# Authentification unique

L’authentification unique (SSO) offre une expérience de connexion unifiée aux utilisateurs accédant à vos applications d’entreprise ou à vos sites web. Apple a introduit la fonctionnalité **SSO extensible** afin de permettre des connexions uniques plus simples et plus sécurisées pour les iPhone, iPad et appareils Mac inscrits dans une solution MDM. Le SSO extensible peut être utilisé avec des **fournisseurs d’identité tiers** pour simplifier et améliorer l’authentification unique des utilisateurs. De plus, Apple intègre une extension Kerberos native qui peut être utilisée pour connecter les utilisateurs aux applications natives et aux sites web prenant en charge l’authentification Kerberos. Pour en savoir plus sur le SSO extensible dans la documentation d’Apple, [cliquez ici](https://support.apple.com/en-in/guide/deployment/depfd9cdf845/web).

## Authentification unique extensible avec MDM

La fonctionnalité MDM dans Endpoint Central simplifie l’expérience de connexion des utilisateurs grâce au SSO extensible, qui peut être utilisé pour configurer des fournisseurs d’identité tels que le plug-in Microsoft SSO, Okta FastPass, etc. L’utilisateur doit être authentifié à l’aide de l’extension Kerberos ou via des fournisseurs d’identité. Une fois authentifiés, les utilisateurs ne seront plus invités à s’authentifier lors des connexions suivantes. Cette configuration s’applique aux appareils exécutant macOS 10.15 et versions ultérieures.

## Description du profil

| Spécification du profil | Description |
|---|---|
| Type d’extension | Sélectionnez le type d’extension à utiliser pour authentifier les utilisateurs lors de la connexion. Celui-ci doit être obtenu auprès du développeur de votre extension.<br><br>**Informations d’identification** - Utilisé pour l’authentification de type question-réponse.<br>**Redirection** - Utilisé pour l’authentification moderne telle qu’OAuth, SAML, etc.<br>**Kerberos** - Extension native d’Apple qui authentifie les utilisateurs avec Active Directory. |
| Identifiant de l’extension | Spécifiez l’identifiant du bundle de l’application d’extension qui effectue l’authentification unique. **Exemple : com.apple.AppSSOKerberos.KerberosExtension.** Obtenez l’identifiant du bundle auprès du développeur de l’application. |
| Identifiant d’équipe | Saisissez l’identifiant d’équipe de l’application. |
| URL | Si vous avez sélectionné le type d’extension Redirection, spécifiez les URL de vos fournisseurs d’identité où l’extension effectue le SSO. |
| Domaine Kerberos | Spécifiez le domaine Kerberos pour lequel l’authentification doit avoir lieu. Si le type d’extension Informations d’identification est sélectionné, obtenez le domaine Kerberos auprès du développeur de l’application. Il s’agit généralement de votre nom de domaine DNS, mais entièrement en majuscules. Par exemple, si votre domaine est zylker.com, votre domaine Kerberos est ZYLKER.COM |
| Hôte | Saisissez les domaines pouvant être authentifiés avec l’extension de l’application. **Ex. : zylker.com**<br>Pour autoriser les domaines génériques, ajoutez '.' avant le nom de domaine. **Ex. : .zylker.com** |
| Exclure des applications du SSO | Sélectionnez les applications qui ne peuvent pas utiliser l’authentification unique avec l’application d’authentification. Vous pouvez sélectionner n’importe quelle application présente sur l’appareil et/ou dans le référentiel d’applications.<br><br>Remarque : certaines applications qui utilisent Safari pour s’authentifier ne peuvent pas être exclues du SSO. Pour bloquer ces applications, Safari doit être bloqué sur l’appareil. |
| Configuration personnalisée | Pour personnaliser les configurations en fonction des besoins de votre entreprise, récupérez les valeurs nécessaires auprès du développeur de votre application et encadrez-les avec `<dict>` et `</dict>`. Reportez-vous à votre fournisseur d’identité pour connaître les options disponibles et obtenir des exemples de fichiers plist. |
| Comportement de l’écran verrouillé (Applicable uniquement à macOS 12 et versions ultérieures) | Définissez la manière dont l’authentification doit se produire lorsque l’appareil est verrouillé.<br><br>**Annuler** - Cette option arrêtera automatiquement la requête SSO une fois l’appareil verrouillé.<br>**Ne pas traiter la requête** - Cette option empêchera l’envoi de la requête au serveur d’extension.<br><br>Remarque : par défaut, le comportement de l’écran verrouillé sera « Annuler ». |
| Méthode d’authentification SSO de plateforme (Applicable uniquement à macOS 13 et versions ultérieures) | Sélectionnez la méthode d’authentification SSO de plateforme utilisée par l’extension.<br><br>1. Clé utilisateur Secure Enclave<br>2. Code d’accès |
| Jeton d’enregistrement de plateforme (Applicable uniquement à macOS 13 et versions ultérieures) | Saisissez le jeton d’enregistrement obtenu auprès de votre fournisseur d’identité. |

Pour en savoir plus sur les configurations mentionnées ci-dessus, vous pouvez consulter les documents suivants :

- [SSO avec l’extension Kerberos](https://www.apple.com/tr/business/docs/site/Kerberos_Single_Sign_on_Extension_User_Guide.pdf)
- [Plug-in Microsoft SSO extensible](https://learn.microsoft.com/en-us/azure/active-directory/develop/apple-sso-plugin)
- [SSO avec l’extension Okta FastPass](https://help.okta.com/oie/en-us/Content/Topics/identity-engine/devices/config-credential-sso-ext-macos.htm)

## Erreurs courantes

1. **Mêmes URL dans différents profils**

Vous ne pouvez pas utiliser les mêmes URL dans plusieurs profils. Si vous avez configuré la même URL dans plusieurs profils, le deuxième profil ne sera pas appliqué à l’appareil.

2. **Mêmes hôtes dans différents profils**

Vous ne pouvez pas utiliser les mêmes hôtes dans plusieurs profils. Si vous avez configuré le même hôte dans plusieurs profils, le deuxième profil ne sera pas appliqué à l’appareil.

3. **Erreur de format de configuration invalide**

Vous obtiendrez cette erreur lorsque le type d’authentification SSO de plateforme est configuré dans plusieurs profils.