Multi-OS-beheermacOSStapsgewijze handleiding voor het configureren van Platform Single Sign-On voor macOS

Stapsgewijze handleiding voor het configureren van Platform Single Sign-On voor macOS

Geschreven Door Atishay Jain
macOSSingle sign-on (SSO)EMU

In deze blog

Platform SSO is een samenwerkingsverband tussen Apple, oplossingen voor apparaatbeheer en identiteitsproviders (IdP's). Het is een SSO-functie die door Apple is ontwikkeld voor Mac-apparaten. Het maakt gebruik van Apple's SSO-extensie (SSOe) framework voor veilige, wachtwoordloze authenticatie met behulp van Touch ID of beveiligde tokens. 

Dankzij Platform SSO profiteren gebruikers van wachtwoordloze authenticatie, verbeterde beveiliging en een consistente ervaring op alle apparaten, bedrijfsapplicaties en webbrowsers.

Platform SSO

Laten we eens dieper ingaan op wat Platform SSO is en hoe je het in eenvoudige stappen kunt instellen met het Scalefusion-dashboard. 

Wat is Platform SSO?

Platform SSO is een geavanceerde SSO-functie ontwikkeld door Apple. Beschikbaar voor macOS 13 en later, vervangt het de Active Directory-binding. Hiermee kunnen beheerders SSO op systeemniveau configureren, waardoor het volgende mogelijk wordt:

  • Gebruikersauthenticatie op platformniveau van macOS
  • Consistent gebruik van identiteiten in alle systeemservices en apps.
  • Verbeterde aanmeldervaring voor Macs die door bedrijven worden beheerd.

Platform SSO configureren op macOS

Voorwaarden

Om Platform SSO volledig te implementeren, moet u ervoor zorgen dat:

  • De Mac-apparaten draaien op macOS 13 of later.
  • Een Mac met Apple Silicon of een Intel-gebaseerde Mac met Touch ID.
  • Een apparaatbeheerservice, zoals Scalefusion, die de uitbreidbare functionaliteit ondersteunt. Single sign-on configuratie, inclusief instellingen voor Platform SSO
  • Een app met een Platform SSO-extensie die compatibel is met de IdP.
  • Een identiteitsprovider die vereenvoudigde configuratie voor platform-SSO ondersteunt.

Stap 1 – Een SSO-configuratie voor het platform maken

Klik op je Scalefusion-dashboard op Apparaatprofielen en -beleid en vervolgens op Apple-configuratie. Begin met het aanmaken van een nieuwe Platform SSO-configuratie in je beheerconsole. Geef deze een duidelijke naam, zodat je deze later gemakkelijk kunt terugvinden.

Het is belangrijk om te weten dat wanneer de optie 'Deze configuratie verwijderen bij het versoepelen van het beleid op het apparaat' is ingeschakeld, de configuratie automatisch wordt verwijderd in de volgende scenario's:

  • Wanneer het beleid wordt versoepeld, of
  • Wanneer het apparaat via het dashboard is ontgrendeld 

Wanneer het apparaatprofiel wordt verwijderd, worden alle bijbehorende configuraties en gegevens van het apparaat gewist.

Stap 2 – Definieer de uitbreidingsdetails

Configureer vervolgens de SSO-extensie die de authenticatie op macOS zal afhandelen.

Hier specificeert u de extensie-ID en team-ID om ervoor te zorgen dat de juiste extensie wordt gebruikt. U definieert ook de URL's waarop Platform SSO moet worden toegepast.

Daarnaast kunt u beheren hoe authenticatie werkt wanneer het scherm vergrendeld is en specifieke apps uitsluiten van het gebruik van Platform SSO via Geweigerde bundel-ID'sen geef, indien nodig, een woordenboek met willekeurige gegevens door aan de app-extensie.

Stap 3 – Kies een authenticatiemethode

Selecteer hoe gebruikers zich via Platform SSO zullen authenticeren.

U kunt gebruikmaken van authenticatie op basis van wachtwoorden, authenticatie op basis van een beveiligde enclave of authenticatie met een smartcard (ondersteund op macOS 14 en later). De optie die u kiest, bepaalt welke aanvullende beleidsregels kunnen worden geconfigureerd.

Stap 4 – Identiteitsinstellingen configureren

Stel identiteitsgerelateerde gegevens in, zoals het registratietoken, waarmee apparaten automatisch bij de identiteitsaanbieder kunnen worden geregistreerd.

Je kunt ook de weergavenaam van het account definiëren die gebruikers te zien krijgen tijdens het inloggen en bij systeemmeldingen.

Stap 5 – Stel het FileVault-, aanmeldings- en ontgrendelingsbeleid in.

Definieer hoe authenticatie moet werken voor het inloggen op macOS, FileVault en het ontgrendelen van bestanden.

U kunt authenticatiepogingen via de identiteitsprovider toestaan ​​of dit verplicht stellen. Optionele instellingen zoals een offline respijtperiode en een authenticatie-respijtperiode helpen bij het beheren van situaties waarin netwerktoegang of herauthenticatie beperkt is.

Stap 6 – Gebruikers- en toegangsinstellingen configureren

Definieer nu hoe gebruikers en machtigingen worden beheerd.

U kunt gebruikersrollen toewijzen (Standaard of Beheerder) of machtigingen koppelen op basis van groepslidmaatschap. Accounts van identiteitsproviders kunnen ook worden ingeschakeld voor autorisatieprompts op systeemniveau.

Je kunt ook identiteitskenmerken koppelen aan macOS-gebruikersvelden, de vereisten voor de inlogfrequentie beheren en het synchroniseren van profielfoto's van de identiteitsaanbieder inschakelen.

