Jak Apple Platform Single Sign-On zmienia uwierzytelnianie Mac w przedsiębiorstwie
Przegląd
Zmęczenie uwierzytelnianiem jest rzeczywiste. Działy IT spędzają niezliczone godziny na zarządzaniu resetowaniem haseł, podczas gdy pracownicy zmarnowują czas na żonglowanie wieloma poświadczeniami w aplikacjach korporacyjnych. W międzyczasie zespoły bezpieczeństwa walczą z niekończącym się strumieniem prób phishingu skierowanych na te same hasła.
Apple Platform Single Sign-On (PSSO) dla macOS reprezentuje fundamentalny przesunięcie z tego zepsutego modelu. Zamiast traktować uwierzytelnianie jako problem na poziomie aplikacji, Platform SSO rozszerza możliwości logowania jednokrotnego bezpośrednio do systemu operacyjnego, tworząc ujednolicone doświadczenie uwierzytelniania, które obejmuje od okna logowania do każdej aplikacji korporacyjnej.
W całym tym dokumencie i na kolejnych stronach istnieje kilka terminów, które powinieneś poznać:
| Termin | |
|---|---|
| IDP | Dostawca tożsamości taki jak Microsoft Entra, Okta Identity Engine, Ping itd. |
| PSSO / Platform SSO / Platform Single Sign-On | Apple Platform Single Sign-On dla macOS |
| Secure Enclave / Secure Enclave Backed Keys / SEP | Secure Enclave to dedykowany bezpieczny podsystem zintegrowany w układzie Apple system on a chip (SoC). Secure Enclave jest odizolowany od głównego procesora, aby zapewnić dodatkową warstwę bezpieczeństwa i ma zapobiegać narażeniu poufnych danych użytkownika nawet gdy jądro Application Processor zostanie zagrożone. Więcej informacji tutaj |
| Simplified Setup | Nowa metoda wymagania rejestracji Platform SSO podczas Setup Assistant w Automated Device Enrollment, którą można również użyć do utworzenia pierwszego lokalnego konta użytkownika na macOS |
.png)
Rejestracja Simplified Setup PSSO podczas Setup Assistant
.png)
Single Sign-On dla Mac Rejestracja Platform SSO prezentowana na istniejącym komputerze
Co właściwie robi Platform SSO
Platform SSO przekształca zarządzane urządzenie w uwierzytelniacz. Autoryzowany użytkownik organizacyjny uzyskuje dostęp do urządzenia przy użyciu swojego hasła lub biometrycznych poświadczeń. Po odblokowaniu PSSO zapewnia bezpieczne tokeny dostawcy tożsamości, umożliwiając bezproblemowe uwierzytelnianie zarówno w aplikacjach internetowych, jak i natywnych zarządzanych przez dostawcę tożsamości. W połączeniu z możliwościami Jamf Pro w macOS 26 uzyskania poświadczenia urządzenia bezpośrednio od Apple, możesz osiągnąć trifektę bezpieczeństwa: tylko zweryfikowany, zaufany użytkownik obsługujący zarządzane i uwierzytelnianie urządzenie może uzyskać dostęp do bezpiecznych zasobów w chmurze. Platform SSO idzie głębiej, integrując uwierzytelnianie na poziomie systemu macOS.
Po prawidłowym wdrażaniu użytkownicy uwierzytelniają się raz podczas logowania i automatycznie uzyskują dostęp do:
Korporacyjnych aplikacji internetowych takich jak Salesforce, DropBox Business lub Office 365
Aplikacji macOS takich jak Outlook, Slack i Microsoft Teams
Usług w chmurze i zasobów
Uwierzytelnianie odbywa się transparentnie w tle, zapewniając bezproblemowe doświadczenie logowania do aplikacji i usług.
Fundament techniczny
Platform SSO integruje tożsamość w chmurze z macOS. Dostawcy tożsamości mogą integrować się na kilku punktach uwierzytelniania w systemie operacyjnym, w tym synchronizacja hasła lokalnego konta, wymaganie walidacji hasła względem chmury podczas uruchamiania systemu i zdarzeń wznowienia, lub integracja TouchID w celu ustanowienia najlepszej praktyki.
Synchronizacja poświadczeń: Poświadczenia lokalnego konta Mac automatycznie synchronizują się z dostawcą tożsamości twojej organizacji, eliminując dryf hasła między kontami lokalnymi i chmurowymi.
