Platform SSO | macOS 14 | ||||||||||
Platform SSO’yu ayarlama
Platform SSO’yu kullanmak için Mac’in ve her kullanıcının IdP’ye kaydolması gerekir. IdP desteğine ve uygulanan yapılandırmaya bağlı olarak Mac, aygıt kaydını şu şekilde arka planda sessizce gerçekleştirebilir:
Genişletilebilir SSO konfigürasyonunda sağlanan IdP’nin kayıt jetonu
Mac’in özgün bir Apple aygıtı olduğuna ve isteğe bağlı olarak aygıt tanıtıcıları (UDID ve seri numarası) içerebileceğine dair güçlü bir güvence sağlayan bir onaylama.
Kullanıcıdan bağımsız olarak IdP ile güvenilir bir bağlantıyı sürdürmek için Platform SSO, paylaşılan aygıt anahtarlarını destekler. Mümkün olduğunca paylaşılan aygıt anahtarlarını kullanın. Bunlar; Otomatik Aygıt Kaydı, isteğe bağlı hesap yaratılması, ağ yetkilendirmesi ve Kimliği Doğrulanmış Konuk Modu özellikleri için gereklidir
Aygıt başarıyla kaydedildikten sonra, hesapta Kimliği Doğrulanmış Konuk Modu kullanılmıyorsa kullanıcı da kaydolur. IdP’nin zorunlu kıldığı durumlarda, kullanıcının kaydolduğunu onaylaması istenebilir. İsteğe bağlı yerel hesaplarda Platform SSO kullanıcıyı arka planda otomatik olarak kaydeder.
Not: Aygıt yönetimi servisinden bir Mac’in kaydını silerseniz bu Mac’in IdP'deki kaydı da silinir.
Kimlik doğrulama yöntemleri
Platform SSO, IdP ile farklı kimlik doğrulama yöntemlerini destekler. Her biri için destek durumu, IdP’ye ve Platform SSO genişletmesine bağlıdır.
Parola: Bu yöntemle, kullanıcı yerel bir parola veya IdP parolası ile kimliğini doğrular. Ayrıca, kullanıcının hesabını yöneten IdP birleştirilmiş olsa bile kimliğini doğrulamasını sağlayan WS-Trust’ı da destekler.
Secure Enclave destekli anahtar: Bu yöntemle, Mac’inde oturum açan kullanıcı parola olmadan IdP ile kimlik doğrulamak için Secure Enclave destekli bir anahtar kullanabilir. IdP, kullanıcı kayıt işlemi sırasında Secure Enclave anahtarını ayarlar.
Akıllı kart: Bu yöntemle, kullanıcı akıllı karttan yararlanarak IdP ile kimliğini doğrular. Bu yöntemi kullanmak için şunlara ihtiyacınız vardır:
Akıllı kartı IdP’ye kaydedin.
Mac’te akıllı kart özellik eşlemesini ayarlayın.
Ayrıntılar ve örnek bir özellik eşleme konfigürasyonu için Akıllı Kart Servisleri projesi kılavuz sayfasına bakın.
Erişim anahtarı: Bu yöntemle kullanıcılar, IdP ile kimlik doğrulamak için Apple Cüzdan’da saklanan bir kartı kullanır. Akıllı karta benzer şekilde, erişim anahtarının IdP’ye kaydedilmesi gerekir.
İsteğe bağlı hesap oluşturma gibi bazı özellikler belirli bir kimlik doğrulama yöntemi gerektirir.
Özellik | Parola | Secure Enclave destekli anahtar | Akıllı kart | Erişim kartı | |||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Grup yönetimi |  | | | | |||||||
Otomatik Aygıt Kaydı | | | |  | |||||||
Kimliği Doğrulanmış Konuk Modu | | | | | |||||||
İsteğe bağlı hesap yaratma | | | | | |||||||
Parola eşzamanlama | | | | | |||||||
Not: SSO genişletmesinin, kaydı tamamlamak için istenen yöntemi desteklemesi gerekir. Yöntemleri de değiştirebilirsiniz; örneğin, kullanıcı adı ve parolayla oluşturulan bir hesap başarılı bir oturum açmadan sonra Secure Enclave destekli bir anahtar veya akıllı kart kullanımına geçiş yapabilir.
