Platform SSO è una partnership tra Apple, soluzioni di gestione dei dispositivi e IdP (Identity Provider). Si tratta di una funzionalità SSO creata da Apple per i suoi dispositivi Mac. Sfrutta il framework SSO Extension (SSOe) di Apple per un'autenticazione sicura e senza password tramite Touch ID o token sicuri.
Grazie alla soluzione Platform SSO, gli utenti beneficiano di un'autenticazione senza password, di una maggiore sicurezza e di un'esperienza coerente su tutti i dispositivi, le applicazioni aziendali e i browser web.
Scopriamo cos'è il Platform SSO e come configurarlo in pochi semplici passaggi tramite la dashboard di Scalefusion.
Che cos'è il Platform SSO?
SSO della piattaforma È una funzionalità SSO avanzata sviluppata da Apple. Disponibile per macOS 13 e versioni successive, sostituisce il binding di Active Directory. Consente agli amministratori di configurare l'SSO a livello di sistema, abilitando:
- Autenticazione utente a livello di piattaforma macOS
- Utilizzo coerente dell'identità tra i servizi e le applicazioni di sistema.
- Esperienza di accesso migliorata per i Mac gestiti dalle aziende.
Come configurare l'SSO della piattaforma su macOS
Prerequisiti
Per implementare completamente l'SSO della piattaforma, è necessario assicurarsi che:
- I dispositivi Mac utilizzano macOS 13 o versioni successive.
- Un Mac con processore Apple Silicon o un Mac basato su processore Intel con Touch ID.
- Un servizio di gestione dei dispositivi, come Scalefusion, che supporta l'Extensible Single Sign-On configurazione, che include le impostazioni per l'SSO della piattaforma
- Un'app contenente un'estensione Platform SSO compatibile con l'IdP
- Un IdP che supporta la configurazione semplificata per l'SSO della piattaforma
Passaggio 1 – Creare una configurazione SSO della piattaforma
Nella dashboard di Scalefusion, fai clic su Profili e criteri dispositivo e poi su Configurazione Apple. Inizia creando una nuova configurazione SSO della piattaforma nella console di gestione. Assegna un nome chiaro in modo che possa essere facilmente identificata in seguito.
È importante notare che, abilitando l'opzione "Rimuovi questa configurazione quando si allentano le policy sul dispositivo", la configurazione verrà rimossa automaticamente nei seguenti scenari:
- Quando le politiche vengono allentate, o
- Quando il dispositivo viene sbloccato tramite il pannello di controllo
Quando il profilo del dispositivo viene eliminato, tutte le configurazioni e i dati associati verranno cancellati dal dispositivo.
Passaggio 2 – Definire i dettagli dell'estensione
Successivamente, configura l'estensione SSO che gestirà l'autenticazione su macOS.
Qui, si specificano l'identificativo dell'estensione e l'identificativo del team per garantire l'utilizzo dell'estensione corretta. Si definiscono inoltre gli URL in cui applicare l'SSO della piattaforma.
Inoltre, è possibile gestire il comportamento dell'autenticazione quando lo schermo è bloccato ed escludere app specifiche dall'utilizzo di Platform SSO tramite Identificatori di bundle rifiutatie, se necessario, passare un dizionario di dati arbitrari all'estensione dell'app.
Passaggio 3 – Scegliere il metodo di autenticazione
Seleziona la modalità di autenticazione degli utenti tramite Platform SSO.
È possibile utilizzare l'autenticazione basata su password, l'autenticazione basata su Secure Enclave o l'autenticazione tramite smart card (supportata su macOS 14 e versioni successive). L'opzione scelta determina quali criteri aggiuntivi possono essere configurati.
Passaggio 4 – Configurare le impostazioni di identità
Configura i dettagli relativi all'identità, come il token di registrazione, che consente la registrazione automatica del dispositivo presso il provider di identità.
È inoltre possibile definire il nome visualizzato dell'account che gli utenti vedranno durante l'accesso e nei messaggi di sistema.
Passaggio 5 – Impostare le policy di FileVault, di accesso e di sblocco
Definisci come deve funzionare l'autenticazione nei flussi di accesso a macOS, FileVault e sblocco.
È possibile consentire i tentativi di autenticazione tramite il provider di identità oppure richiederli obbligatoriamente. Impostazioni opzionali come il periodo di tolleranza offline e il periodo di tolleranza per l'autenticazione aiutano a gestire i casi in cui la rete o la riautenticazione sono limitate.
Passaggio 6 – Configurare le impostazioni utente e di accesso
Ora definiamo come vengono gestiti gli utenti e le autorizzazioni.
