Platforma SSO to efekt partnerstwa między Apple, rozwiązaniami do zarządzania urządzeniami i dostawcami tożsamości (IdP). Jest to funkcja SSO stworzona przez Apple dla urządzeń Mac. Wykorzystuje ona platformę rozszerzenia SSO (SSOe) firmy Apple do bezpiecznego uwierzytelniania bez hasła za pomocą Touch ID lub bezpiecznych tokenów.
Dzięki platformie SSO użytkownicy korzystają z uwierzytelniania bez użycia hasła, zwiększonego bezpieczeństwa i spójnego działania na wszystkich urządzeniach, w aplikacjach firmowych i przeglądarkach internetowych.
Przyjrzyjmy się bliżej, czym jest Platforma SSO i jak można ją skonfigurować w prostych krokach za pomocą pulpitu nawigacyjnego Scalefusion.
Czym jest Platforma SSO?
Platforma SSO to zaawansowana funkcja logowania jednokrotnego (SSO) opracowana przez Apple. Dostępna dla systemu macOS 13 i nowszych, zastępuje powiązanie z Active Directory. Umożliwia administratorom konfigurację logowania jednokrotnego (SSO) na poziomie systemu, umożliwiając:
- Uwierzytelnianie użytkownika na poziomie platformy macOS
- Spójne wykorzystanie tożsamości w różnych usługach systemowych i aplikacjach
- Ulepszone środowisko logowania dla komputerów Mac zarządzanych w przedsiębiorstwie
Jak skonfigurować platformę SSO w systemie macOS
Wymagania wstępne
Aby w pełni wdrożyć funkcję logowania jednokrotnego na platformie, należy upewnić się, że:
- Urządzenia Mac działają na systemie macOS 13 lub nowszym
- Komputer Mac z procesorem Apple Silicon lub komputer Mac z procesorem Intel i funkcją Touch ID
- Usługa zarządzania urządzeniami, taka jak Scalefusion, która obsługuje rozszerzalną technologię Pojedyncze logowanie konfiguracja obejmująca ustawienia dla platformy SSO
- Aplikacja zawierająca rozszerzenie Platform SSO zgodne z dostawcą tożsamości
- Dostawca tożsamości obsługujący uproszczoną konfigurację logowania jednokrotnego na platformie
Krok 1 – Utwórz konfigurację logowania jednokrotnego platformy
Na pulpicie Scalefusion kliknij „Profile i zasady urządzeń”, a następnie „Konfiguracja Apple”. Zacznij od utworzenia nowej konfiguracji logowania jednokrotnego platformy w konsoli zarządzania. Nadaj jej czytelną nazwę, aby można ją było później łatwo zidentyfikować.
Należy pamiętać, że po włączeniu opcji „Usuń tę konfigurację po złagodzeniu zasad na urządzeniu” konfiguracja zostanie automatycznie usunięta w następujących scenariuszach:
- Gdy zasady zostaną złagodzone lub
- Po odblokowaniu urządzenia za pomocą pulpitu nawigacyjnego
Po usunięciu profilu urządzenia wszystkie powiązane konfiguracje i dane zostaną usunięte z urządzenia.
Krok 2 – Zdefiniuj szczegóły rozszerzenia
Następnie skonfiguruj rozszerzenie SSO, które będzie obsługiwać uwierzytelnianie w systemie macOS.
Tutaj określasz identyfikator rozszerzenia i identyfikator zespołu, aby upewnić się, że zostanie użyte prawidłowe rozszerzenie. Definiujesz również adresy URL, pod którymi ma być stosowane logowanie jednokrotne na platformie.
Dodatkowo możesz zarządzać sposobem działania uwierzytelniania po zablokowaniu ekranu, a także wykluczać określone aplikacje z korzystania z funkcji logowania jednokrotnego na platformie za pośrednictwem Odmówiono identyfikatorów pakietówi przekazać słownik dowolnych danych do rozszerzenia aplikacji, jeśli jest to wymagane.
Krok 3 – Wybierz metodę uwierzytelniania
Wybierz sposób uwierzytelniania użytkowników za pomocą logowania jednokrotnego na platformie.
Możesz użyć uwierzytelniania opartego na haśle, uwierzytelniania opartego na Secure Enclave lub uwierzytelniania za pomocą karty inteligentnej (obsługiwanego w systemie macOS 14 i nowszych). Wybrana opcja określa, jakie dodatkowe zasady można skonfigurować.
Krok 4 – Skonfiguruj ustawienia tożsamości
Skonfiguruj szczegóły związane z tożsamością, takie jak token rejestracyjny, który umożliwia automatyczną rejestrację urządzenia u dostawcy tożsamości.
Możesz również zdefiniować nazwę wyświetlaną konta, którą użytkownicy będą widzieć podczas logowania i w komunikatach systemowych.
Krok 5 – Ustaw zasady FileVault, logowania i odblokowywania
Zdefiniuj sposób działania uwierzytelniania w przypadku logowania na macOS, korzystania z FileVault i odblokowywania przepływów.
Możesz zezwolić na próby uwierzytelnienia za pośrednictwem dostawcy tożsamości lub wymagać ich obowiązkowo. Opcjonalne ustawienia, takie jak okres karencji offline i okres karencji uwierzytelnienia, pomagają zarządzać przypadkami, w których sieć lub ponowne uwierzytelnienie są ograniczone.
Krok 6 – Skonfiguruj ustawienia użytkownika i dostępu
Teraz zdefiniuj sposób zarządzania użytkownikami i uprawnieniami.
