Single Sign-On-Erweiterung

  • nP
  • jD

Was ist eine Single Sign-On-Erweiterung?

Eine SSO-Erweiterung (Single Sign-On) ist eine Art von Anwendung für macOS oder iOS , die das Extensible Enterprise Single Sign-On-Framework von Apple nutzt. Mit diesen Anwendungen oder Erweiterungen können Identitätsanbieter (IdPs) Anwendungen erstellen, die eine nahtlose SSO-Erfahrung über native macOS Anwendungen und Browser hinweg ermöglichen. Auf diese Weise kann sich ein Endbenutzer einmal bei der Erweiterung anmelden und über macOS oder iOS authentifiziert werden. SSO-Erweiterungen können auch die Synchronisierung des lokalen macOS -Kennworts eines Benutzers mit seinem IdP-Kennwort ermöglichen.

Bei der Bereitstellung von Okta Device Trust ist diese Single Sign-On-Erweiterung nicht separat erforderlich, da die Funktionalität der SSO-Erweiterung als Teil der Okta Device Trust-Bereitstellung enthalten ist.

Wie kann ich eine Single Sign-On-Erweiterung bereitstellen?

  • Für iOS Erweiterungen ist es erforderlich, zuerst die App mit der SSO-Erweiterung über Apps and Books von Apple Business Manager bereitzustellen.

  • Für macOS Erweiterungen ist es erforderlich, zuerst die App, die die SSO-Erweiterung enthält, über Apps and Books von Apple Business Manager oder über eine benutzerdefinierte App in Kandji bereitzustellen.

  • Nach der Bereitstellung der Erweiterung konfigurieren Sie ein Single Sign-On-Profil und stellen es auf den Geräten bereit.

Konfigurieren eines Erweiterungsprofils für einmaliges Anmelden

  1. Navigieren Sie in der linken Navigationsleiste zu Library.

  2. Klicken Sie auf Neu hinzufügen und wählen Sie dann das Profil Single Sign-On-Erweiterung aus.

  3. Unter den Erweiterungsdetails sind die folgenden Optionen verfügbar:

    1. Erweiterungstyp: Anmeldeinformationen, UmleitungDiese Option bezieht sich auf den Typ der SSO-Erweiterung. In den meisten Fällen ist der Erweiterungstyp Umleitung.

    2. Erweiterungs-ID: In dieser Option geben Sie die Bundle-ID der SSO-Erweiterung an. Die Bundle-ID finden Sie, indem Sie die Datei info.plist der App überprüfen.

    3. Team-Kennung: Die Team-ID der App-Erweiterung, die einmaliges Anmelden ausführt. Erforderlich, wenn die Erweiterung macOS Geräten zugewiesen wird.

    4. Bereich: Diese Option wird nur angezeigt, wenn der Anmeldeinformationstyp Anmeldeinformationen ist. In der Regel bezieht sich dies auf einen Kerberos-Bereich, wenn die Kerberos-Erweiterung genutzt wird.

    5. Hosts: Mit dieser Option können Sie angeben, welcher Host über die SSO-Erweiterung authentifiziert werden kann. Ein Beispiel wäre eine ADFS-Instanz.

    6. URLs: Diese Option wird nur angezeigt, wenn der Erweiterungstyp Umleitung ist. Mit dieser Option können Sie das URL-Präfix angeben, für das sich die SSO-Erweiterung authentifiziert.

      Erweiterungstyp: Anmeldeinformationen Erweiterungstyp: Umleitung

Konfigurieren eines Single Sign-On-Erweiterungsprofils für die Kerberos-Erweiterung von Apple

  1. Navigieren Sie in der linken Navigationsleiste zu Library.

  2. Klicken Sie auf Neu hinzufügen und wählen Sie dann das Profil Single Sign-On-Erweiterung aus.

  3. Legen Sie den Erweiterungstyp auf Kerberos fest.

  4. Unter den Erweiterungsdetails sind die folgenden Optionen verfügbar

    1. Reich: Legen Sie den Bereich auf die Großbuchstaben Ihres Active Directory-Domänennamens fest (d. h. accuhive.io wird zu ACCUHIVE. IO)

    2. Wirte: Dieses Feld kann leer gelassen werden. Wenn Sie über Unternehmensanwendungen verfügen, die ADFS nutzen, und ADFS so konfiguriert ist, dass die Kerberos-Authentifizierung akzeptiert wird, können Sie den Host hier zu Ihrem ADFS-Server hinzufügen. (d.h. adfs.accuhive.io)

  5. Im Abschnitt Kennwortoptionen können Sie alle verfügbaren Kerberos-Erweiterungsoptionen konfigurieren (z. B. das Synchronisieren des lokalen Benutzerkennworts).