È possibile assegnare ruoli utente (Standard o Amministratore) o mappare le autorizzazioni in base all'appartenenza ai gruppi. È inoltre possibile abilitare gli account del provider di identità per le richieste di autorizzazione a livello di sistema.
È inoltre possibile associare gli attributi di identità ai campi utente di macOS, controllare i requisiti di frequenza di accesso e abilitare la sincronizzazione delle immagini del profilo dal provider di identità.
Passaggio 7 – Configurare la creazione di un nuovo utente
Gestisci la creazione di nuovi utenti sui dispositivi macOS.
È possibile consentire la creazione di utenti nella finestra di accesso, specificare se i nuovi utenti sono Standard, Amministratori o appartenenti a gruppi e persino abilitare sessioni temporanee per l'utilizzo di dispositivi condivisi.
È inoltre possibile abilitare la creazione del primo utente durante l'Assistente di configurazione per un onboarding senza intervento manuale.
Passaggio 8 – Configurare l'autenticazione per i nuovi utenti
Scegli i metodi di autenticazione disponibili per i nuovi utenti, come password, smart card o chiave di accesso.
Per la chiave di accesso, è possibile configurare facoltativamente:
- Identificativo del gruppo di lettori della chiave di accesso: Questa impostazione specifica quale gruppo di lettori di chiavi di accesso il sistema deve utilizzare.
- Chiave di accesso Identità del terminale UUID: Questa impostazione collega la chiave di accesso a uno specifico payload di identità configurato sul dispositivo.
- Consentire la modalità Access Key Express: Quando abilitata, la Chiave di accesso può essere utilizzata in Modalità Express, che consente di utilizzarla senza richiedere ulteriori passaggi di autenticazione.
Passaggio 9 – Configurare gruppi e autorizzazioni
Definisci il controllo degli accessi basato sui gruppi assegnando gruppi di amministratori, creando gruppi aggiuntivi e mappando i diritti di autorizzazione a gruppi specifici per il controllo basato sui ruoli.
Passaggio 10: Salva e distribuisci
Infine, rivedi tutte le impostazioni, salva la configurazione e distribuiscila ai dispositivi macOS. Platform SSO applicherà quindi le policy di autenticazione e accesso definite a tutto il sistema.
Migliora il tuo livello di sicurezza nell'intero ecosistema macOS.
Platform SSO colma il divario tra sicurezza e semplicità, rendendo l'SSO una funzionalità nativa di Apple. In questo modo, le organizzazioni possono rafforzare ulteriormente la propria sicurezza implementando l'SSO su tutti i dispositivi Mac con facilità e aumentare l'efficienza dei propri flussi di lavoro.
Scalefusion supporta senza problemi l'SSO della piattaforma e offre ai team IT la facilità di implementazione tramite una dashboard centralizzata. Ciò riduce il carico di lavoro IT e semplifica gestione di macOSche consente a tutti gli utenti di accedere una sola volta a tutte le loro applicazioni aziendali senza dover ricordare password individuali. Senza contare che aumenta anche la sicurezza complessiva del sistema gestito, prevenendo violazioni tramite phishing delle password e attacchi di credential stuffing.
Implementa facilmente l'SSO della piattaforma per tutti i tuoi dispositivi macOS tramite Scalefusion.
Registrati subito per una prova gratuita di 14 giorni.
Domande Frequenti
1. PSSO supporta l'implementazione senza intervento manuale?
Sì, Apple PSSO supporta l'implementazione senza intervento manuale. Con macOS 15 e versioni successive, la registrazione a PSSO può avvenire direttamente all'interno dell'Assistente di configurazione di macOS, consentendo un flusso di lavoro senza intervento manuale in cui l'utente accede con le proprie credenziali IdP e il dispositivo viene configurato immediatamente.
2. È possibile creare un account utente iniziale tramite PSSO su un Mac?
Sì, PSSO su macOS può creare un account utente locale nella finestra di accesso utilizzando le credenziali di un provider di identità (IdP), come Microsoft Entra ID o Okta. Questo processo è spesso definito "creazione dell'account su richiesta" o "provisioning just-in-time". Tale processo consente agli utenti di autenticarsi con le proprie credenziali aziendali, creando un account Mac locale con password sincronizzate o protette da Secure Enclave.
3. Ho bisogno di una soluzione MDM per configurare PSSO?
Sì. La configurazione del Platform SSO richiede una soluzione MDM per implementare profili di configurazione dell'identità, applicare policy e associare i dispositivi al proprio IdP. Scalefusion supporta il Platform SSO e offre una solida suite di funzionalità per personalizzare ulteriormente le impostazioni in base alle esigenze specifiche dell'organizzazione.
