macOS용 플랫폼 단일 로그인(SSO)
플랫폼 단일 로그인(플랫폼 SSO)을 사용하면 개발자는 macOS 로그인 윈도우까지 확장하는 SSO 확장 프로그램을 개발하여 사용자가 로컬 계정 자격 증명을 신원 제공자(IdP)와 동기화할 수 있도록 허용할 수 있습니다. 로컬 계정 암호는 자동으로 동기화되기 때문에 클라우드 암호와 로컬 암호는 일치합니다. 또한 사용자는 Touch ID 및 Apple Watch로 Mac을 잠금 해제할 수 있습니다.
플랫폼 SSO의 요구 사항은 다음과 같습니다.
Mac에 macOS 13 이상이 설치되어 있어야 함
플랫폼 SSO에 대한 지원이 포함된 확장 가능한 단일 로그인 페이로드를 지원하는 MDM(모바일 기기 관리) 솔루션
플랫폼 SSO 인증 프로토콜에 대한 IdP 지원
지원되는 다음 두 가지 인증 방식 중 하나:
Secure Enclave 기반 키로 인증: 이 방식을 통해 Mac에 로그인하는 사용자는 Secure Enclave 지원 키를 사용하여 암호 없이 IdP를 인증할 수 있습니다. 사용자를 등록하는 동안 Secure Enclave 키는 IdP로 설정됩니다.
암호 인증: 이 방식을 통해 사용자는 로컬 암호 또는 IdP 암호로 인증합니다.
참고: Mac이 MDM 솔루션에서 등록 해제되면 해당 Mac은 IdP에서도 등록 해제됩니다.
플랫폼 SSO 기능
기능 | 지원되는 최소 운영 체제 | 설명 |
|---|---|---|
인증 필요 | macOS 15 | FileVault, 잠금 화면 및 로그인 윈도우에서 IdP 인증을 요구합니다. |
인증 필요 | macOS 15 | 필요에 따라 오프라인 및 인증 유예 기간을 구성하여 사용자가 오프라인일 때 로그인하거나 화면을 잠금 해제할 수 있도록 합니다. |
인증 필요 | macOS 15 | Touch ID 또는 Apple Watch로 화면을 잠금 해제하도록 선택적으로 구성할 수 있습니다. |
시스템 설정의 사용자 등록 및 등록 상태 | macOS 14 | SSO에 사용하도록 사용자가 시스템 설정에서 자신의 기기 또는 사용자 계정을 등록할 수 있습니다. 또한 메뉴 항목이 현재 등록 상태를 표시하고 발생한 오류를 나타내어 사용자 투명성을 향상합니다. 이를 통해 사용자는 다시 등록을 완료할 필요가 있는지 알 수 있습니다. |
사용자에 의한 로컬 계정 생성 | macOS 14 | 공유 배포에서 계정 관리가 가능하도록 사용자는 자신의 IdP 사용자 이름 및 암호 또는 스마트 카드를 사용하여 FileVault가 잠금 해제된 Mac에 로그인하고 로컬 계정을 생성할 수 있습니다. 새로운
|
인증 프롬프트에서 로컬이 아닌 IdP 사용자 계정 사용 | macOS 14 | 플랫폼 SSO는 Mac에 로컬 사용자 계정이 없는 사용자가 인증 목적을 위해 IdP 자격 증명을 사용할 수 있도록 합니다. 이러한 계정은 그룹 관리와 동일한 그룹을 사용합니다. 예를 들어, 사용자가 관리 그룹 중 하나의 구성원인 경우 macOS 관리자 인증 프롬프트에서 해당 계정을 사용할 수 있습니다. Secure Token, 소유권 권한 또는 현재 로그인된 사용자의 인증을 요구하는 인증 프롬프트는 여기에서 제외됩니다. |
사용자가 자신의 IdP로 인증할 때 사용자의 그룹 회원 권한 업데이트 | macOS 14 | macOS에서 그룹 회원 권한을 사용하여 권한을 세부적으로 관리할 수 있습니다. 사용자가 IdP를 사용하여 인증할 때마다 사용자의 그룹 회원 권한이 업데이트됩니다. 다음과 같은 세 가지 배열 키로 그룹 회원 권한을 정의할 수 있습니다.
|
WS-Trust 연합 | macOS 13.3 | 사용자 계정이 Microsoft Entra ID와 연합된 IdP에 의해 관리될 때 플랫폼 SSO가 해당 사용자를 성공적으로 인증하도록 허용합니다. |