Otomatik Aygıt Kaydı ile Platform SSO
Kuruluşlar, Otomatik Aygıt Kaydı ile Ayarlama Yardımcısı sırasında Platform SSO’yu etkinleştirebilir ve uygulayabilir. Bu seçenek, tek kullanıcılı aygıtlar için en iyi şekilde çalışır. macOS, kaydı doğrulayan kullanıcı için otomatik olarak yerel bir hesap yaratarak bu kullanıcının desteklenen özgün uygulamalara ve web uygulamalarına SSO ile hemen erişmesini sağlar.
Ayarlandıysa macOS, Platform SSO genişletmesini ve konfigürasyonunu indirip yükler. Bu durum, kaydın SSO ile kimlik doğrulanmasına olanak tanıyan aygıt yönetimi servisiyle gerçek kayıt işlemi yapılmadan önce ya da kayıttan sonra Mac konfigürasyon bekleme durumunda tutulurken gerçekleşebilir. Bu akış sırasında Mac, sessizce veya kullanıcıya sorarak aygıt kaydını gerçekleştirir ve kullanıcı kaydını yapmak için kullanıcının IdP’siyle kimliğini doğrulamasını ister. Kullanıcılar, başarılı bir Platform SSO kaydını tamamlamadan ilerleyemez.
Başarılı bir kimlik doğrulamasından sonra macOS yerel bir hesap yaratır ve parola IdP ile eşzamanlanır veya kullanıcı yerel bir parola belirler (Platform SSO, Secure Enclave destekli bir anahtar kullandığında). Gerekirse Parola konfigürasyonunu kullanarak yerel parola için parola karmaşıklığı gereksinimlerini zorunlu kılabilirsiniz.
macOS, gerektiği şekilde ayarlanmışsa daha sonra yerel hesap giriş profil resmini IdP’den eşzamanlayabilir.
Zorunlu bir yazılım güncellemesi ile Otomatik Aygıt Kaydı sırasında Platform SSO’yu kullanabilirsiniz. Bu durumda, aygıt yönetimi servisinin önce güncellemeyi uygulatması gerekir.
macOS’in yarattığı kullanıcı hesabı, Mac’teki tek hesap ise yönetici hesabı hâline gelir. Aygıt yönetimi servisi, hesap konfigürasyonu komutunu kullanarak bir yönetici hesabı yarattıysa, Platform SSO grup yönetimini kullanarak kullanıcı hesabına farklı ayrıcalıklar atayabilirsiniz.
Tek Oturum Açma
Platform SSO, Genişletilebilir SSO’nun bir parçası olduğu için kullanıcılar bir kez oturum açar ve desteklenen özgün uygulamalara ve web uygulamalarına erişmek için bu kimlik doğrulama jetonunu kullanır.
Jetonlar yoksa, süreleri dolmuşsa veya dört saatten eskiyse Platform SSO, IdP’den yeni jeton almayı ya da jetonları yenilemeyi dener. Ayrıca Platform SSO’nun jetonun yenilenmesi yerine tam bir giriş gerektirmesi için gereken süreyi (saniye cinsinden en az 1 saat) ayarlayabilirsiniz. Saptanmış değer 18 saattir.
Sistem Ayarları’nda Platform SSO
Kullanıcılar, Platform SSO kaydından sonra kayıt durumlarını Sistem Ayarları > Kullanıcılar ve Gruplar > [kullanıcı adı] bölümünde denetleyebilir. Buradan kayıt onarımı yapabilir veya kimlik doğrulama jetonlarını yenileyebilirler.
Aygıt kayıt durumu, Kullanıcılar ve Gruplar > Ağ hesap sunucusu bölümünde görünür ve onarım yapma seçeneği de sunulur.
