L’authentification unique (SSO) de la plateforme est un partenariat entre Apple, des solutions de gestion d’appareils et des fournisseurs d’identité (IdP). Il s’agit d’une fonctionnalité d’authentification unique créée par Apple pour ses appareils Mac. Elle exploite le framework d’extension d’authentification unique d’Apple (SSOe) pour une authentification sécurisée et sans mot de passe à l’aide de Touch ID ou de jetons sécurisés.
Grâce à l'authentification unique (SSO) de la plateforme, les utilisateurs bénéficient d'une authentification sans mot de passe, d'une sécurité renforcée et d'une expérience cohérente sur tous les appareils, applications d'entreprise et navigateurs Web.
Découvrons ensemble ce qu'est l'authentification unique (SSO) de plateforme et comment la configurer en quelques étapes simples grâce au tableau de bord Scalefusion.
Qu’est-ce que l’authentification unique (SSO) de plateforme ?
Plateforme SSO L'authentification unique (SSO) est une fonctionnalité avancée développée par Apple. Disponible pour macOS 13 et versions ultérieures, elle remplace la liaison Active Directory. Elle permet aux administrateurs de configurer l'authentification unique au niveau du système, et notamment :
- Authentification de l'utilisateur au niveau de la plateforme macOS
- Utilisation cohérente de l'identité dans les services système et les applications
- Expérience de connexion améliorée pour les Mac gérés par l'entreprise
Comment configurer l'authentification unique (SSO) de la plateforme sur macOS
Pré-requis :
Pour implémenter pleinement l'authentification unique (SSO) de la plateforme, vous devrez vous assurer que :
- Les appareils Mac fonctionnent sous macOS 13 ou une version ultérieure.
- Un Mac avec une puce Apple Silicon ou un Mac à processeur Intel avec Touch ID
- Un service de gestion de périphériques, tel que Scalefusion, qui prend en charge l'extensibilité Authentification unique configuration, qui inclut les paramètres de l'authentification unique de la plateforme
- Une application contenant une extension SSO de plateforme compatible avec le fournisseur d'identité
- Un fournisseur d'identité prenant en charge la configuration simplifiée pour l'authentification unique de la plateforme
Étape 1 – Créer une configuration SSO de plateforme
Sur votre tableau de bord Scalefusion, cliquez sur « Profils et stratégies des appareils », puis sur « Configuration Apple ». Commencez par créer une nouvelle configuration SSO de plateforme dans votre console d'administration. Attribuez-lui un nom clair pour la retrouver facilement par la suite.
Il est important de noter que lorsque l'option « Supprimer cette configuration lors de l'assouplissement des politiques sur l'appareil » est activée, la configuration sera automatiquement supprimée dans les scénarios suivants :
- Lorsque les politiques sont assouplies, ou
- Lorsque l'appareil est déverrouillé via le tableau de bord
Lorsque le profil de l'appareil est supprimé, toutes les configurations et données associées seront effacées de l'appareil.
Étape 2 – Définir les détails de l'extension
Ensuite, configurez l'extension SSO qui gérera l'authentification sur macOS.
Ici, vous spécifiez l'identifiant de l'extension et l'identifiant de l'équipe afin de garantir l'utilisation de l'extension appropriée. Vous définissez également les URL auxquelles l'authentification unique (SSO) de la plateforme doit être appliquée.
De plus, vous pouvez gérer le comportement de l'authentification lorsque l'écran est verrouillé et exclure certaines applications de l'utilisation de l'authentification unique de la plateforme via Identifiants de paquets refuséset transmettre un dictionnaire de données arbitraires à l'extension de l'application, si nécessaire.
Étape 3 – Choisir la méthode d’authentification
Sélectionnez le mode d'authentification des utilisateurs via l'authentification unique (SSO) de la plateforme.
Vous pouvez utiliser l’authentification par mot de passe, l’authentification par Secure Enclave ou l’authentification par carte à puce (prise en charge par macOS 14 et versions ultérieures). L’option choisie détermine les stratégies supplémentaires configurables.
Étape 4 – Configurer les paramètres d’identité
Configurez les informations relatives à l'identité, telles que le jeton d'enregistrement, qui permet l'enregistrement automatique de l'appareil auprès du fournisseur d'identité.
Vous pouvez également définir le nom d'affichage du compte que les utilisateurs verront lors de la connexion et dans les invites système.
Étape 5 – Définir les stratégies FileVault, de connexion et de déverrouillage
Définissez le fonctionnement de l'authentification pour les flux de connexion macOS, FileVault et de déverrouillage.
Vous pouvez autoriser les tentatives d'authentification via le fournisseur d'identité ou les rendre obligatoires. Des paramètres optionnels, comme le délai de grâce hors ligne et le délai de grâce d'authentification, permettent de gérer les cas où le réseau ou la réauthentification sont limités.
Étape 6 – Configurer les paramètres utilisateur et d'accès
Définissez maintenant comment les utilisateurs et les autorisations sont gérés.
