Apple의 Platform Single Sign-On이 엔터프라이즈에서 Mac 인증을 어떻게 변환하고 있는지
개요
인증 피로는 현실입니다. IT 부서는 비밀번호 재설정을 관리하는 데 무수한 시간을 보내고, 직원들은 회사 애플리케이션에서 여러 자격 증명을 관리하는 데 시간을 낭비하고, 보안 팀은 동일한 비밀번호를 대상으로 하는 끝없는 피싱 시도와 싸웁니다.
Apple의 Platform Single Sign-On (PSSO) for macOS는 이 부서진 모델에서 근본적인 전환을 나타냅니다. 인증을 애플리케이션 수준의 관심사로 취급하는 대신 Platform SSO는 단일 사인온 기능을 운영 체제에 직접 확장하여 로그인 창에서 모든 회사 애플리케이션에 이르기까지 통합된 인증 환경을 만듭니다.
이 문서 및 후속 페이지 전체에는 자신을 익숙하게 할 여러 용어들이 있습니다:
| IDP | |
|---|---|
| PSSO / Platform SSO / Platform Single Sign- On | Microsoft Entra, Okta Identity Engine, Ping 등과 같은 ID 제공자. |
| Secure Enclave / Secure Enclave Backed Keys / SEP | Secure Enclave는 Apple System on a Chip (SoC)에 통합된 전용 보안 서브시스템입니다. Secure Enclave는 메인 프로세서에서 격리되어 추가 보안 계층을 제공하며 애플리케이션 프로세서 커널이 손상된 경우에도 민감한 사용자 데이터를 안전하게 보관하도록 설계되었습니다.here에서 자세히 알아보세요. |
| Simplified Setup | 자동 장치 등록 중에 Setup Assistant 중에 Platform SSO 등록을 요구하는 새로운 방법으로, macOS에서 첫 번째 로컬 사용자 계정을 만드는 데에도 사용할 수 있습니다. |
.png)
Setup Assistant 중에 Simplified Setup PSSO 등록
.png)
기존 컴퓨터에 제시되는 Mac Platform SSO 등록용 Single Sign-On
Platform SSO가 실제로 하는 일
Platform SSO는 관리되는 장치 자체를 인증자로 변환합니다. 승인된 조직 사용자는 비밀번호 또는 생체 자격 증명을 사용하여 장치에 액세스합니다. 잠금 해제되면 PSSO는 IdP에 보안 토큰을 제공하여 ID 제공자가 관리하는 웹 및 네이티브 애플리케이션 전체에서 원활한 인증을 가능하게 합니다. Jamf Pro의 macOS 26 기능과 함께 Apple에서 직접 장치 증명을 얻을 수 있는 능력을 결합하면 보안 트리오를 달성할 수 있습니다: 인증된 신뢰할 수 있는 사용자가 관리되고 인증된 장치를 운영하는 경우만 보안 클라우드 리소스에 액세스할 수 있습니다. Platform SSO는 더 깊이 들어가 macOS 시스템 수준에서 인증을 통합합니다.
적절하게 배포되면 사용자는 로그인 중에 한 번 인증하고 자동으로 다음에 액세스할 수 있습니다:
Salesforce, DropBox Business 또는 Office 365와 같은 회사 웹 애플리케이션
Outlook, Slack 및 Microsoft Teams와 같은 macOS 애플리케이션
클라우드 서비스 및 리소스
인증은 투명하게 백그라운드에서 발생하여 애플리케이션 및 서비스에 원활한 로그인 환경을 제공합니다.
기술 기반
Platform SSO는 클라우드 ID를 macOS에 통합합니다. ID 제공자는 로컬 계정 비밀번호 동기화, 시스템 시작 및 절전 해제 이벤트 중 클라우드에 대해 비밀번호 검증을 요구하거나 최선의 실행으로 TouchID 인증을 통합하는 것을 포함하여 OS의 여러 인증 지점에서 통합될 수 있습니다.
자격 증명 동기화: 로컬 Mac 계정 자격 증명이 조직의 ID 제공자와 자동으로 동기화되어 로컬과 클라우드 계정 간의 비밀번호 드리프트를 제거합니다.