Zastąpienie usług katalogowych: Platform SSO może służyć jako nowoczesna alternatywa tradycyjnego powiązania Active Directory, które stało się coraz bardziej skomplikowane i zawodne w nowoczesnych środowiskach sieciowych, szczególnie w środowiskach komputerów współużytkowanych.
Relacja do SSOe
Platform SSO opiera się na podstawowej strukturze Apple SSOe (Single Sign-On extensions), która umożliwia integrację między dostawcami tożsamości w chmurze a macOS. Chociaż aplikacje SSOe innych firm mogą być wdrażane za pośrednictwem rozwiązań MDM, Platform SSO zapewnia szerszą, bardziej zintegrowaną strukturę wykorzystującą te same podstawowe technologie.
Obsługa dostawcy tożsamości i metody uwierzytelniania
Zarówno Microsoft Entra ID, jak i Okta obsługują funkcje Platform SSO jako dostawcy tożsamości, jednak określone funkcje i szczegóły implementacji mogą się różnić między ich rozwiązaniami.
Na przykład struktura Platform SSO obsługuje trzy tryby uwierzytelniania: Hasło, klucz wspierany przez Secure Enclave lub Kartę inteligentną. Zarówno Microsoft Entra ID, jak i Okta Identity Engine obsługują tryb synchronizacji hasła, a rozszerzenie Microsoft można również skonfigurować do pracy w jednym z pozostałych trybów. Zarówno Microsoft Entra ID, jak i Okta Identity Engine obsługują również uwierzytelnianie odporne na phishing.
Organizacje planujące wdrożenia Platform SSO muszą ostrożnie sprawdzić, czy wybrana metoda uwierzytelniania jest zgodna z bieżącymi możliwościami ich dostawcy tożsamości. Krajobraz uwierzytelniania szybko się zmienia, a to, co jest obsługiwane dzisiaj, może znacznie rozszerzyć się w nadchodzących miesiącach.
Platform SSO obsługuje wiele podejść do uwierzytelniania, każde dostosowane do różnych potrzeb organizacyjnych i wymagań bezpieczeństwa. Użyj tej tabeli, aby zidentyfikować, która metoda uwierzytelniania pasuje do twojego IdP i przypadku użycia:
| ### Metody uwierzytelniania |
|---|
| Funkcja |
| Tryb uwierzytelniania hasłem (Synchronizacja hasła) |
| Uwierzytelnianie klucza Secure Enclave |
| Integracja karty inteligentnej |
| Naciśnij, aby się zalogować |
| Simplified Setup |
| Tryb uwierzytelnionych gości |
Wymagania techniczne
Platform SSO wymaga nowoczesnego sprzętu i oprogramowania:
Sprzęt: Mac z chipem Apple silicon
Oprogramowanie: macOS 13 lub nowszy (macOS 26 wymagany dla najnowszych funkcji)
Zarządzanie: Rozwiązanie MDM obsługujące ładunki Extensible Single Sign-on takie jak Jamf Pro część oferty Jamf dla Mac.
Tożsamość: Kompatybilny dostawca tożsamości z obsługą protokołu Platform SSO
Rozważania strategiczne
Pytanie dotyczące Jamf Connect
Jeśli czytałeś do tego momentu, mogłeś sobie zadać wiele pytań:
Czy wdrożenie Platform SSO ze zgodnym dostawcą aplikacji IdP eliminuje potrzebę korzystania z Jamf Connect w twojej organizacji?
Chociaż teraz istnieje większe nakładanie się funkcjonalności, gdy wszystkie urządzenia są na macOS 26, nadal istnieje wiele różnic do rozważenia między rozwiązaniami, które będą informować strategię tożsamości twojej organizacji dla twoich Maców.
Zasoby
Apple Platform Security - Secure Enclave
Configuring Simplified Setup for Platform SSO
Deploying macOS Platform SSO for Okta with Jamf Pro
Deploying macOS platform SSO for Microsoft Entra ID with Jamf Pro
Platform Single Sign on for macOS
Platform SSO Feedback / Survey
Rozważasz Platform SSO dla twojej organizacji? Zacznij od oceny zgodności dostawcy tożsamości i określenia, które metody uwierzytelniania są dostosowane do twoich wymagań bezpieczeństwa i celów doświadczenia użytkownika.