Stap 7 – Nieuwe gebruikersaanmaak configureren

Beheer hoe nieuwe gebruikers worden aangemaakt op macOS-apparaten.

Je kunt gebruikers aanmaken in het inlogvenster, specificeren of nieuwe gebruikers standaard, beheerder of groepsgebonden zijn, en zelfs tijdelijke sessies inschakelen voor gedeeld gebruik van apparaten.

Je kunt tijdens de installatieassistent ook de aanmaak van de eerste gebruiker inschakelen voor een volledig geautomatiseerde onboarding.

Stap 8 – Authenticatie configureren voor nieuwe gebruikers

Kies de authenticatiemethoden die beschikbaar zijn voor nieuwe gebruikers, zoals wachtwoord, smartcard of toegangssleutel.

Voor de toegangssleutel kunt u optioneel het volgende configureren: 

  • Identificatiecode van de toegangssleutellezergroep: Deze instelling bepaalt welke groep toegangssleutellezers het systeem moet gebruiken.
  • Toegangssleutel Terminal Identiteit UUID: Deze instelling koppelt de toegangssleutel aan een specifieke identiteitspayload die op het apparaat is geconfigureerd.
  • Toegangssleutel Express-modus toestaan: Wanneer deze functie is ingeschakeld, kan de toegangssleutel in de Express-modus worden gebruikt, waardoor deze kan worden gebruikt zonder dat extra authenticatiestappen nodig zijn. 

Stap 9 – Groepen en autorisatie configureren

Definieer groepsgebaseerde toegangscontrole door beheerdersgroepen toe te wijzen, extra groepen aan te maken en autorisatierechten te koppelen aan specifieke groepen voor rolgebaseerde controle.

Stap 10: Opslaan en implementeren

Controleer tot slot alle instellingen, sla de configuratie op en implementeer deze op macOS-apparaten. Platform SSO zal vervolgens het gedefinieerde authenticatie- en toegangsbeleid in het hele systeem afdwingen.

Verbeter uw beveiligingsniveau binnen het gehele macOS-ecosysteem.

Platform SSO overbrugt de kloof tussen beveiliging en gebruiksgemak door SSO een native Apple-functie te maken. Hierdoor kunnen organisaties hun beveiliging verder versterken door SSO eenvoudig op alle Mac-apparaten te implementeren en de efficiëntie van hun workflows te verhogen. 

Scalefusion ondersteunt naadloos Platform SSO en biedt IT-teams de mogelijkheid om dit eenvoudig te implementeren via een gecentraliseerd dashboard. Dit vermindert de IT-overhead en vereenvoudigt de implementatie. macOS-beheerDit stelt alle gebruikers in staat om met één keer inloggen toegang te krijgen tot al hun werkapplicaties, zonder dat ze individuele wachtwoorden hoeven te onthouden. Bovendien verhoogt het de algehele beveiliging van het beheerde systeem door inbreuken via wachtwoordphishing en credential stuffing-aanvallen te voorkomen.

Implementeer Platform SSO voor al uw macOS-apparaten moeiteloos via Scalefusion.

Meld u nu aan voor een gratis proefperiode van 14 dagen.

Hier krijg je een gratis proefversie

Veelgestelde vragen

1. Ondersteunt PSSO zero-touch implementatie?

Ja, Apple PSSO ondersteunt zero-touch implementatie. Met macOS 15 en hoger kan de PSSO-registratie rechtstreeks plaatsvinden binnen de macOS Setup Assistant, waardoor een zero-touch workflow mogelijk is waarbij de gebruiker inlogt met zijn of haar IdP-gegevens en de machine direct wordt geconfigureerd.

2. Kan PSSO een eerste gebruikersaccount aanmaken op een Mac?

Ja, PSSO op macOS kan een lokaal gebruikersaccount aanmaken in het inlogscherm met behulp van IdP-referenties, zoals Microsoft Entra ID of Okta. Dit wordt vaak "accountaanmaak op aanvraag" of "just-in-time provisioning" genoemd. Dit proces stelt gebruikers in staat om te authenticeren met hun bedrijfsreferenties, waardoor een lokaal Mac-account wordt aangemaakt met gesynchroniseerde of door Secure Enclave ondersteunde wachtwoorden.

3. Heb ik een MDM-oplossing nodig om PSSO te configureren?

Ja. Voor de configuratie van Platform SSO is een MDM-oplossing nodig om identiteitsconfiguratieprofielen te implementeren, beleid af te dwingen en apparaten aan uw identiteitsprovider te koppelen. Scalefusion ondersteunt Platform SSO en biedt een robuuste reeks functies om de instellingen verder aan te passen aan de specifieke behoeften van de organisatie.

Atishay Jain
Atishay Jain
Atishay is content schrijver bij Scalefusion en brengt ideeën tot leven met woorden. Met een passie voor schrijven en een liefde voor videogames is hij altijd wel ergens achter een scherm te vinden.
Artikelbanner

Meer van de blog

Android

Wat is Samsung Knox en hoe werkt het?

Samsung-apparaten domineren de markt voor zakelijke mobiliteit. Maar ze op grote schaal inzetten zonder de onderliggende beveiligingslaag te begrijpen is een risico...
Anmol Jyoti Lal -
MDM

Apparaatconfiguratie: een complete handleiding

Apparaatprovisionering vormt de basis van elke goed beheerde IT-omgeving. Voordat een apparaat in handen van een medewerker terechtkomt, moet het...
Steven Chopade -
Schaalfusie

Scalefusion versus Hexnode: een complete vergelijkingsgids

Scalefusion versus Hexnode is een vergelijking die veel organisaties overwegen bij de evaluatie van een uniform endpointbeheersysteem...
Steven Chopade -