Comment l'authentification unique de plateforme d'Apple transforme l'authentification Mac en entreprise
Présentation générale
La fatigue d'authentification est réelle. Les départements informatiques passent d'innombrables heures à gérer les réinitialisations de mots de passe, tandis que les employés perdent du temps à jongler avec plusieurs identifiants dans les applications d'entreprise. Pendant ce temps, les équipes de sécurité luttent contre un flot incessant de tentatives de phishing ciblant ces mêmes mots de passe.
L'authentification unique de plateforme (PSSO) d'Apple pour macOS représente un changement fondamental par rapport à ce modèle défaillant. Plutôt que de traiter l'authentification comme une préoccupation au niveau des applications, Platform SSO étend les capacités d'authentification unique directement dans le système d'exploitation, créant une expérience d'authentification unifiée qui s'étend de la fenêtre de connexion à chaque application d'entreprise.
Dans l'ensemble de ce document et des pages suivantes, plusieurs termes méritent d'être clarifiés :
| IDP | |
|---|---|
| PSSO / Platform SSO / Platform Single Sign-On | Fournisseur d'identité tel que Microsoft Entra, Okta Identity Engine, Ping, etc. |
| Secure Enclave / Secure Enclave Backed Keys / SEP | La Secure Enclave est un sous-système sécurisé dédié intégré au système sur puce (SoC) d'Apple. La Secure Enclave est isolée du processeur principal pour fournir une couche de sécurité supplémentaire et est conçue pour protéger les données utilisateur sensibles, même si le noyau du processeur d'application est compromis. Plus d'informations ici |
| Simplified Setup | Une nouvelle méthode pour exiger l'enregistrement de Platform SSO lors de l'Assistant de configuration pendant l'inscription automatisée des appareils, qui peut également être utilisée pour créer le premier compte utilisateur local sur macOS |
.png)
Enregistrement PSSO de Simplified Setup lors de l'Assistant de configuration
.png)
Authentification unique pour Mac - Enregistrement Platform SSO présenté sur un ordinateur existant
Ce que Platform SSO fait réellement
Platform SSO transforme l'appareil géré lui-même en authentificateur. L'utilisateur organisationnel autorisé accède à l'appareil en utilisant ses identifiants de mot de passe ou biométriques. Une fois déverrouillé, PSSO fournit des jetons sécurisés au fournisseur d'identité, permettant une authentification transparente dans les applications web et natives gérées par le fournisseur d'identité. Associé aux capacités de Jamf Pro dans macOS 26 pour obtenir l'attestation d'appareil directement auprès d'Apple, vous pourriez réaliser un triptyque de sécurité : seul un utilisateur vérifié et fiable utilisant un appareil géré et authentifié peut accéder aux ressources cloud sécurisées. Platform SSO va plus loin, en intégrant l'authentification au niveau du système macOS.
Lorsqu'il est correctement déployé, les utilisateurs s'authentifient une seule fois lors de la connexion et obtiennent automatiquement accès à :
Les applications web d'entreprise telles que Salesforce, DropBox Business ou Office 365
Les applications macOS telles qu'Outlook, Slack et Microsoft Teams
Les services et ressources cloud
L'authentification se fait de manière transparente en arrière-plan, offrant une expérience de connexion transparente aux applications et services.
La base technique
Platform SSO intègre l'identité cloud dans macOS. Les fournisseurs d'identité peuvent s'intégrer à plusieurs points d'authentification du système d'exploitation, notamment la synchronisation des mots de passe de compte local, exigeant la validation des mots de passe par rapport au cloud lors du démarrage du système et des événements de réveil, ou l'intégration de l'authentification Touch ID pour établir les meilleures pratiques.
Synchronisation des identifiants : Les identifiants du compte Mac local se synchronisent automatiquement avec le fournisseur d'identité de votre organisation, éliminant la dérive des mots de passe entre les comptes locaux et cloud.