Vous pouvez attribuer des rôles aux utilisateurs (Standard ou Administrateur) ou définir des autorisations en fonction de l'appartenance à un groupe. Les comptes du fournisseur d'identité peuvent également être activés pour les invites d'autorisation au niveau du système.
Vous pouvez également associer des attributs d'identité aux champs utilisateur macOS, contrôler les exigences de fréquence de connexion et activer la synchronisation des photos de profil depuis le fournisseur d'identité.
Étape 7 – Configurer la création d'un nouvel utilisateur
Gérez la manière dont les nouveaux utilisateurs sont créés sur les appareils macOS.
Vous pouvez autoriser la création d'utilisateurs dans la fenêtre de connexion, spécifier si les nouveaux utilisateurs sont standard, administrateurs ou basés sur un groupe, et même activer les sessions temporaires pour l'utilisation d'appareils partagés.
Vous pouvez également activer la création du premier utilisateur lors de l'assistant de configuration pour une intégration sans intervention.
Étape 8 – Configurer l’authentification pour les nouveaux utilisateurs
Choisissez les méthodes d'authentification disponibles pour les nouveaux utilisateurs, telles que le mot de passe, la carte à puce ou la clé d'accès.
Pour la clé d'accès, vous pouvez configurer, si vous le souhaitez :
- Identifiant du groupe de lecteurs de clés d'accès : Ce paramètre spécifie le groupe de lecteurs de clés d'accès que le système doit utiliser.
- UUID d'identité du terminal de clé d'accès : Ce paramètre associe la clé d'accès à une charge utile d'identité spécifique configurée sur l'appareil.
- Autoriser le mode express de la clé d'accès : Lorsqu'elle est activée, la clé d'accès peut être utilisée en mode express, ce qui permet de l'utiliser sans nécessiter d'étapes d'authentification supplémentaires.
Étape 9 – Configurer les groupes et l’autorisation
Définissez le contrôle d'accès basé sur les groupes en attribuant des groupes d'administrateurs, en créant des groupes supplémentaires et en mappant les droits d'autorisation à des groupes spécifiques pour un contrôle basé sur les rôles.
Étape 10 : Enregistrer et déployer
Enfin, vérifiez tous les paramètres, enregistrez la configuration et déployez-la sur les appareils macOS. L'authentification unique (SSO) de la plateforme appliquera alors les politiques d'authentification et d'accès définies sur l'ensemble du système.
Améliorez votre niveau de sécurité dans l'ensemble de l'écosystème macOS.
L’authentification unique (SSO) intégrée à la plateforme comble le fossé entre sécurité et simplicité en faisant de l’authentification unique une fonctionnalité native d’Apple. Ainsi, les entreprises peuvent renforcer leur sécurité en déployant facilement l’authentification unique sur tous leurs appareils Mac et optimiser leurs flux de travail.
Scalefusion prend en charge l'authentification unique (SSO) de la plateforme de manière transparente et offre aux équipes informatiques une grande facilité de mise en œuvre grâce à un tableau de bord centralisé. Cela réduit les coûts informatiques et simplifie… Gestion MacOSCette solution permet à tous les utilisateurs de se connecter une seule fois pour accéder à toutes leurs applications professionnelles sans avoir à mémoriser de mots de passe individuels. De plus, elle renforce la sécurité globale du système géré en prévenant les intrusions par hameçonnage et par bourrage d'identifiants.
Mettez en œuvre sans effort l'authentification unique (SSO) de la plateforme pour tous vos appareils macOS grâce à Scalefusion.
Inscrivez-vous maintenant pour un essai gratuit de 14 jours.
FAQ
1. PSSO prend-il en charge le déploiement sans intervention ?
Oui, Apple PSSO prend en charge le déploiement sans intervention. Avec macOS 15 et versions ultérieures, l’enregistrement PSSO peut être effectué directement depuis l’Assistant de configuration macOS, permettant ainsi un flux de travail entièrement automatisé : l’utilisateur se connecte avec ses identifiants IdP et la machine est immédiatement configurée.
2. PSSO peut-il créer un compte utilisateur initial sur un Mac ?
Oui, PSSO sur macOS peut créer un compte utilisateur local à l'écran de connexion à l'aide d'identifiants IdP, tels que Microsoft Entra ID ou Okta. On parle alors de « création de compte à la demande » ou de « provisionnement à la volée ». Ce processus permet aux utilisateurs de s'authentifier avec leurs identifiants professionnels, créant ainsi un compte Mac local avec des mots de passe synchronisés ou protégés par Secure Enclave.
3. Ai-je besoin d'une solution MDM pour configurer PSSO ?
Oui. La configuration de l'authentification unique (SSO) de plateforme nécessite une solution MDM pour déployer les profils de configuration d'identité, appliquer les politiques et associer les appareils à votre fournisseur d'identité (IdP). Scalefusion prend en charge l'authentification unique de plateforme et offre une suite complète de fonctionnalités permettant d'affiner les paramètres en fonction des besoins spécifiques de l'organisation.
