
Єдиний вхід на платформу (SSO) для macOS
Завдяки єдиному входу на платформу (Platform SSO) розробники можуть створювати розширення SSO, які поширюються на вікно входу в macOS, надаючи змогу користувачам синхронізувати дані локального облікового запису за допомогою постачальника посвідчення. Пароль локального облікового запису автоматично синхронізується, тому хмарні й локальні паролі збігаються. Крім того, користувачі можуть розблокувати свій Mac за допомогою Touch ID та Apple Watch.

Для єдиного входу на платформу потрібно виконати наведені нижче умови.
Комп’ютер Mac з Apple silicon або з Touch Bar і Touch ID.
Інстальовано macOS 13 або новішу.
Рішення керування мобільними пристроями (MDM), яке підтримує набір даних Extensible Single Sign-on (Розширюваний єдиний вхід) який включає підтримку єдиного входу на платформу
Підтримка протоколу автентифікації єдиного входу на платформу з боку постачальника ідентифікаційних даних
Один із трьох підтримуваних методів автентифікації:
Автентифікація з використанням ключа Secure Enclave. За допомогою цього методу, користувач, який входить у систему на пристрої Mac, може використовувати ключ Secure Enclave для автентифікації в системі постачальника ідентифікаційних даних без пароля. Ключ Secure Enclave налаштовано за допомогою постачальника ідентифікаційних даних під час процесу реєстрації користувача.
Автентифікація за допомогою пароля. Цей метод забезпечує автентифікацію користувача з використанням локального пароля або пароля постачальника ідентифікаційних даних.
Smart card (Смарт-картка). Цей метод забезпечує автентифікацію користувача в системі постачальника ідентифікаційних даних за допомогою смарт-картки.
Примітка. Якщо пристрій Mac не зареєстровано в системі рішення MDM, його також не зареєстровано в системі постачальника ідентифікаційних даних.
Можливості функції єдиного входу для платформи
Функція | Мінімальна підтримувана операційна система | Опис |
---|---|---|
Require authentication (Вимагати автентифікацію) | macOS 15 | Вимагає автентифікацію IdP у FileVault, на екрані блокування та входу. |
Require authentication (Вимагати автентифікацію) | macOS 15 | Необовʼязкове настроювання (за потреби) пільгового періоду офлайн і автентифікації, щоб користувачі могли входити в систему чи відмикати екран, коли вони офлайн. |
Require authentication (Вимагати автентифікацію) | macOS 15 | Необовʼязкове конфігурування Touch ID або Apple Watch для відмикання екрана. |
User enrollment and registration status in System Settings (Реєстрація користувача і статус реєстрації в Системних параметрах) | macOS 14 | Користувачі можуть зареєструвати свої пристрої або облікові записи для єдиного входу в Системних параметрах. Елемент меню також відображає поточний стан реєстрації і вказує всі проблеми, які могли виникнути, забезпечуючи кращу прозорість для користувачів. Це дає користувачеві знати, чи потрібно повторно проходити реєстрацію. |
Local account creation by users (Створення локального облікового запису користувачами) | macOS 14 | Щоб здійснювати керування обліковими записами у спільних розгортаннях, користувачі можуть використовувати своє ім’я і пароль IdP або смарт-картку для входу в систему Mac з відмкненим FileVault і створити локальний обліковий запис. Після цього вони можуть використовувати На Mac із macOS 15.4 або новішою версією адміністратори можуть задати для Щоб використовувати цю функцію, потрібно:
|
Using nonlocal IdP user accounts at authorization prompts (Використання нелокальних облікових записів IdP в підказках про авторизацію) | macOS 14 | Єдиний вхід на платформу розширює використання облікових даних IdP для користувачів, які не мають локального облікового запису на Mac, для авторизації. Ці облікові записи використовують такі ж групи, як і керування групами. Наприклад, якщо користувач є учасником однієї з адміністративних груп, обліковий запис можна використовувати для авторизації адміністратора на macOS. Сюди не входять запити про авторизацію, які вимагають токен безпеки, права власності або автентифікацію користувача, який вже в системі. |
Updating group membership of users when they authenticate with their IdP (Оновлення членства в групі користувачів, коли вони автентифікуються зі своїм IdP) | macOS 14 | Групове членство можна використовувати для докладного керування дозволами користувачів IdP в macOS. Щоразу, коли користувач автентифікується зі своїм IdP, членство в групі оновлюється. Є три ключі масиву, доступні для визначення членства в групі:
|
Федерація WS-Trust | macOS 13.3 | Дає змогу функції єдиного входу на платформу успішно автентифікувати користувачів, облікові записи яких керуються постачальником посвідчень, федерованим із Microsoft Entra ID. |