Remplacement des services d'annuaire : Platform SSO peut servir d'alternative moderne à la liaison Active Directory traditionnelle, qui est devenue de plus en plus complexe et peu fiable dans les environnements réseau modernes, en particulier dans les environnements informatiques partagés.
Relation avec SSOe
Platform SSO s'appuie sur le framework SSOe (extensions d'authentification unique) sous-jacent d'Apple, qui permet l'intégration entre les fournisseurs d'identité cloud et macOS. Bien que les applications SSOe tierces puissent être déployées par des solutions MDM, Platform SSO fournit un framework plus large et plus intégré exploitant ces mêmes technologies sous-jacentes.
Support des fournisseurs d'identité et méthodes d'authentification
Microsoft Entra ID et Okta supportent tous deux les fonctionnalités de Platform SSO en tant que fournisseurs d'identité, cependant les fonctionnalités spécifiques et les détails d'implémentation peuvent différer entre leurs solutions.
Par exemple, le framework Platform SSO supporte trois modes d'authentification : mot de passe, clé sauvegardée par Secure Enclave ou carte à puce. Microsoft Entra ID et Okta Identity Engine supportent tous deux le mode de synchronisation des mots de passe, et l'extension Microsoft peut également être configurée pour fonctionner dans l'un des autres modes à la place. Microsoft Entra ID et Okta Identity Engine supportent également l'authentification résistante au phishing.
Les organisations planifiant des déploiements de Platform SSO doivent vérifier attentivement que leur méthode d'authentification choisie s'aligne avec les capacités actuelles de leur fournisseur d'identité. Le paysage de l'authentification évolue rapidement, et ce qui est supporté aujourd'hui pourrait s'étendre considérablement au cours des prochains mois.
Platform SSO supporte plusieurs approches d'authentification, chacune adaptée à des besoins organisationnels et des exigences de sécurité différents. Utilisez ce tableau pour identifier quelle méthode d'authentification correspond à votre fournisseur d'identité et votre cas d'utilisation :
| ### Méthodes d'authentification |
|---|
| Fonctionnalité |
| Mode d'authentification par mot de passe (synchronisation des mots de passe) |
| Authentification par clé Secure Enclave |
| Intégration de carte à puce |
| Appuyer pour se connecter |
| Simplified Setup |
| Mode invité authentifié |
Exigences techniques
Platform SSO nécessite un matériel et un logiciel modernes :
Matériel : Mac avec puce Apple silicon
Logiciel : macOS 13 ou ultérieur (macOS 26 requis pour les nouvelles fonctionnalités)
Gestion : solution MDM supportant les payloads d'authentification unique extensible, telle que Jamf Pro faisant partie de l'offre Jamf for Mac.
Identité : fournisseur d'identité compatible avec le support du protocole Platform SSO
Considérations stratégiques
La question de Jamf Connect
Si vous avez lu jusqu'ici, vous vous êtes peut-être posé un certain nombre de questions :
La mise en œuvre de Platform SSO avec une application de fournisseur d'identité compatible élimine-t-elle le besoin de Jamf Connect dans votre organisation ?
Bien qu'il existe maintenant un chevauchement de fonctionnalités plus important une fois que tous les appareils sont sur macOS 26, il existe toujours un certain nombre de différences à considérer entre les solutions, qui informeront la stratégie d'identité de votre organisation pour vos Mac.
Ressources
Apple Platform Security - Secure Enclave
Configuration de Simplified Setup pour Platform SSO
Déploiement de macOS Platform SSO pour Okta avec Jamf Pro
Déploiement de Platform SSO macOS pour Microsoft Entra ID avec Jamf Pro
Authentification unique de plateforme pour macOS
Retours et sondage sur Platform SSO
Envisagez-vous Platform SSO pour votre organisation ? Commencez par évaluer la compatibilité de votre fournisseur d'identité actuel et déterminez quelles méthodes d'authentification s'alignent avec vos exigences de sécurité et vos objectifs d'expérience utilisateur.