Parola eşzamanlama ve giriş politikaları
Parolayla kimlik doğrulama yöntemini kullanırsanız, kullanıcılar parolalarını yerel olarak veya uzaktan her değiştirdiğinde yerel kullanıcı parolası IdP ile otomatik olarak eşzamanlanır. Gerekirse macOS, kullanıcıdan önceki parolasını ister.
Saptanmış olarak FileVault’un, Kilitli Ekran’ın ve oturum açma penceresinin kilidini açmak için yerel hesap parolası gerekir. Girilen parola yerel kullanıcı hesabının parolasıyla eşleşmezse macOS, canlı bir kimlik doğrulama işlemi gerçekleştirmek için IdP’ye ulaşmaya çalışır. macOS, IdP’ye ulaşamazsa veya girilen parola IdP tarafından saklanan parolayla eşleşmezse kimlik doğrulama başarısız olur.
Oturum açma politikaları sayesinde, bu üç istemde IdP’den alınan şu anki hesap parolasının hemen kullanılmasına izin verebilirsiniz. Ayrıca aşağıdaki politikaları FileVault, Kilitli Ekran ve oturum açma penceresi için ayrı ayrı ayarlayabilirsiniz:
Kimlik doğrulamayı deneyin.
Ayarlanmış olduğu durumlarda, IdP ile canlı kimlik doğrulama işlemi denenir.
Mac çevrimiçiyse devam etmek için IdP ile başarılı bir kimlik doğrulamanın gerçekleştirilmesi gerekir (ilk denemeden sonra Mac çevrimdışı olsa bile).
Kimlik doğrulama başarılı olursa Platform SSO, yerel parolayı günceller.
Mac çevrimdışıysa kullanıcı, yerel hesap parolasını kullanabilir.
Kimlik doğrulamasını zorunlu tutun.
Ayarlanmış olduğu durumlarda, devam etmek için IdP ile canlı kimlik doğrulama gerekir.
Mac çevrimiçiyse devam etmek için IdP ile başarılı bir kimlik doğrulamanın gerçekleştirilmesi gerekir (çevrimdışı bir süre ayarlanmış olsa bile).
Kimlik doğrulama başarılı olursa Platform SSO, yerel parolayı günceller.
Mac çevrimdışıysa kullanıcılar oturum açamaz. Böyle durumlarda, çevrimdışı bir süre tanıyabilir ve bir önceki başarılı oturum açma işleminden sonra kaç gün geçmesine izin verileceğini ayarlayabilirsiniz (bu süre içinde kullanıcı, yerel hesap parolasını kullanmaya devam edebilir).
Mac’te oturum açan herhangi bir hesabın Platform SSO tarafından yönetilmesinin gerekip gerekmeyeceğini veya yalnızca yerel hesaplara hâlâ izin verilip verilmeyeceğini ayarlayabilirsiniz. Uygulama başlamadan önce politikanın uygulanmasından sonra (gün cinsinden) bekleme süresi de ayarlayabilirsiniz. Bu, yerel hesapların geçici olarak kullanılmasına izin verir. Örneğin, Platform SSO aygıtı kaydını gerçekleştirmek veya onarmak için aygıt yönetimi servisi tarafından yaratılmış bir yönetici hesabını geçici olarak kullanabilirsiniz.
Canlı kimlik doğrulama yerine, kullanıcıların Kilitli Ekran’da Touch ID’yi veya Apple Watch’u kullanmasına da izin verebilirsiniz.
Gerekirse yerel hesaplar (sizin tanımladığınız şekilde) giriş politikalarından muaf tutulabilir ve Platform SSO’ya kaydolmaları istenmeyebilir.
Grup yönetimi ve ağ yetkilendirmesi
Platform SSO, kullanıcının her kimlik doğrulamasında bir hesaba şu ayrıcalıkları uygulayarak ayrıntılı hak yönetimi sunabilir:
Standart: Hesap, standart kullanıcı ayrıcalıklarını kazanır.