디렉토리 서비스 교체: Platform SSO는 현대 네트워크 환경에서 점점 더 복잡해지고 신뢰할 수 없게 된 Active Directory 바인딩의 현대적 대안으로 사용될 수 있습니다. 특히 공유 컴퓨터 환경에서.
SSOe와의 관계
Platform SSO는 클라우드 ID 제공자와 macOS 간의 통합을 가능하게 하는 Apple의 기본 SSOe (Single Sign-On 확장) 프레임워크 위에 구축됩니다. 제3의 SSOe 애플리케이션을 MDM 솔루션을 통해 배포할 수 있지만 Platform SSO는 동일한 기본 기술을 활용하는 더 광범위하고 통합된 프레임워크를 제공합니다.
ID 제공자 지원 및 인증 방법
Microsoft Entra ID와 Okta는 ID 제공자로 Platform SSO 기능을 지원하지만 특정 기능과 구현 세부 사항은 솔루션 간에 다를 수 있습니다.
예를 들어 Platform SSO 프레임워크는 세 가지 인증 모드를 지원합니다: 비밀번호, Secure Enclave 지원 키 또는 스마트 카드. Microsoft Entra ID와 Okta Identity Engine은 모두 비밀번호 동기화 모드를 지원하며, Microsoft의 확장은 대신 다른 모드 중 하나로 작동하도록 구성될 수도 있습니다. Microsoft Entra ID와 Okta Identity Engine은 모두 피싱 저항성 인증을 지원합니다.
Platform SSO 배포를 계획하는 조직은 선택한 인증 방법이 ID 제공자의 현재 기능과 일치하는지 신중하게 확인해야 합니다. 인증 환경이 빠르게 진화하고 있으며 오늘 지원되는 것이 앞으로 수 개월 동안 크게 확장될 수 있습니다.
Platform SSO는 다양한 조직의 필요와 보안 요구에 맞는 여러 인증 접근 방식을 지원합니다. 이 표를 사용하여 IdP 및 사용 사례에 맞는 인증 방법을 식별하십시오:
| ### 인증 방법 |
|---|
| 기능 |
| 비밀번호 인증 모드 (비밀번호 동기화) |
| Secure Enclave 키 인증 |
| 스마트 카드 통합 |
| 탭하여 로그인 |
| Simplified Setup |
| 인증 게스트 모드 |
기술 요구 사항
Platform SSO에는 최신 하드웨어 및 소프트웨어가 필요합니다:
하드웨어: Apple Silicon 칩이 있는 Mac
소프트웨어: macOS 13 이상(최신 기능에는 macOS 26 필요)
관리: 확장 가능한 Single Sign-On 페이로드를 지원하는 MDM 솔루션(예: Jamf for Mac의 일부인 Jamf Pro).
ID: Platform SSO 프로토콜 지원을 가진 호환 ID 제공자
전략적 고려 사항
Jamf Connect 질문
지금까지 읽으셨다면 자신에게 많은 질문을 했을 수 있습니다:
호환 IdP 앱으로 Platform SSO를 구현하면 조직에서 Jamf Connect의 필요성이 대체되는가?
모든 장치가 macOS 26에 있으면 이제 기능에 더 많은 겹침이 있지만 여전히 솔루션 간에 고려할 많은 차이점이 있으며, 이는 Mac에 대한 조직의 ID 전략을 알려줄 것입니다.
리소스
Apple Platform Security - Secure Enclave
Platform SSO를 위한 Simplified Setup 구성
Jamf Pro를 사용하여 Okta를 위한 macOS Platform SSO 배포
Jamf Pro를 사용하여 Microsoft Entra ID를 위한 macOS Platform SSO 배포
macOS용 Platform Single Sign On
조직에 대해 Platform SSO를 고려하고 있습니까? 현재 ID 제공자 호환성을 평가하고 어떤 인증 방법이 보안 요구 사항 및 사용자 경험 목표와 일치하는지 결정하여 시작합니다.