Єдиний вхід на платформу (SSO) для macOS
Завдяки єдиному входу на платформу (Platform SSO) розробники можуть створювати розширення SSO, які поширюються на вікно входу в macOS, надаючи змогу користувачам синхронізувати дані локального облікового запису за допомогою постачальника посвідчення. Пароль локального облікового запису автоматично синхронізується, тому хмарні й локальні паролі збігаються. Крім того, користувачі можуть розблокувати свій Mac за допомогою Touch ID та Apple Watch.
Для єдиного входу на платформу потрібно виконати наведені нижче умови.
macOS 13 або новіша
Рішення керування мобільними пристроями (MDM), яке підтримує набір даних Extensible Single Sign-on (Розширюваний єдиний вхід) який включає підтримку єдиного входу на платформу
Підтримка протоколу автентифікації єдиного входу на платформу з боку постачальника ідентифікаційних даних
Один із двох підтримуваних методів автентифікації:
Автентифікація з використанням ключа Secure Enclave. За допомогою цього методу, користувач, який входить у систему на пристрої Mac, може використовувати ключ Secure Enclave для автентифікації в системі постачальника ідентифікаційних даних без пароля. Ключ Secure Enclave налаштовано за допомогою постачальника ідентифікаційних даних під час процесу реєстрації користувача.
Автентифікація за допомогою пароля. Цей метод забезпечує автентифікацію користувача з використанням локального пароля або пароля постачальника ідентифікаційних даних.
Примітка. Якщо пристрій Mac не зареєстровано в системі рішення MDM, його також не зареєстровано в системі постачальника ідентифікаційних даних.
Можливості функції єдиного входу для платформи
Функція | Мінімальна підтримувана операційна система | Опис |
|---|---|---|
Require authentication (Вимагати автентифікацію) | macOS 15 | Вимагає автентифікацію IdP у FileVault, на екрані блокування та входу. |
Require authentication (Вимагати автентифікацію) | macOS 15 | Необовʼязкове настроювання (за потреби) пільгового періоду офлайн і автентифікації, щоб користувачі могли входити в систему чи відмикати екран, коли вони офлайн. |
Require authentication (Вимагати автентифікацію) | macOS 15 | Необовʼязкове настроювання Touch ID або Apple Watch для відмикання екрана. |
User enrollment and registration status in System Settings (Реєстрація користувача і статус реєстрації в Системних параметрах) | macOS 14 | Користувачі можуть зареєструвати свої пристрої або облікові записи для єдиного входу в Системних параметрах. Елемент меню також відображає поточний стан реєстрації і вказує всі проблеми, які могли виникнути, забезпечуючи кращу прозорість для користувачів. Це дає користувачеві знати, чи потрібно повторно проходити реєстрацію. |
Local account creation by users (Створення локального облікового запису користувачами) | macOS 14 | Щоб здійснювати керування обліковими записами у спільних розгортаннях, користувачі можуть використовувати своє ім’я і пароль IdP або смарт-картку для входу в систему Mac з відмкненим FileVault і створити локальний обліковий запис. Можна використати новий ключ
|
Using nonlocal IdP user accounts at authorization prompts (Використання нелокальних облікових записів IdP в підказках про авторизацію) | macOS 14 | Єдиний вхід на платформу розширює використання облікових даних IdP для користувачів, які не мають локального облікового запису на Mac, для авторизації. Ці облікові записи використовують такі ж групи, як і керування групами. Наприклад, якщо користувач є учасником однієї з адміністративних груп, обліковий запис можна використовувати для авторизації адміністратора на macOS. Сюди не входять запити про авторизацію, які вимагають токен безпеки, права власності або автентифікацію користувача, який вже в системі. |
Updating group membership of users when they authenticate with their IdP (Оновлення членства в групі користувачів, коли вони автентифікуються зі своїм IdP) | macOS 14 | Групове членство можна використовувати для докладного керування дозволами користувачів IdP в macOS. Щоразу, коли користувач автентифікується зі своїм IdP, членство в групі оновлюється. Є три ключі масиву, доступні для визначення членства в групі:
|
Федерація WS-Trust | macOS 13.3 | Це дає змогу функції єдиного входу на платформу успішно автентифікувати користувачів, облікові записи яких керуються постачальником посвідчень, федерованим із Microsoft Entra ID. |