Yönetici: Hesabı yerel yönetici grubuna ekler.
Gruplar: Ayrıcalıkları grup üyeliğine göre tanımlayın. Bu ayrıcalıklar, kullanıcı IdP ile kimliğini her doğruladığında güncellenir.
Grupları kullandığınızda hesaplar, aşağıdaki üyeliklere göre ayrıcalıklar alır:
Yönetici grupları: Hesap listelenen bir grubun parçasıysa yerel yönetici erişimine sahip olur.
Yetkilendirme grupları: Yerleşik veya özel tanımlanmış bir yetkilendirme hakkına atanmış bir grubun parçası olan hesapların, o grupla ilişkili ayrıcalıkları vardır. Örneğin, macOS şu yetkilendirme haklarını kullanır:
Hesabın saat ayarlarını değiştirmesine izin veren
system.preferences.datetime.Hesabın enerji tasarrufu ayarlarını değiştirmesine izin veren
system.preferences.energysaver.Hesabın ağ ayarlarını değiştirmesine izin veren
system.preferences.network.Hesabın yazıcı eklemesine veya silmesine izin veren
system.preferences.printing.
Ek gruplar: macOS’in yerel dizin içinde otomatik olarak yarattığı (zaten yoksa), macOS veya belirli uygulamalar için özel tanımlanmış gruplar. Örneğin,
sudoerişimini tanımlamak içinsudokonfigürasyonunda ek bir grup kullanabilirsiniz.
Ağ yetkilendirmesi
Platform SSO, yerel bir Mac hesabı olmayan kullanıcıların yetkilendirme için IdP kimlik bilgilerini kullanmasına olanak tanır. Bu hesaplar, grup yönetimiyle aynı grupları kullanır. Örneğin, hesap yönetici gruplarından birinin üyesiyse yönetici yetkilendirme istemlerini gerçekleştirebilir. Bu işlevi kullanmak için Platform SSO’yu paylaşılan aygıt anahtarlarıyla ayarlayın.
Güvenli bir jeton, sahiplik izinleri veya şu an oturum açmış olan kullanıcı tarafından kimlik doğrulamasının gerektiği yetkilendirme istemlerinde ağ yetkilendirmesi mümkün değildir.
İsteğe bağlı hesap yaratma
Kullanıcılar, paylaşılan dağıtımlarda kendi IdP kullanıcı adları ve parolalarıyla veya bir akıllı kartla oturum açarak yerel bir hesabı otomatik olarak yaratabilir.
Otomatik İlerleme ile Otomatik Aygıt Kaydı’nı kullanarak tamamen otomatik bir hazırlık süreci gerçekleştirebilirsiniz. Bir aygıt yönetimi servisini kullanarak ilk yerel yönetici hesabını yaratmanız ve sessiz Platform SSO kaydını gerçekleştirmeniz gerekir.
İsteğe bağlı hesap yaratma özelliğini kullanmak için aşağıdakiler gerekir:
Mac’i ön yükleme (bootstrap) jetonlarını destekleyen bir aygıt yönetimi servisine kaydedin.
Şunları ekleyin: Platform SSO, paylaşılan aygıt anahtarları ve oturum açarken kullanıcı yaratma seçeneği olan bir SSO genişletme konfigürasyonu.
Ayarlama Yardımcısı’nı tamamlayın ve yerel bir yönetici hesabı yaratın.
Mac’in oturum açma penceresinde, FileVault kilidinin açık olmasını ve ağ bağlantısının bulunmasını sağlayın.
İsteğe bağlı bir konfigürasyon kullanarak, yerel hesap adı (kısa ad) ve tam ad için IdP’deki hangi özelliğin kullanılacağını belirtebilirsiniz. Yöneticiler, UPN ön ekinin kullanılmasını sağlamak için hesap adı anahtarını com.apple.PlatformSSO.AccountShortName olarak da ayarlayabilir.
