Hoe Apple's Platform Single Sign-On Mac-authenticatie in de onderneming transformeert
Overzicht
Authenticatiemoeheid is echt. IT-afdelingen besteden talloze uren aan het beheren van wachtwoordresets, terwijl medewerkers tijd verspillen aan het jongleren met meerdere inloggegevens tussen bedrijfsapplicaties. Ondertussen bestrijden beveiligingsteams een eindeloze stroom phishing-pogingen gericht op diezelfde wachtwoorden.
Apple's Platform Single Sign-On (PSSO) voor macOS vertegenwoordigt een fundamentele verschuiving weg van dit kapotte model. In plaats van authenticatie te behandelen als een applicatieniveau-aangelegenheid, breidt Platform SSO single sign-on mogelijkheden rechtstreeks uit naar het besturingssysteem, waardoor een uniforme authenticatie-ervaring ontstaat die reikt van het inlogvenster tot elke bedrijfsapplicatie.
In dit document en de volgende pagina's zijn er verschillende termen om uzelf mee vertrouwd te maken:
| IDP | |
|---|---|
| PSSO / Platform SSO / Platform Single Sign-On | Identiteitsprovider zoals Microsoft Entra, Okta Identity Engine, Ping, etc. |
| Secure Enclave / Secure Enclave Backed Keys / SEP | De Secure Enclave is een toegewijd beveiligd subsysteem geïntegreerd in Apple's system on a chip (SoC). De Secure Enclave is geïsoleerd van de hoofdprocessor om een extra beveiligingslaag te bieden en is ontworpen om gevoelige gebruikersgegevens veilig te houden, zelfs wanneer de Application Processor kernel gecompromitteerd raakt. Meer informatie hier |
| Simplified Setup | Een nieuwe methode om Platform SSO-registratie te vereisen tijdens de Setup Assistant tijdens Automated Device Enrollment, die ook kan worden gebruikt om het eerste lokale gebruikersaccount op macOS aan te maken |
.png)
Simplified Setup PSSO-registratie tijdens de Setup Assistant
.png)
Single Sign-On voor Mac Platform SSO-registratie wordt gepresenteerd op een bestaande computer
Wat Platform SSO Werkelijk Doet
Platform SSO transformeert het beheerde apparaat zelf in de authenticator. De geautoriseerde organisatiegebruiker krijgt toegang tot het apparaat met hun wachtwoord of biometrische inloggegevens. Eenmaal ontgrendeld, levert PSSO beveiligde tokens aan de IdP, waardoor naadloze authenticatie mogelijk wordt voor zowel web- als native applicaties die worden beheerd door de identiteitsprovider. In combinatie met Jamf Pro's mogelijkheden in macOS 26 om apparaatattestatie rechtstreeks van Apple te verkrijgen, kunt u een beveiligingstrifecta bereiken: alleen een geverifieerde, vertrouwde gebruiker die een beheerd en geauthenticeerd apparaat bedient, kan toegang krijgen tot beveiligde cloudbronnen. Platform SSO gaat dieper en integreert authenticatie op macOS-systeemniveau.
Wanneer correct geïmplementeerd, authenticeren gebruikers eenmaal tijdens het inloggen en krijgen automatisch toegang tot:
Bedrijfswebapplicaties zoals Salesforce, DropBox Business of Office 365
macOS-applicaties zoals Outlook, Slack en Microsoft Teams
Cloudservices en -bronnen
De authenticatie gebeurt transparant op de achtergrond en biedt een naadloze inlogervaring voor applicaties en services.
De Technische Basis
Platform SSO integreert cloudidentiteit in macOS. Identiteitsproviders kunnen integreren op verschillende punten van authenticatie in het besturingssysteem, waaronder lokale accountwachtwoordsynchronisatie, het vereisen van wachtwoordvalidatie tegen de cloud bij systeemstart en wake-events, of TouchID-authenticatie integreren om best practices te bewerkstelligen.
Inloggegevenssynchronisatie: Lokale Mac-accountinloggegevens synchroniseren automatisch met de identiteitsprovider van uw organisatie, waardoor wachtwoordverschil tussen lokale en cloudaccounts wordt geëlimineerd.
