Extensión de inicio de sesión único

  • EF

¿Qué es una extensión de inicio de sesión único?

Una extensión de inicio de sesión único (SSO) es un tipo de aplicación para macOS o iOS que aprovecha el marco de inicio de sesión único empresarial extensible de Apple. Estas aplicaciones, o extensiones, permiten a los proveedores de identidad (IdP) crear aplicaciones que permiten una experiencia de SSO fluida en aplicaciones y navegadores de macOS nativos. Esto permite que un usuario final inicie sesión una vez en la extensión y se autentique en macOS o iOS. Las extensiones de SSO también pueden permitir sincronizar la contraseña de macOS local de un usuario con su contraseña de IdP.

Al implementar Okta Device Trust, esta extensión de inicio de sesión único no es necesaria por separado porque la funcionalidad de la extensión SSO se incluye como parte de la implementación de Okta Device Trust.

¿Cómo puedo implementar una extensión de inicio de sesión único?

  • Para iOS extensiones, primero es necesario implementar la aplicación que contiene la extensión SSO a través de Apps and Books desde Apple Business Manager.

  • En el caso de las extensiones macOS , primero es necesario implementar la aplicación que contiene la extensión SSO a través de Apps and Books desde Apple Business Manager o mediante una aplicación personalizada en Kandji.

  • Después de implementar la extensión, configurará e implementará un perfil de inicio de sesión único en los dispositivos.

Configurar un perfil de extensión de inicio de sesión único

  1. Vaya a Biblioteca en la barra de navegación de la izquierda. 

  2. Haga clic en Agregar nuevo y, a continuación, seleccione el perfil de extensión de inicio de sesión único.

  3. En los detalles de la extensión, están disponibles las siguientes opciones:

    1. Tipo de extensión: Credencial, RedireccionamientoEsta opción se refiere al tipo de extensión SSO. En la mayoría de los casos, el tipo de extensión será Redireccionamiento

    2. Identificador de extensión: En esta opción, se especifica el ID de paquete de la extensión SSO. El identificador del paquete se puede encontrar inspeccionando el archivo info.plist de la aplicación.

    3. Identificador de equipo: El identificador de equipo de la extensión de aplicación que realiza el inicio de sesión único. Obligatorio si la extensión se va a asignar a macOS dispositivos.

    4. Dominio: Esta opción solo se mostrará si el tipo de credencial es Credencial. Normalmente, esto se hace referencia a un dominio Kerberos cuando se aprovecha la extensión Kerberos. 

    5. Hosts: Esta opción le permite especificar qué host se puede autenticar a través de la extensión SSO. Un ejemplo sería una instancia de ADFS. 

    6. URLs: Esta opción solo se mostrará si el tipo de extensión es Redirect. Esta opción le permite especificar el prefijo de URL en nombre del cual se autenticará la extensión SSO.

      Tipo de extensión: Credencial Tipo de extensión: Redireccionamiento 

Configurar un perfil de extensión de inicio de sesión único para la extensión Kerberos de Apple

  1. Vaya a Biblioteca en la barra de navegación de la izquierda. 

  2. Haga clic en Agregar nuevo y, a continuación, seleccione el perfil de extensión de inicio de sesión único.

  3. Establezca el tipo de extensión en Kerberos.

  4. En los detalles de la extensión, están disponibles las siguientes opciones

    1. Reino: Establezca el Reino en la forma mayúscula de su nombre de dominio de Active Directory (es decir, accuhive.io se convierte en ACCUHIVE. IO)

    2. Hosts: Esto se puede dejar vacío. Si tiene aplicaciones empresariales que aprovechan ADFS y ADFS está configurado para aceptar la autenticación Kerberos, puede agregar el host al servidor ADFS aquí. (es decir, adfs.accuhive.io) 

  5. En la sección Opciones de contraseña , puede configurar todas las opciones de extensión de Kerberos disponibles (como sincronizar la contraseña de usuario local).

¿Qué es el SSO de la plataforma?

El SSO de la plataforma permite que las extensiones de inicio de sesión único amplíen su funcionalidad a la ventana de inicio de sesión macOS . Esto permitirá a los usuarios desbloquear su Mac usando una contraseña de IdP y la creación justo a tiempo de cuentas locales en una Mac compartida usando credenciales del proveedor de identidad (IdP) de una organización. La contraseña de la cuenta local se mantiene sincronizada automáticamente, por lo que la contraseña de la nube y las contraseñas locales coinciden. Los permisos y las membresías de grupos locales se pueden administrar, y esto también se extiende a los usuarios de IdP que no tienen una cuenta local, por lo que esas credenciales se pueden usar en las solicitudes de autorización.

El SSO de plataforma requiere macOS 14 Sonoma o posteriores y, además de la carga útil del perfil de SSO de plataforma implementada por Kandji, una aplicación de extensión de inicio de sesión único configurada correctamente de su proveedor de identidad.

Configurar el SSO de la plataforma

Si seleccionó Kerberos como tipo de extensión, la sección SSO de la plataforma no estará disponible, ya que no son tecnologías complementarias.

  1. La sección SSO de la plataforma está inactiva de forma predeterminada. Alterna el botón de opción para expandirlo y configurarlo:

    1. Seleccione el método de autenticación. La extensión de SSO debe admitir este método de autenticación.

    2. Seleccione el grupo de permisos que deben tener las cuentas de usuario local existentes al iniciar sesión: Estándar, administrador o grupos que se especificarán en pasos posteriores.

    3. Seleccione el grupo de permisos que deben tener las nuevas cuentas creadas en la ventana de inicio de sesión. 

  2. Si desea permitir la creación de cuentas en la ventana de inicio de sesión, lo cual es útil para dispositivos compartidos, configure el uso de claves de dispositivo compartido:

    1. Selecciona Usar claves de dispositivo compartidas.

    2. Permitir autorización (con cuenta de proveedor de identidad) permitirá a los usuarios interactuar con las solicitudes de autorización del sistema mediante sus credenciales de IdP.

    3. Si desea que las cuentas locales se creen automáticamente para los usuarios, seleccione Permitir la creación de nuevos usuarios en la ventana de inicio de sesión.

La creación de una cuenta local requiere que el dispositivo esté en línea, en la ventana de inicio de sesión con FileVault desbloqueado y que Kandji tenga un token de arranque válido para el dispositivo.

Opciones de inicio de sesión y grupos

  1. A continuación, configurará algunas opciones de inicio de sesión más:

    1. El nombre para mostrar de la cuenta suele ser el nombre de la organización o algo que los usuarios reconocerán cuando aparezca en las notificaciones y las solicitudes de autenticación.

    2. Es posible que se requiera un inicio de sesión completo después de un cierto período de tiempo. El valor predeterminado es 18 horas (64800 segundos) y el valor mínimo es 1 hora (3600 segundos).

    3. La asignación de atributos que se va a utilizar al crear nuevos usuarios o para la autorización. 

  2. Por último, puede configurar grupos de autorización que permitirán a los usuarios o al personal de TI tener permisos específicos en el dispositivo. Hay tres tipos diferentes de grupos:

    1. Los grupos de administración son grupos de tu IdP que deben tener acceso de administrador en el dispositivo.

    2. Los grupos adicionales son los que le gustaría ver creados en el directorio local del dispositivo.

    3. Los grupos de usuarios son los más útiles: le permiten asignar derechos específicos de macOS sistemas a grupos arbitrarios que se crearán en el directorio local. Por ejemplo, para conceder acceso a la administración de impresoras o 'sudo'.