macOS 平台 SSO

Apple 的平台单点登录如何改变企业 Mac 身份验证

概述

身份验证疲劳是真实存在的。IT 部门花费无数小时管理密码重置，而员工则浪费时间在多个企业应用程序之间切换多个凭证。与此同时，安全团队则在与针对这些密码的无休止的网络钓鱼尝试作斗争。

Apple 的 macOS 平台单点登录 (PSSO) 代表了从这个有缺陷的模式的根本转变。平台 SSO 不是将身份验证视为应用级别的问题，而是将单点登录功能直接扩展到操作系统中，创建了一个统一的身份验证体验，从登录窗口跨越到每个企业应用程序。

在本文档和后续页面中，有几个需要熟悉的术语：

IDP
PSSO / 平台 SSO / 平台单点登录	身份提供者，例如 Microsoft Entra、Okta Identity Engine、Ping 等
安全隔区 / 安全隔区支持的密钥 / SEP	安全隔区是集成到 Apple 芯片系统 (SoC) 中的专用安全子系统。安全隔区与主处理器隔离，可提供额外的安全层，旨在确保即使应用程序处理器内核遭到破坏也能保护敏感用户数据。更多信息请点击此处
简化设置	一种新方法，在自动设备注册过程中通过设置助手要求平台 SSO 注册，也可用于在 macOS 上创建第一个本地用户账户

设置助手中的简化设置平台 SSO 注册

在现有计算机上展示的 Mac 平台单点登录注册

平台 SSO 的实际功能

平台 SSO 将受管设备本身转变为身份验证器。授权的组织用户使用其密码或生物识别凭证访问设备。解锁后，PSSO 为 IdP 提供安全令牌，从而实现跨身份提供者管理的 Web 和本地应用程序的无缝身份验证。结合 Jamf Pro 在 macOS 26 中的功能以直接从 Apple 获取设备证明，你可以实现安全三位一体：只有经过验证的受信任用户操作受管且经过身份验证的设备才能访问安全云资源。平台 SSO 深入应用，在 macOS 系统级别集成身份验证。

正确部署后，用户在登录时只需进行一次身份验证，便可自动获得以下访问权限：

企业 Web 应用程序，如 Salesforce、DropBox Business 或 Office 365
macOS 应用程序，如 Outlook、Slack 和 Microsoft Teams
云服务和资源

身份验证在后台透明进行，为应用程序和服务提供无缝登录体验。

技术基础

平台 SSO 将云身份集成到 macOS 中。身份提供者可以在操作系统中的多个身份验证点进行集成，包括本地账户密码同步、要求在系统启动和唤醒事件时针对云进行密码验证，或集成 TouchID 身份验证以建立最佳实践。

凭证同步：本地 Mac 账户凭证会自动与组织的身份提供者同步，消除本地账户和云账户之间的密码漂移。
目录服务替代：平台 SSO 可作为传统 Active Directory 绑定的现代替代品，后者在现代网络环境中变得越来越复杂且不可靠……尤其是在共享计算机环境中。

与 SSOe 的关系

平台 SSO 基于 Apple 的基础 SSOe (单点登录扩展) 框架构建，该框架支持云身份提供者与 macOS 之间的集成。虽然可通过 MDM 解决方案部署第三方 SSOe 应用程序，但平台 SSO 提供了更广泛、更集成的框架，利用相同的底层技术。

身份提供者支持和身份验证方法

Microsoft Entra ID 和 Okta 都支持平台 SSO 功能作为身份提供者，但具体功能和实现细节在其解决方案之间可能存在差异。

例如，平台 SSO 框架支持三种身份验证模式：密码、安全隔区支持的密钥或智能卡。Microsoft Entra ID 和 Okta Identity Engine 都支持密码同步模式，Microsoft 的扩展也可配置为改用其他模式之一。Microsoft Entra ID 和 Okta Identity Engine 都支持抗网络钓鱼身份验证。

规划平台 SSO 部署的组织必须仔细验证其选定的身份验证方法是否与其身份提供者的当前功能相符。身份验证格局正在快速发展，今天支持的功能可能在未来几个月大幅扩展。

平台 SSO 支持多种身份验证方法，各适合不同的组织需求和安全要求。使用此表格找出哪种身份验证方法适合你的 IdP 和用例：

### 身份验证方法
功能
密码身份验证模式（密码同步）
安全隔区密钥身份验证
智能卡集成
轻点登录
简化设置
已认证来宾模式