Vervanging van Directory Services: Platform SSO kan dienen als een modern alternatief voor traditionele Active Directory-binding, die steeds complexer en onbetrouwbaarder is geworden in moderne netwerkomgevingen... vooral in gedeelde computeromgevingen.
Relatie met SSOe
Platform SSO bouwt voort op Apple's onderliggende SSOe (Single Sign-On extensions) framework, dat integratie mogelijk maakt tussen cloudidentiteitsproviders en macOS. Hoewel SSOe-applicaties van derden kunnen worden geïmplementeerd via MDM-oplossingen, biedt Platform SSO een breder, meer geïntegreerd framework dat gebruikmaakt van dezelfde onderliggende technologieën.
Ondersteuning van Identiteitsproviders en Authenticatiemethoden
Zowel Microsoft Entra ID als Okta ondersteunen Platform SSO-functies als identiteitsproviders, maar specifieke functies en implementatiedetails kunnen verschillen tussen hun oplossingen.
De Platform SSO-framework ondersteunt bijvoorbeeld drie authenticatiemodi: Wachtwoord, Secure Enclave-backed Key of Smart Card. Zowel Microsoft Entra ID als Okta Identity Engine ondersteunen wachtwoordsynchronisatiemodus, en Microsoft's extensie kan ook worden geconfigureerd om in een van de andere modi te werken. Zowel Microsoft Entra ID als Okta Identity Engine ondersteunen ook phishing-resistente authenticatie.
Organisaties die Platform SSO-implementaties plannen, moeten zorgvuldig verifiëren dat hun gekozen authenticatiemethode aansluit bij de huidige mogelijkheden van hun identiteitsprovider. Het authenticatielandschap evolueert snel, en wat vandaag wordt ondersteund kan de komende maanden aanzienlijk uitbreiden.
Platform SSO ondersteunt meerdere authenticatiebenaderingen, elk geschikt voor verschillende organisatorische behoeften en beveiligingsvereisten. Gebruik deze tabel om te identificeren welke authenticatiemethode past bij uw IdP en use case:
| ### Authenticatiemethoden |
|---|
| Functie |
| Wachtwoordauthenticatiemodus (Wachtwoordsynchronisatie) |
| Secure Enclave Key-authenticatie |
| Smart Card-integratie |
| Tap to Login |
| Simplified Setup |
| Authenticated Guest Mode |
Technische Vereisten
Platform SSO vereist moderne hardware en software:
Hardware: Mac met Apple silicon-chip
Software: macOS 13 of later (macOS 26 vereist voor nieuwste functies)
Beheer: MDM-oplossing die Extensible Single Sign-on payloads ondersteunt, zoals Jamf Pro als onderdeel van het Jamf for Mac-aanbod.
Identiteit: Compatibele identiteitsprovider met Platform SSO-protocolondersteuning
Strategische Overwegingen
De Jamf Connect-vraag
Als u tot hier hebt gelezen, heeft u uzelf mogelijk een aantal vragen gesteld:
Vervangt het implementeren van Platform SSO met een compatibele IdP-app de behoefte aan Jamf Connect bij uw organisatie?
Hoewel er nu een grotere overlap in functionaliteit is zodra alle apparaten op macOS 26 draaien, zijn er nog steeds een aantal verschillen te overwegen tussen oplossingen, die de identiteitsstrategie van uw organisatie voor uw Macs zullen informeren.
Bronnen
Apple Platform Security - Secure Enclave
Configuring Simplified Setup for Platform SSO
Deploying macOS Platform SSO for Okta with Jamf Pro
Deploying macOS platform SSO for Microsoft Entra ID with Jamf Pro
Platform Single Sign on for macOS
Platform SSO Feedback / Survey
Overweegt u Platform SSO voor uw organisatie? Begin met het evalueren van de compatibiliteit van uw huidige identiteitsprovider en bepaal welke authenticatiemethoden aansluiten bij uw beveiligingsvereisten en gebruikerservaringsdoelen.