Oturum açma sırasında yeni yaratılan hesaplara uygulanacak ayrıcalıkları da tanımlayabilirsiniz. Grup yönetimi için aynı seçenekler kullanılabilir:
Standart: Hesap, standart kullanıcı ayrıcalıklarını kazanır.
Yönetici: Hesabı yerel yönetici grubuna ekler.
Gruplar: Ayrıcalıkları grup üyeliğine göre tanımlayın. Bu ayrıcalıklar, kullanıcı IdP ile kimliğini her doğruladığında güncellenir.
Kimliği Doğrulanmış Konuk Modu
Kimliği Doğrulanmış Konuk Modu; kullanıcıların IdP kimlik bilgileriyle geçici olarak oturum açtığı ve kalıcı bir yerel hesaba gerek duymadığı, tıbbi klinik veya okul gibi paylaşılan dağıtımlara yönelik hızlandırılmış bir oturum açma deneyimi sağlar. Kullanıcı, saptanmış olarak standart kullanıcı ayrıcalıklarına sahip olsa da Platform SSO grup yönetimini kullanarak bu ayrıcalıkları değiştirebilirsiniz.
Gereksinimler, oturum açarken kullanıcı yaratma seçeneği yerine Kimliği Doğrulanmış Konuk Modu’nu ayarlamanız dışında isteğe bağlı hesap yaratma özelliğiyle aynıdır.
Kullanıcılar oturumu kapattığında macOS, ilgili hesaplar için tüm yerel verileri siler ve paylaşılan Mac bir sonraki kullanıcının oturum açmasına hazır hâle gelir.
Oturum Açmak İçin Dokunun
Oturum Açmak İçin Dokunun özelliği, Apple Cüzdan dijital kimlik bilgisi desteğini macOS’e taşır. Apple Cüzdan’da (kullanıcıların bir iPhone veya Apple Watch ile kapıları açmasına olanak tanıyan) dijital yaka kartlarını zaten kullanan kuruluşlar artık aynı deneyimi Mac oturum açma işlemine de yansıtabilir.
Bu kimlik doğrulama yöntemi; eğitim kurumları, perakende tesisleri ve sağlık merkezleri de dahil olmak üzere bir Mac’i birden fazla kullanıcıyla paylaşan kuruluşlar için özellikle faydalıdır.
Oturum Açmak İçin Dokunun özelliğiyle kullanıcılar, iPhone’larını veya Apple Watch’larını bağlı bir NFC okuyucusuna dokundurarak Kimliği Doğrulanmış Konuk Modu için ayarlanmış bir Mac’te kimlik doğrulayabilir. Bu, uygulamalarda ve web sitelerinde kullanıcıları otomatik olarak doğrulayan ve hızlı bir şekilde oturum açılmasını ve işe başlanmasını sağlayan güvenli bir Tek Oturum Açma işlemini başlatır.
Kullanıcı kimlik bilgileri, bir iPhone uygulaması veya tarayıcıdaki Apple Cüzdan kartı şeklindeki erişim anahtarları olarak hazırlanır. Bu erişim anahtarları, aygıtın Secure Enclave bölümünde saklanır. Böylece donanım destekli ve şifreli olup kurcalama veya çıkarma girişimlerine karşı korunurlar. Hızlı Mod, kullanıcıların aygıtlarını uyandırması veya aygıt kilidini açması gerekmeden, Apple Cüzdan’daki toplu taşıma kartlarının işleyişine benzer şekilde kimliğin anında doğrulanmasını sağlar.
Oturum Açmak İçin Dokunun işlevini uygulamak için Mac’in şu özelliklere sahip olması gerekir:
Kimliği Doğrulanmış Konuk Modu için ayarlama yapılmış olmalıdır
Desteklenen bir harici NFC okuyucuya sahip olmalıdır
Erişim anahtarlarının yaratılması ve yönetilmesi için Apple Cüzdan Erişim Programı’na katılım gerekir. Erişim anahtarının nasıl yaratılacağı hakkında daha fazla bilgi için Apple Cüzdan Erişim Programı Kılavuzu’ndaki Hazırlık bölümüne bakın.