Was ist Plattform-SSO?

Platform SSO ermöglicht es Single Sign-On-Erweiterungen, ihre Funktionalität auf das macOS Anmeldefenster zu erweitern. Auf diese Weise können Benutzer ihren Mac mit einem IdP-Passwort entsperren und Just-in-Time-Konten auf einem gemeinsam genutzten Mac mit Anmeldeinformationen des Identitätsanbieters (IdP) einer Organisation erstellen. Das Passwort für den lokalen Account wird automatisch synchronisiert, sodass das Cloud-Passwort und die lokalen Passwörter übereinstimmen. Berechtigungen und lokale Gruppenmitgliedschaften können verwaltet werden, und dies gilt auch für IdP-Benutzer, die nicht über ein lokales Konto verfügen, sodass diese Anmeldeinformationen an Autorisierungsaufforderungen verwendet werden können.

Für die Plattform-SSO sind macOS 14 Sonoma oder höher sowie zusätzlich zur von Kandji bereitgestellten Plattform-SSO-Profil-Payload eine ordnungsgemäß konfigurierte Single-Sign-On-Erweiterungs-App von Ihrem Identitätsanbieter erforderlich.

Konfigurieren von Plattform-SSO

Wenn Sie Kerberos als Erweiterungstyp ausgewählt haben, ist der Abschnitt Platform SSO nicht verfügbar, da es sich nicht um komplementäre Technologien handelt.

  1. Der Abschnitt Platform SSO ist standardmäßig inaktiv. Schalten Sie das Optionsfeld um, um es zu erweitern und zu konfigurieren:

    1. Wählen Sie die Authentifizierungsmethode aus. Die SSO-Erweiterung muss diese Authentifizierungsmethode unterstützen.

    2. Wählen Sie die Berechtigungsgruppe aus, über die vorhandene lokale Benutzerkonten bei der Anmeldung verfügen sollen: Standard, Administrator oder Gruppen, die in späteren Schritten angegeben werden.

    3. Wählen Sie die Berechtigungsgruppe aus, die neue Konten, die im Anmeldefenster erstellt werden, haben sollen.

  2. Wenn Sie die Kontoerstellung im Anmeldefenster zulassen möchten, was für gemeinsam genutzte Geräte hilfreich ist, konfigurieren Sie die Verwendung des Schlüssels für gemeinsam genutzte Geräte:

    1. Wählen Sie Freigegebene Geräteschlüssel verwenden aus.

    2. Mit der Option Autorisierung zulassen (mit Identitätsanbieter-Konto) können Benutzer mit ihren IdP-Anmeldeinformationen mit Systemautorisierungsaufforderungen interagieren.

    3. Wenn Sie möchten, dass lokale Konten automatisch für Benutzer erstellt werden, wählen Sie Erstellen neuer Benutzer im Anmeldefenster zulassen aus.

Die Erstellung eines lokalen Kontos erfordert, dass das Gerät online ist, sich im Anmeldefenster befindet, FileVault entsperrt ist und dass Kandji über ein gültiges Bootstrap-Token für das Gerät verfügt.

Login-Optionen & Gruppen

  1. Als Nächstes konfigurieren Sie einige weitere Anmeldeoptionen:

    1. Der Anzeigename des Kontos ist in der Regel der Name Ihrer Organisation oder etwas, das Ihre Benutzer in Benachrichtigungen und Authentifizierungsanforderungen erkennen.

    2. Nach einer gewissen Zeit kann ein vollständiger Login erforderlich sein. Der Standardwert ist 18 Stunden (64800 Sekunden), und der Mindestwert ist 1 Stunde (3600 Sekunden).

    3. Die Attributzuordnung, die beim Anlegen neuer Benutzer oder für die Autorisierung verwendet werden soll.

  2. Schließlich können Sie Autorisierungsgruppen konfigurieren, die es Benutzern oder IT-Mitarbeitern ermöglichen, bestimmte Berechtigungen auf dem Gerät zu haben. Es gibt drei verschiedene Arten von Gruppen:

    1. Admin-Gruppen sind Gruppen von Ihrem IdP, die über Administratorzugriff auf dem Gerät verfügen sollten.

    2. Zusätzliche Gruppen sind solche, die im lokalen Verzeichnis des Geräts erstellt werden sollen.

    3. Benutzergruppen sind am nützlichsten: Sie ermöglichen es Ihnen, bestimmte macOS Systemrechte beliebigen Gruppen zuzuordnen, die im lokalen Verzeichnis erstellt werden. Zum Beispiel, um 'sudo' oder Druckerverwaltungszugriff zu gewähren.