Apple 的 Platform Single Sign-On 如何正在改變企業 Mac 驗證
概述
驗證疲勞是真實存在的。IT 部門花費無數時間管理密碼重設,而員工浪費時間在企業應用程式中切換多個認證資訊。同時,安全團隊針對這些密碼的無盡網路釣魚嘗試進行防禦。
Apple 的 Platform Single Sign-On (PSSO) 針對 macOS 代表著遠離這個破損模型的根本轉變。Platform SSO 不是將驗證視為應用程式層級的關注點,而是將單一登入功能直接擴展到作業系統中,建立一個統一的驗證體驗,跨越從登入視窗到每個企業應用程式。
在本文件和後續頁面中,有幾個術語需要熟悉:
| 術語 | 說明 |
|---|---|
| PSSO / Platform SSO / Platform Single Sign-On | 身份提供者,例如 Microsoft Entra、Okta Identity Engine、Ping 等 |
| Secure Enclave / Secure Enclave 支援的金鑰 / SEP | Secure Enclave 是整合到 Apple 系統晶片 (SoC) 中的專用安全子系統。Secure Enclave 與主處理器隔離,以提供額外的安全層級,並設計用來保護敏感使用者資料,即使應用程式處理器核心遭到洩露。更多資訊請見此處 |
| 簡化設定 | 在自動裝置註冊期間透過設定助理要求 Platform SSO 註冊的新方法,也可用來在 macOS 上建立第一個本機使用者帳戶 |
.png)
簡化設定在設定助理期間的 PSSO 註冊
.png)
在現有電腦上呈現的 Mac Platform SSO 單一登入註冊
Platform SSO 實際做了什麼
Platform SSO 將受管裝置本身轉變為驗證器。授權的組織使用者使用其密碼或生物識別認證資訊存取裝置。解鎖後,PSSO 向 IdP 提供安全權杖,啟用跨越身份提供者管理的網路和原生應用程式的無縫驗證。與 Jamf Pro 在 macOS 26 中直接從 Apple 取得裝置證明的功能相結合,您可以實現安全三重奏:只有驗證過的、受信任的使用者操作受管和驗證過的裝置才能存取安全雲端資源。Platform SSO 更深入,在 macOS 系統層級整合驗證。
如果適當部署,使用者在登入時進行一次驗證,便自動獲得存取:
企業網路應用程式,例如 Salesforce、DropBox Business 或 Office 365
macOS 應用程式,例如 Outlook、Slack 和 Microsoft Teams
雲端服務和資源
驗證以透明方式在背景進行,提供無縫登入應用程式和服務的體驗。
技術基礎
Platform SSO 將雲端身份整合到 macOS 中。身份提供者可在作業系統中的多個驗證點進行整合,包括本機帳戶密碼同步、在系統啟動和喚醒事件期間要求針對雲端的密碼驗證,或整合 TouchID 驗證以建立最佳實踐。
認證資訊同步:本機 Mac 帳戶認證資訊自動與您的組織身份提供者同步,消除本機和雲端帳戶之間的密碼漂移。
目錄服務替代方案:Platform SSO 可作為傳統 Active Directory 繫結的現代替代方案,在現代網路環境中變得越來越複雜和不可靠...特別是在共用電腦環境中。
與 SSOe 的關係
Platform SSO 建立在 Apple 的基礎 SSOe (Single Sign-On extensions) 框架之上,該框架啟用雲端身份提供者與 macOS 之間的整合。雖然第三方 SSOe 應用程式可透過 MDM 解決方案部署,但 Platform SSO 提供更廣泛、更整合的框架,利用這些相同的基礎技術。
身份提供者支援和驗證方法
Microsoft Entra ID 和 Okta 都支援 Platform SSO 功能作為身份提供者,然而特定功能和實作詳細資訊可能因其解決方案而異。
例如,Platform SSO 框架支援三種驗證模式:密碼、Secure Enclave 支援的金鑰或智慧卡。Microsoft Entra ID 和 Okta Identity Engine 都支援密碼同步模式,Microsoft 的延伸功能也可設定為改為使用其他模式之一。Microsoft Entra ID 和 Okta Identity Engine 也都支援防網路釣魚驗證。
計畫 Platform SSO 部署的組織必須仔細驗證其選擇的驗證方法與其身份提供者的目前功能相一致。驗證景觀正在快速演變,今天支援的內容可能在未來幾個月內大幅擴展。
Platform SSO 支援多種驗證方法,每種都適合不同的組織需求和安全要求。使用此表格識別哪種驗證方法適合您的 IdP 和使用案例:
| 驗證方法 | 說明與優點 | Microsoft Entra ID 支援 | Okta Identity Engine 支援 |
|---|---|---|---|
| 密碼驗證模式(密碼同步) | 透過這種 Platform SSO 方法,使用者使用本機密碼或 IdP 密碼進行驗證。它也支援 WS-Trust,允許使用者即使在管理其帳戶的 IdP 進行聯盟時也能進行驗證。 | > 支援 | > 支援 |
| Secure Enclave 金鑰驗證 | 利用 Apple 的 Secure Enclave 儲存硬體繫結的不可匯出驗證金鑰。 | > 支援 | > 目前不支援。Okta 客戶可考慮 Fastpass 功能以進行不可網路釣魚的硬體繫結驗證 |
| 智慧卡整合 | 適合具有現有智慧卡基礎結構(例如 YubiKey)的組織。 | > 支援 | > 支援 |
| 點選登入 | 在 macOS 26 中推出。將 Apple Wallet 的非接觸功能擴展至 Mac 驗證。 | > 尚不受任何身份提供者支援 | |
| 簡化設定 | 在 macOS 26 中推出。要求在設定助理期間進行 Platform SSO 註冊。 | > Microsoft Entra ID 尚不支援。 | > 支援。需要 Okta Verify 9.52 或更新版本 |
| 驗證過的訪客模式 | 在 macOS 26 中推出。允許在 IdP 驗證後建立臨時使用者。 | > 支援 | > 支援 |
技術需求
Platform SSO 需要現代硬體和軟體:
硬體:具有 Apple silicon 晶片的 Mac
軟體:macOS 13 或更新版本(最新功能需要 macOS 26)
管理:支援可擴展單一登入酬載的 MDM 解決方案,例如 Jamf Pro(Jamf for Mac 提供的一部分)。
身份:具有 Platform SSO 通訊協定支援的相容身份提供者
策略考量
Jamf Connect 問題
如果您已讀到目前為止,您可能已自問許多問題:
在相容 IdP 應用程式中實作 Platform SSO 是否會替代您組織對 Jamf Connect 的需要?
雖然一旦所有裝置都在 macOS 26 上時現在功能重疊更多,但在解決方案之間仍有許多差異需要考慮,這將影響您組織的 Mac 身份策略。
資源
Apple Platform Security - Secure Enclave
使用 Jamf Pro 為 Okta 部署 macOS Platform SSO
使用 Jamf Pro 為 Microsoft Entra ID 部署 macOS Platform SSO
macOS 的 Platform Single Sign-On
考慮為您的組織實作 Platform SSO?開始評估您目前的身份提供者相容性,並確定哪些驗證方法符合您的安全需求和使用者體驗目標。