Wie Apples Platform Single Sign-On die Mac-Authentifizierung im Unternehmen transformiert
Übersicht
Authentifizierungsmüdigkeit ist real. IT-Abteilungen verbringen unzählige Stunden mit der Verwaltung von Passwort-Zurücksetzer, während Mitarbeiter Zeit damit verschwenden, mehrere Anmeldedaten über Unternehmensanwendungen hinweg zu verwalten. In der Zwischenzeit kämpfen Sicherheitsteams gegen einen endlosen Strom von Phishing-Versuchen, die auf diese gleichen Passwörter abzielen.
Apples Platform Single Sign-On (PSSO) für macOS stellt eine grundlegende Abkehr von diesem fehlerhaften Modell dar. Anstatt Authentifizierung als Anliegen auf Anwendungsebene zu behandeln, erweitert Platform SSO Single Sign-On-Funktionen direkt in das Betriebssystem und schafft ein einheitliches Authentifizierungserlebnis, das sich vom Login-Fenster bis zu jeder Unternehmensanwendung erstreckt.
In diesem Dokument und auf nachfolgenden Seiten gibt es mehrere Begriffe, mit denen Sie sich vertraut machen sollten:
| IDP | |
|---|---|
| PSSO / Platform SSO / Platform Single Sign-On | Identitätsanbieter wie Microsoft Entra, Okta Identity Engine, Ping usw. |
| Secure Enclave / Secure Enclave Backed Keys / SEP | Die Secure Enclave ist ein dediziertes sicheres Subsystem, das in Apples System-on-a-Chip (SoC) integriert ist. Die Secure Enclave ist vom Hauptprozessor isoliert, um eine zusätzliche Sicherheitsebene zu bieten, und ist so konzipiert, dass sie sensible Benutzerdaten auch dann sicher hält, wenn der Application Processor-Kernel kompromittiert wird. Weitere Informationen finden Sie hier |
| Simplified Setup | Eine neue Methode, um Platform SSO-Registrierung während des Setup-Assistenten bei automatisierter Geräteregistrierung zu erzwingen, die auch zur Erstellung des ersten lokalen Benutzerkontos auf macOS verwendet werden kann |
.png)
Simplified Setup PSSO-Registrierung während des Setup-Assistenten
.png)
Single Sign-On für Mac Platform SSO-Registrierung auf einem bestehenden Computer
Was Platform SSO tatsächlich tut
Platform SSO transformiert das verwaltete Gerät selbst zum Authentifikator. Der autorisierte Organisationsbenutzer greift auf das Gerät mit seinen Passwort- oder biometrischen Anmeldedaten zu. Nach dem Entsperren stellt PSSO sichere Token für den IdP bereit und ermöglicht nahtlose Authentifizierung über Web- und native Anwendungen, die vom Identitätsanbieter verwaltet werden. In Kombination mit Jamfs Funktionen in macOS 26 zur direkten Attestation von Geräten von Apple können Sie eine Sicherheitstriade erreichen: Nur ein verifizierter, vertrauenswürdiger Benutzer, der ein verwaltetes und authentifiziertes Gerät bedient, kann auf sichere Cloud-Ressourcen zugreifen. Platform SSO geht tiefer und integriert Authentifizierung auf macOS-Systemebene.
Bei korrekter Bereitstellung authentifizieren sich Benutzer einmal während des Logins und erhalten automatisch Zugriff auf:
Unternehmenswebanwendungen wie Salesforce, DropBox Business oder Office 365
macOS-Anwendungen wie Outlook, Slack und Microsoft Teams
Cloud-Services und -Ressourcen
Die Authentifizierung erfolgt transparent im Hintergrund und bietet ein nahtloses Login-Erlebnis für Anwendungen und Services.
Die technische Grundlage
Platform SSO integriert Cloud-Identität in macOS. Identitätsanbieter können an mehreren Authentifizierungspunkten im Betriebssystem integriert werden, einschließlich lokaler Kontokennwortsynchronisierung, erfordern Kennwortvalidierung gegenüber der Cloud bei Systemstart und Wake-Ereignissen oder integrieren TouchID-Authentifizierung, um Best Practice zu etablieren.
Credential Synchronization: Lokale Mac-Kontoanmeldedaten werden automatisch mit dem Identitätsanbieter Ihrer Organisation synchronisiert, wodurch Passwortabweichungen zwischen lokalen und Cloud-Konten eliminiert werden.
