Platform SSO ist eine Partnerschaft zwischen Apple, Geräteverwaltungslösungen und Identitätsanbietern (IdPs). Es handelt sich um eine von Apple für Mac-Geräte entwickelte SSO-Funktion. Sie nutzt Apples SSO-Erweiterungsframework (SSOe) für eine sichere, passwortlose Authentifizierung mittels Touch ID oder sicherer Token.
Durch Platform SSO profitieren Benutzer von passwortloser Authentifizierung, erhöhter Sicherheit und einem einheitlichen Benutzererlebnis auf allen Geräten, Unternehmensanwendungen und Webbrowsern.
Lassen Sie uns genauer betrachten, was Platform SSO ist und wie Sie es mit dem Scalefusion-Dashboard in einfachen Schritten einrichten können.
Was ist Platform SSO?
Plattform-SSO ist eine von Apple entwickelte, fortschrittliche SSO-Funktion. Sie ist ab macOS 13 verfügbar und ersetzt die Active Directory-Anbindung. Administratoren können damit systemweites SSO konfigurieren und Folgendes aktivieren:
- Benutzerauthentifizierung auf macOS-Plattformebene
- Einheitliche Identitätsnutzung über Systemdienste und Apps hinweg
- Verbessertes Anmeldeerlebnis für von Unternehmen verwaltete Macs
So konfigurieren Sie Platform SSO unter macOS
Voraussetzungen:
Für die vollständige Implementierung von Platform SSO müssen Sie Folgendes sicherstellen:
- Die Mac-Geräte laufen mit macOS 13 oder neuer.
- Ein Mac mit Apple Silicon oder ein Intel-basierter Mac mit Touch ID
- Ein Geräteverwaltungsdienst, wie beispielsweise Scalefusion, der die Extensible-Architektur unterstützt Single Sign-On Konfiguration, einschließlich Einstellungen für Platform SSO
- Eine App, die eine mit dem IdP kompatible Platform-SSO-Erweiterung enthält.
- Ein Identitätsanbieter, der die vereinfachte Einrichtung für Plattform-SSO unterstützt.
Schritt 1 – Erstellen einer Plattform-SSO-Konfiguration
Klicken Sie in Ihrem Scalefusion-Dashboard auf „Geräteprofile & Richtlinien“ und anschließend auf „Apple-Konfiguration“. Erstellen Sie zunächst eine neue Platform-SSO-Konfiguration in Ihrer Verwaltungskonsole. Geben Sie ihr einen aussagekräftigen Namen, damit sie später leicht identifiziert werden kann.
Wichtig zu beachten ist, dass bei Aktivierung der Option „Diese Konfiguration beim Lockern der Richtlinien auf dem Gerät entfernen“ die Konfiguration in den folgenden Szenarien automatisch entfernt wird:
- Wenn die Richtlinien gelockert werden,
- Wenn das Gerät über das Dashboard entsperrt wird
Wenn das Geräteprofil gelöscht wird, werden alle zugehörigen Konfigurationen und Daten vom Gerät entfernt.
Schritt 2 – Erweiterungsdetails definieren
Konfigurieren Sie anschließend die SSO-Erweiterung, die die Authentifizierung unter macOS übernimmt.
Hier geben Sie die Erweiterungs- und Teamkennung an, um sicherzustellen, dass die richtige Erweiterung verwendet wird. Außerdem definieren Sie die URLs, auf die Platform SSO angewendet werden soll.
Darüber hinaus können Sie das Verhalten der Authentifizierung bei gesperrtem Bildschirm verwalten und bestimmte Apps von der Nutzung von Platform SSO ausschließen. Abgelehnte Bundle-IDsund übergeben Sie bei Bedarf ein Wörterbuch mit beliebigen Daten an die App-Erweiterung.
Schritt 3 – Authentifizierungsmethode auswählen
Wählen Sie aus, wie sich Benutzer mithilfe von Platform SSO authentifizieren sollen.
Sie können die passwortbasierte Authentifizierung, die Secure-Enclave-basierte Authentifizierung oder die Smartcard-Authentifizierung (unterstützt ab macOS 14) verwenden. Die gewählte Option bestimmt, welche zusätzlichen Richtlinien konfiguriert werden können.
Schritt 4 – Identitätseinstellungen konfigurieren
Richten Sie identitätsbezogene Details wie das Registrierungstoken ein, das die automatische Geräteregistrierung beim Identitätsanbieter ermöglicht.
Sie können auch den Anzeigenamen des Kontos festlegen, der Benutzern beim Anmelden und bei Systemaufforderungen angezeigt wird.
Schritt 5 – FileVault-, Anmelde- und Entsperrrichtlinien festlegen
Definieren Sie, wie die Authentifizierung in den Abläufen für macOS-Anmeldung, FileVault und Entsperrung funktionieren soll.
Sie können Authentifizierungsversuche über den Identitätsanbieter entweder zulassen oder diese zwingend vorschreiben. Optionale Einstellungen wie Offline-Kulanzfrist und Authentifizierungs-Kulanzfrist helfen bei der Bewältigung von Fällen, in denen die Netzwerk- oder Reauthentifizierungskapazität eingeschränkt ist.
Schritt 6 – Benutzer- und Zugriffseinstellungen konfigurieren
Definieren Sie nun, wie Benutzer und Berechtigungen verwaltet werden.
