Cómo el inicio de sesión único de plataforma de Apple está transformando la autenticación de Mac en la empresa
Descripción general
La fatiga de autenticación es real. Los departamentos de TI dedican innumerables horas a gestionar restablecimientos de contraseñas, mientras que los empleados pierden tiempo manejando múltiples credenciales en aplicaciones corporativas. Mientras tanto, los equipos de seguridad luchan contra un flujo interminable de intentos de phishing dirigidos a esas mismas contraseñas.
Platform Single Sign-On (PSSO) de Apple para macOS representa un cambio fundamental alejándose de este modelo deficiente. En lugar de tratar la autenticación como una preocupación a nivel de aplicación, Platform SSO extiende las capacidades de inicio de sesión único directamente en el sistema operativo, creando una experiencia de autenticación unificada que abarca desde la ventana de inicio de sesión hasta cada aplicación corporativa.
A lo largo de este documento y las páginas posteriores, hay varios términos con los que debe familiarizarse:
| IDP | |
|---|---|
| PSSO / Platform SSO / Platform Single Sign-On | Proveedor de identidad como Microsoft Entra, Okta Identity Engine, Ping, etc. |
| Secure Enclave / Secure Enclave Backed Keys / SEP | Secure Enclave es un subsistema seguro dedicado integrado en el sistema en chip (SoC) de Apple. Secure Enclave está aislado del procesador principal para proporcionar una capa adicional de seguridad y está diseñado para mantener seguros los datos de usuario sensibles incluso cuando el kernel del procesador de aplicaciones se ve comprometido. Más información aquí |
| Simplified Setup | Un nuevo método para requerir el registro de Platform SSO durante el Asistente de configuración durante la inscripción automatizada de dispositivos, que también puede usarse para crear la primera cuenta de usuario local en macOS |
.png)
Registro de PSSO de Simplified Setup durante el Asistente de configuración
.png)
Inicio de sesión único para registro de Platform SSO de Mac que se presenta en una computadora existente
Lo que Platform SSO realmente hace
Platform SSO transforma el dispositivo administrado en sí en el autenticador. El usuario organizativo autorizado accede al dispositivo usando sus credenciales de contraseña o biométricas. Una vez desbloqueado, PSSO proporciona tokens seguros al proveedor de identidad, habilitando autenticación sin inconvenientes en aplicaciones web y nativas administradas por el proveedor de identidad. Cuando se combina con las capacidades de Jamf Pro en macOS 26 para obtener atestación de dispositivo directamente de Apple, podría lograr una trifecta de seguridad: solo un usuario verificado y de confianza que opera un dispositivo administrado y autenticado puede acceder a recursos en la nube segura. Platform SSO va más profundo, integrando autenticación a nivel del sistema macOS.
Cuando se despliega correctamente, los usuarios se autentican una vez durante el inicio de sesión y obtienen acceso automático a:
Aplicaciones web corporativas como Salesforce, DropBox Business u Office 365
Aplicaciones macOS como Outlook, Slack y Microsoft Teams
Servicios y recursos en la nube
La autenticación ocurre de manera transparente en segundo plano, proporcionando una experiencia de inicio de sesión sin inconvenientes en aplicaciones y servicios.
La base técnica
Platform SSO integra identidad en la nube en macOS. Los proveedores de identidad pueden integrarse en varios puntos de autenticación en el SO, incluyendo sincronización de contraseña de cuenta local, requiriendo validación de contraseña contra la nube en eventos de inicio del sistema y reactivación, o integración de autenticación TouchID para establecer la mejor práctica.
Sincronización de credenciales: Las credenciales de cuenta Mac local se sincronizan automáticamente con el proveedor de identidad de su organización, eliminando la desviación de contraseña entre cuentas locales y en la nube.
Reemplazo de servicios de directorio: Platform SSO puede servir como una alternativa moderna al enlace tradicional de Active Directory, que se ha vuelto cada vez más complejo e poco confiable en entornos de red modernos... especialmente en entornos de computadora compartida.
Relación con SSOe
Platform SSO se basa en el marco SSOe (Single Sign-On extensions) subyacente de Apple, que permite la integración entre proveedores de identidad en la nube y macOS. Aunque las aplicaciones SSOe de terceros pueden implementarse a través de soluciones MDM, Platform SSO proporciona un marco más amplio e integrado que aprovecha estas mismas tecnologías subyacentes.
Soporte del proveedor de identidad y métodos de autenticación
Tanto Microsoft Entra ID como Okta admiten características de Platform SSO como proveedores de identidad; sin embargo, características específicas y detalles de implementación pueden diferir entre sus soluciones.
Por ejemplo, el marco de Platform SSO admite tres modos de autenticación: Contraseña, Clave respaldada por Secure Enclave o Tarjeta inteligente. Tanto Microsoft Entra ID como Okta Identity Engine admiten modo de sincronización de contraseña, y la extensión de Microsoft también puede configurarse para funcionar en uno de los otros modos. Tanto Microsoft Entra ID como Okta Identity Engine también admiten autenticación resistente al phishing.
Las organizaciones que planean implementaciones de Platform SSO deben verificar cuidadosamente que su método de autenticación elegido se alinee con las capacidades actuales de su proveedor de identidad. El panorama de autenticación está evolucionando rápidamente, y lo que es compatible hoy puede expandirse significativamente en los próximos meses.
Platform SSO admite múltiples enfoques de autenticación, cada uno adecuado para diferentes necesidades organizativas y requisitos de seguridad. Use esta tabla para identificar qué método de autenticación se adapta a su proveedor de identidad y caso de uso:
| ### Métodos de autenticación |
|---|
| Función |
| Modo de autenticación por contraseña (sincronización de contraseña) |
| Autenticación de clave Secure Enclave |
| Integración de tarjeta inteligente |
| Tap to Login |
| Simplified Setup |
| Modo de invitado autenticado |
Requisitos técnicos
Platform SSO requiere hardware y software modernos:
Hardware: Mac con chip Apple silicon
Software: macOS 13 o posterior (macOS 26 requerido para las características más nuevas)
Gestión: Solución MDM que admita cargas de trabajo de inicio de sesión único extensible, como Jamf Pro parte de la oferta Jamf for Mac.
Identidad: Proveedor de identidad compatible con soporte de protocolo Platform SSO
Consideraciones estratégicas
La pregunta de Jamf Connect
Si ha leído hasta aquí, es posible que se haya hecho varias preguntas:
¿Implementar Platform SSO con una aplicación de proveedor de identidad compatible elimina la necesidad de Jamf Connect en su organización?
Aunque ahora hay una mayor superposición en funcionalidad una vez que todos los dispositivos estén en macOS 26, todavía hay varias diferencias a considerar entre soluciones, que informarán la estrategia de identidad de su organización para sus Macs.
Recursos
Apple Platform Security - Secure Enclave
Configuring Simplified Setup for Platform SSO
Deploying macOS Platform SSO for Okta with Jamf Pro
Deploying macOS platform SSO for Microsoft Entra ID with Jamf Pro
Platform Single Sign on for macOS
Platform SSO Feedback / Survey
¿Considerando Platform SSO para su organización? Comience evaluando la compatibilidad de su proveedor de identidad actual y determinando qué métodos de autenticación se alinean con sus requisitos de seguridad y objetivos de experiencia del usuario.