Directory Services Replacement: Platform SSO kann als moderner Ersatz für traditionelle Active Directory-Bindung dienen, die in modernen Netzwerkumgebungen zunehmend komplex und unzuverlässig geworden ist... besonders in Umgebungen mit gemeinsamen Computern.
Beziehung zu SSOe
Platform SSO baut auf Apples zugrunde liegendem SSOe-Framework (Single Sign-On extensions) auf, das die Integration zwischen Cloud-Identitätsanbietern und macOS ermöglicht. Während SSOe-Anwendungen von Drittanbietern über MDM-Lösungen bereitgestellt werden können, bietet Platform SSO ein breiteres, stärker integriertes Framework, das diese gleichen zugrunde liegenden Technologien nutzt.
Unterstützung von Identitätsanbietern und Authentifizierungsmethoden
Sowohl Microsoft Entra ID als auch Okta unterstützen Platform SSO-Funktionen als Identitätsanbieter, jedoch können spezifische Funktionen und Implementierungsdetails zwischen ihren Lösungen unterschiedlich sein.
Beispielsweise unterstützt das Platform SSO-Framework drei Authentifizierungsmodi: Passwort, Secure Enclave-gestützter Schlüssel oder Smartcard. Sowohl Microsoft Entra ID als auch Okta Identity Engine unterstützen Passwort-Synchronisierungsmodus, und Microsofts Erweiterung kann auch konfiguriert werden, um stattdessen in einem der anderen Modi zu funktionieren. Sowohl Microsoft Entra ID als auch Okta Identity Engine unterstützen auch Phishing-resistente Authentifizierung.
Organisationen, die Platform SSO-Bereitstellungen planen, müssen sorgfältig überprüfen, dass ihre gewählte Authentifizierungsmethode mit den aktuellen Fähigkeiten ihres Identitätsanbieters übereinstimmt. Die Authentifizierungslandschaft entwickelt sich schnell, und was heute unterstützt wird, könnte sich in den kommenden Monaten erheblich erweitern.
Platform SSO unterstützt mehrere Authentifizierungsansätze, von denen jeder für unterschiedliche Organisationsanforderungen und Sicherheitsanforderungen geeignet ist. Verwenden Sie diese Tabelle, um zu ermitteln, welche Authentifizierungsmethode zu Ihrem IdP und Anwendungsfall passt:
| ### Authentifizierungsmethoden |
|---|
| Funktion |
| Passwortauthentifizierungsmodus (Password Sync) |
| Secure Enclave Key Authentication |
| Smartcard-Integration |
| Tap to Login |
| Simplified Setup |
| Authenticated Guest Mode |
Technische Anforderungen
Platform SSO erfordert moderne Hardware und Software:
Hardware: Mac mit Apple Silicon Chip
Software: macOS 13 oder später (macOS 26 erforderlich für neueste Funktionen)
Management: MDM-Lösung, die Extensible Single Sign-on-Payloads wie Jamf Pro unterstützt, Teil des Jamf for Mac-Angebots.
Identity: Kompatibler Identitätsanbieter mit Platform SSO-Protokollunterstützung
Strategische Überlegungen
Die Jamf Connect-Frage
Falls Sie bis hierher gelesen haben, haben Sie sich möglicherweise mehrere Fragen gestellt:
Ersetzt die Implementierung von Platform SSO mit einer kompatiblen IdP-App die Notwendigkeit für Jamf Connect in Ihrer Organisation?
Obwohl es jetzt eine größere Funktionsüberlappung gibt, sobald alle Geräte auf macOS 26 laufen, gibt es noch mehrere Unterschiede zwischen Lösungen zu beachten, die Ihre Identitätsstrategie für Ihre Macs bestimmen werden.
Ressourcen
Apple Platform Security - Secure Enclave
Configuring Simplified Setup for Platform SSO
Deploying macOS Platform SSO for Okta with Jamf Pro
Deploying macOS platform SSO for Microsoft Entra ID with Jamf Pro
Platform Single Sign on for macOS
Platform SSO Feedback / Survey
Erwägen Sie Platform SSO für Ihre Organisation? Beginnen Sie mit der Bewertung der Kompatibilität Ihres aktuellen Identitätsanbieters und bestimmen Sie, welche Authentifizierungsmethoden mit Ihren Sicherheitsanforderungen und Benutzerfahrungszielen übereinstimmen.