Możesz przypisywać role użytkowników (standardowe lub administratora) lub mapować uprawnienia na podstawie członkostwa w grupie. Konta dostawców tożsamości można również włączyć dla monitów autoryzacyjnych na poziomie systemu.
Można także mapować atrybuty tożsamości na pola użytkownika macOS, kontrolować wymagania dotyczące częstotliwości logowania i włączać synchronizację zdjęć profilowych od dostawcy tożsamości.
Krok 7 – Skonfiguruj tworzenie nowego użytkownika
Zarządzaj sposobem tworzenia nowych użytkowników na urządzeniach macOS.
Możesz zezwolić na tworzenie użytkowników w oknie logowania, określić, czy nowi użytkownicy mają być standardowi, administratorzy czy grupowi, a nawet włączyć sesje tymczasowe w celu korzystania ze współdzielonych urządzeń.
Możesz również włączyć opcję tworzenia pierwszego użytkownika w Asystencie konfiguracji, aby umożliwić bezobsługowe wdrażanie.
Krok 8 – Konfigurowanie uwierzytelniania dla nowych użytkowników
Wybierz metody uwierzytelniania dostępne dla nowych użytkowników, takie jak hasło, karta inteligentna lub klucz dostępu.
W przypadku klucza dostępu możesz opcjonalnie skonfigurować:
- Identyfikator grupy czytelników klucza dostępu: To ustawienie określa, z której grupy czytników kluczy dostępu powinien korzystać system.
- Klucz dostępu Identyfikator terminala UUID: To ustawienie łączy klucz dostępu z konkretnym ładunkiem tożsamości skonfigurowanym na urządzeniu.
- Zezwalaj na tryb ekspresowy klucza dostępu: Po włączeniu tej opcji klucz dostępu można stosować w trybie ekspresowym, co pozwala na korzystanie z niego bez konieczności wykonywania dodatkowych czynności uwierzytelniania.
Krok 9 – Konfigurowanie grup i autoryzacji
Zdefiniuj kontrolę dostępu opartą na grupach, przypisując grupy administracyjne, tworząc dodatkowe grupy i mapując uprawnienia autoryzacji na określone grupy w celu uzyskania kontroli opartej na rolach.
Krok 10: Zapisz i wdróż
Na koniec przejrzyj wszystkie ustawienia, zapisz konfigurację i wdróż ją na urządzeniach macOS. Platforma SSO będzie następnie egzekwować zdefiniowane zasady uwierzytelniania i dostępu w całym systemie.
Zwiększ poziom bezpieczeństwa w całym ekosystemie macOS
Platforma SSO łączy bezpieczeństwo z prostotą, czyniąc SSO natywną funkcją Apple. Dzięki temu organizacje mogą jeszcze bardziej wzmocnić swoją pozycję bezpieczeństwa, łatwo wdrażając SSO na wszystkich urządzeniach Mac i zwiększając wydajność swoich procesów.
Scalefusion bezproblemowo obsługuje platformę SSO i zapewnia zespołom IT łatwość wdrożenia za pośrednictwem scentralizowanego pulpitu. Zmniejsza to obciążenie IT i upraszcza Zarządzanie macOSem, który pozwala wszystkim użytkownikom zalogować się raz, aby uzyskać dostęp do wszystkich aplikacji służbowych bez konieczności pamiętania poszczególnych haseł. Co więcej, zwiększa również ogólne bezpieczeństwo zarządzanego systemu, zapobiegając naruszeniom poprzez phishing haseł i ataki typu credential stuffing.
Wdrożenie Platform SSO na wszystkich urządzeniach macOS bezproblemowo dzięki Scalefusion.
Zarejestruj się już teraz, aby skorzystać z 14-dniowego bezpłatnego okresu próbnego.
FAQ
1. Czy PSSO obsługuje wdrażanie bezdotykowe?
Tak, Apple PSSO obsługuje wdrażanie bezdotykowe. W systemie macOS 15 i nowszych rejestracja PSSO może odbywać się bezpośrednio w Asystencie konfiguracji macOS, co pozwala na przepływ pracy bezdotykowy, w którym użytkownik loguje się przy użyciu swoich danych uwierzytelniających dostawcy tożsamości, a komputer jest natychmiast konfigurowany.
2. Czy PSSO może utworzyć początkowe konto użytkownika na komputerze Mac?
Tak, PSSO na macOS może utworzyć lokalne konto użytkownika w oknie logowania, używając danych uwierzytelniających dostawcy tożsamości (IdP), takich jak Microsoft Entra ID lub Okta. Proces ten jest często nazywany „tworzeniem konta na żądanie” lub „dostawą just-in-time”. Ten proces pozwala użytkownikom uwierzytelniać się przy użyciu danych uwierzytelniających firmy, tworząc lokalne konto Mac z hasłami zsynchronizowanymi lub wspieranymi przez Secure Enclave.
3. Czy potrzebuję rozwiązania MDM do konfiguracji PSSO?
Tak. Konfiguracja logowania jednokrotnego na platformie wymaga rozwiązania MDM do wdrażania profili konfiguracji tożsamości, egzekwowania zasad i kojarzenia urządzeń z dostawcą tożsamości (IdP). Scalefusion obsługuje logowanie jednokrotne na platformie i oferuje bogaty zestaw funkcji umożliwiających dalsze dostosowywanie ustawień do specyficznych potrzeb organizacji.