Sie können Benutzerrollen (Standard oder Administrator) zuweisen oder Berechtigungen basierend auf der Gruppenzugehörigkeit zuordnen. Identitätsanbieterkonten können auch für systemweite Autorisierungsabfragen aktiviert werden.
Sie können außerdem Identitätsattribute macOS-Benutzerfeldern zuordnen, die Anforderungen an die Anmeldehäufigkeit steuern und die Synchronisierung von Profilbildern vom Identitätsanbieter aktivieren.
Schritt 7 – Konfiguration der Erstellung neuer Benutzer
Verwalten Sie, wie neue Benutzer auf macOS-Geräten erstellt werden.
Sie können die Benutzererstellung im Anmeldefenster zulassen, festlegen, ob neue Benutzer Standard-, Administrator- oder gruppenbasierte Benutzer sind, und sogar temporäre Sitzungen für die gemeinsame Nutzung von Geräten aktivieren.
Sie können die Erstellung von Erstbenutzern auch während des Einrichtungsassistenten aktivieren, um ein automatisiertes Onboarding zu ermöglichen.
Schritt 8 – Authentifizierung für neue Benutzer konfigurieren
Wählen Sie die für neue Benutzer verfügbaren Authentifizierungsmethoden aus, z. B. Passwort, Smartcard oder Zugriffsschlüssel.
Für den Zugriffsschlüssel können Sie optional Folgendes konfigurieren:
- Zugriffsschlüsselleser-Gruppenkennung: Diese Einstellung legt fest, welche Zugriffsschlüssellesergruppe das System verwenden soll.
- Zugriffsschlüssel-Terminalidentitäts-UUID: Diese Einstellung verknüpft den Zugriffsschlüssel mit einer spezifischen Identitätsnutzlast, die auf dem Gerät konfiguriert ist.
- Zugriffsschlüssel-Expressmodus zulassen: Wenn diese Funktion aktiviert ist, kann der Zugriffsschlüssel im Express-Modus verwendet werden, wodurch zusätzliche Authentifizierungsschritte entfallen.
Schritt 9 – Gruppen und Berechtigungen konfigurieren
Definieren Sie die gruppenbasierte Zugriffskontrolle, indem Sie Administratorgruppen zuweisen, zusätzliche Gruppen erstellen und Autorisierungsrechte bestimmten Gruppen für die rollenbasierte Kontrolle zuordnen.
Schritt 10: Speichern und Bereitstellen
Überprüfen Sie abschließend alle Einstellungen, speichern Sie die Konfiguration und stellen Sie sie auf den macOS-Geräten bereit. Platform SSO setzt dann die definierten Authentifizierungs- und Zugriffsrichtlinien systemweit durch.
Verbessern Sie Ihre Sicherheitslage im gesamten macOS-Ökosystem.
Platform SSO schließt die Lücke zwischen Sicherheit und Benutzerfreundlichkeit, indem SSO zu einer nativen Apple-Funktion wird. Dadurch können Unternehmen ihre Sicherheitslage weiter verbessern, indem sie SSO problemlos auf allen Mac-Geräten implementieren und ihre Arbeitsabläufe effizienter gestalten.
Scalefusion unterstützt Platform SSO nahtlos und bietet IT-Teams die einfache Implementierung über ein zentrales Dashboard. Dies reduziert den IT-Aufwand und vereinfacht die Prozesse. macOS-VerwaltungDadurch können sich alle Benutzer einmal anmelden und auf alle ihre Arbeitsanwendungen zugreifen, ohne sich einzelne Passwörter merken zu müssen. Darüber hinaus erhöht es die Gesamtsicherheit des verwalteten Systems, indem es Sicherheitslücken durch Passwort-Phishing und Credential-Stuffing-Angriffe verhindert.
Implementieren Sie Platform SSO mühelos für alle Ihre macOS-Geräte mit Scalefusion.
Melden Sie sich jetzt für eine 14-tägige kostenlose Testversion an.
FAQs
1. Unterstützt PSSO die automatische Bereitstellung ohne manuelle Eingriffe?
Ja, Apple PSSO unterstützt die automatische Bereitstellung. Ab macOS 15 kann die PSSO-Registrierung direkt im macOS-Systemassistenten erfolgen. Dies ermöglicht einen automatisierten Workflow, bei dem sich der Benutzer mit seinen IdP-Anmeldeinformationen anmeldet und der Rechner sofort konfiguriert wird.
2. Kann PSSO ein erstes Benutzerkonto auf einem Mac erstellen?
Ja, PSSO unter macOS kann beim Anmeldefenster mithilfe von IdP-Anmeldeinformationen wie Microsoft Entra ID oder Okta ein lokales Benutzerkonto erstellen. Dies wird häufig als „Kontoerstellung bei Bedarf“ oder „Just-in-Time-Bereitstellung“ bezeichnet. Dadurch können sich Benutzer mit ihren Unternehmensanmeldeinformationen authentifizieren, wodurch ein lokales Mac-Konto mit synchronisierten oder Secure Enclave-gesicherten Passwörtern erstellt wird.
3. Benötige ich eine MDM-Lösung zur Konfiguration von PSSO?
Ja. Die Konfiguration von Platform SSO erfordert eine MDM-Lösung, um Identitätskonfigurationsprofile bereitzustellen, Richtlinien durchzusetzen und Geräte mit Ihrem IdP zu verknüpfen. Scalefusion unterstützt Platform SSO und bietet eine umfassende Suite von Funktionen, um die Einstellungen an die spezifischen Bedürfnisse Ihres Unternehmens anzupassen.
