L’authentification unique (SSO) offre une expérience de connexion unifiée aux utilisateurs accédant à vos applications d’entreprise ou à vos sites web. Apple a introduit la fonctionnalité SSO extensible afin de permettre des connexions uniques plus simples et plus sécurisées pour les iPhone, iPad et appareils Mac inscrits dans une solution MDM. Le SSO extensible peut être utilisé avec des fournisseurs d’identité tiers pour simplifier et améliorer l’authentification unique des utilisateurs. De plus, Apple intègre une extension Kerberos native qui peut être utilisée pour connecter les utilisateurs aux applications natives et aux sites web prenant en charge l’authentification Kerberos. Pour en savoir plus sur le SSO extensible dans la documentation d’Apple, cliquez ici.
La fonctionnalité MDM dans Endpoint Central simplifie l’expérience de connexion des utilisateurs grâce au SSO extensible, qui peut être utilisé pour configurer des fournisseurs d’identité tels que le plug-in Microsoft SSO, Okta FastPass, etc. L’utilisateur doit être authentifié à l’aide de l’extension Kerberos ou via des fournisseurs d’identité. Une fois authentifiés, les utilisateurs ne seront plus invités à s’authentifier lors des connexions suivantes. Cette configuration s’applique aux appareils exécutant macOS 10.15 et versions ultérieures.
| Spécification du profil | Description |
|---|---|
| Type d’extension | Sélectionnez le type d’extension à utiliser pour authentifier les utilisateurs lors de la connexion. Celui-ci doit être obtenu auprès du développeur de votre extension. Informations d’identification - Utilisé pour l’authentification de type question-réponse. Redirection - Utilisé pour l’authentification moderne telle qu’OAuth, SAML, etc. Kerberos - Extension native d’Apple qui authentifie les utilisateurs avec Active Directory. |
| Identifiant de l’extension | Spécifiez l’identifiant du bundle de l’application d’extension qui effectue l’authentification unique. Exemple : com.apple.AppSSOKerberos.KerberosExtension. Obtenez l’identifiant du bundle auprès du développeur de l’application. |
| Identifiant d’équipe | Saisissez l’identifiant d’équipe de l’application. |
| URL | Si vous avez sélectionné le type d’extension Redirection, spécifiez les URL de vos fournisseurs d’identité où l’extension effectue le SSO. |
| Domaine Kerberos | Spécifiez le domaine Kerberos pour lequel l’authentification doit avoir lieu. Si le type d’extension Informations d’identification est sélectionné, obtenez le domaine Kerberos auprès du développeur de l’application. Il s’agit généralement de votre nom de domaine DNS, mais entièrement en majuscules. Par exemple, si votre domaine est zylker.com, votre domaine Kerberos est ZYLKER.COM |
| Hôte | Saisissez les domaines pouvant être authentifiés avec l’extension de l’application. Ex. : zylker.com Pour autoriser les domaines génériques, ajoutez '.' avant le nom de domaine. Ex. : .zylker.com |
| Exclure des applications du SSO | Sélectionnez les applications qui ne peuvent pas utiliser l’authentification unique avec l’application d’authentification. Vous pouvez sélectionner n’importe quelle application présente sur l’appareil et/ou dans le référentiel d’applications. Remarque : certaines applications qui utilisent Safari pour s’authentifier ne peuvent pas être exclues du SSO. Pour bloquer ces applications, Safari doit être bloqué sur l’appareil. |
| Configuration personnalisée | Pour personnaliser les configurations en fonction des besoins de votre entreprise, récupérez les valeurs nécessaires auprès du développeur de votre application et encadrez-les avec <dict> et </dict>. Reportez-vous à votre fournisseur d’identité pour connaître les options disponibles et obtenir des exemples de fichiers plist. |
| Comportement de l’écran verrouillé (Applicable uniquement à macOS 12 et versions ultérieures) | Définissez la manière dont l’authentification doit se produire lorsque l’appareil est verrouillé. Annuler - Cette option arrêtera automatiquement la requête SSO une fois l’appareil verrouillé. Ne pas traiter la requête - Cette option empêchera l’envoi de la requête au serveur d’extension. Remarque : par défaut, le comportement de l’écran verrouillé sera « Annuler ». |
| Méthode d’authentification SSO de plateforme (Applicable uniquement à macOS 13 et versions ultérieures) | Sélectionnez la méthode d’authentification SSO de plateforme utilisée par l’extension. 1. Clé utilisateur Secure Enclave 2. Code d’accès |
| Jeton d’enregistrement de plateforme (Applicable uniquement à macOS 13 et versions ultérieures) | Saisissez le jeton d’enregistrement obtenu auprès de votre fournisseur d’identité. |
Pour en savoir plus sur les configurations mentionnées ci-dessus, vous pouvez consulter les documents suivants
Vous ne pouvez pas utiliser les mêmes URL dans plusieurs profils. Si vous avez configuré la même URL dans plusieurs profils, le deuxième profil ne sera pas appliqué à l’appareil.
Vous ne pouvez pas utiliser les mêmes hôtes dans plusieurs profils. Si vous avez configuré le même hôte dans plusieurs profils, le deuxième profil ne sera pas appliqué à l’appareil.
Vous obtiendrez cette erreur lorsque le type d’authentification SSO de plateforme est configuré dans plusieurs profils.
