SSO sur la plateforme pour macOS

Okta utilise Authentification unique sur la plateforme (SSO sur la plateforme) pour simplifier l'authentification sur macOS en permettant aux utilisateurs de se connecter en toute transparence à l'aide d'un seul ensemble d'identifiants. Ces fonctionnalités réduisent la fréquence des mot de passe, rationalisent l'approvisionnement des appareils et renforcent la sécurité, tout en offrant une expérience utilisateur fluide dans toute votre entreprise.

SSO sur la plateforme s'intègre étroitement à macOS pour fournir une authentification sans mot de passe ou avec synchronisation de mot de passe directement depuis la fenêtre de connexion macOS, afin de répondre à l'évolution des besoins de votre entreprise en matière de sécurité et de convivialité.

Quels problèmes PSSO résout-il ?

PSSO est conçu pour résoudre une série de problèmes de sécurité et d'expérience utilisateur dans l'entreprise moderne :

Approvisionnement d'appareils : inscrivez des appareils et associez des comptes Okta lors de la configuration macOS initiale, y compris l'inscription de Okta FastPass. Cela permet de réduire les frais informatiques et le temps de déploiement.
Expérience utilisateur : activez une authentification fluide directement depuis la fenêtre de connexion macOS sans changement de contexte.
Options de sécurité flexibles : choisissez entre une authentification avec ou sans mot de passe en fonction des exigences de sécurité de votre organisation.
Renforcement de la posture de sécurité : activez les sessions protégées par matériel en utilisant soit des clés Enclave sécurisée, soit Synchronisation de mots de passe de bureau.

Choisissez votre méthode d'authentification SSO sur la plateforme.

Avant de commencer à configurer vos appareils, vous devez prendre une décision stratégique concernant deux méthodes d'authentification différentes : clés Enclave sécurisée ou Synchronisation de mots de passe de bureau. Ce choix définit votre posture de sécurité et l'expérience utilisateur sur les appareils macOS.

Après avoir choisi votre stratégie, vous pouvez suivre le guide d'implémentation de votre MDM spécifique, avec des instructions sur la façon de définir la méthode d'authentification appropriée.

Le tableau suivant résume les fonctionnalités disponibles pour chaque méthode authentification :

Fonctionnalité	Enclave sécurisée	Synchronisation de mots de passe de bureau
Prise en charge sur macOS 14 Sonoma et les versions ultérieures	●	●
Touch ID prise en charge du déverrouillage	●	●
l'Installation de SSO sur la plateforme necessite une MFA	●	●
Prise en charge de l'inscription de SSO sur la plateforme via l'assistant de configuration Apple	●	●
Inscrire automatiquement les utilisateurs dans Okta FastPass	●	●
Créer une session Device-Bound SSO avec Okta FastPass plus une déclaration de vérification de l’utilisateur	●
Créer une session Device-Bound SSO avec une déclaration de mot de passe		●
Mot de passe macOS local synchronisé avec Okta		●
Création de compte appareil en libre-service à l'aide identifiants Okta		●

Clé Enclave sécurisée

Lorsque SSO sur la plateforme est configuré pour utiliser une clé Enclave sécurisée, Okta fournit une authentification sans mot de passe une fois qu'un utilisateur se connecte à son appareil macOS. Les utilisateurs s'authentifient de manière transparente à l'aide de la biométrie ou d'identifiants liés à l'appareil, éliminant ainsi le besoin de synchroniser les mots de passe tout en préservant une sécurité de niveau entreprise.

Principaux avantages des clés Enclave sécurisée

L'authentification sans mot de passe supprime complètement les mots de passe du processus de connexion à l'application , réduisant ainsi l'exposition des informations d'identification et la surface d'attaque.
La sécurité matérielle utilise Applede Enclave sécurisée pour stocker et gérer les identifiants d'authentification avec une protection de niveau entreprise.
L'expérience axée sur la biométrie permet Touch ID et d'autres méthodes d'authentification biométriques pour un flux de connexion intuitif et sans heurt.
La gestion simplifiée des identifiants élimine la synchronisation des mots de passe .
L'approvisionnement simplifié des appareils prend en charge l'inscription via l'assistant de configuration Apple lors de la configuration initiale des appareils.
La conformité aux normes vous aide à répondre aux exigences réglementaires en matière d'authentification matérielle sans mot de passe.

Expérience utilisateur avec les clés Enclave sécurisée

Les clés Enclave sécuriséepermettent aux utilisateurs de s'authentifier sur leur appareil en utilisant soit Touch ID ou un facteur de connaissance local lié à l'appareil, après l'authentification initiale.

Lorsqu'un utilisateur se connecte à son appareil macOS, il permet à SSO sur la plateforme d'accéder à une clé cryptographique liée au matériel, stockée dans le Enclave sécuriséede l'appareil. PSSO utilise ensuite cette clé pour créer une session Device-Bound SSO. Cette session satisfait à toute évaluation ultérieure de la politique d’authentification qui nécessite Okta FastPass ainsi que la vérification de l’utilisateur par le biais d'un code d'accès à l'appareil ou de la biométrie.

Synchronisation de mots de passe de bureau

Cette méthode utilise Authentification unique sur la plateforme (SSO sur la plateforme) pour synchroniser le mot de passe du compte macOS local de l'utilisateur avec son mot de passe Okta. L'utilisateur n'a qu'un seul mot de passe pour son appareil et ses applications protégées par Okta.

Principaux avantages de Synchronisation de mots de passe de bureau

Pour les organisations qui ne sont pas encore prêtes pour une expérience entièrement sans mot de passe , Synchronisation de mots de passe de bureau élimine la confusion et les tickets de support technique causés par les mots de passe désynchronisés en local et dans le cloud.
Une expérience de connexion familière et cohérente pour les utilisateurs.
L'approvisionnement simplifié des appareils prend en charge l'inscription via l'assistant de configuration Apple lors de la configuration initiale des appareils.
La création de comptes locaux juste-à-temps permet aux administrateurs informatiques de déployer de nouveaux comptes locaux.

Expérience utilisateur avec Synchronisation de mots de passe de bureau

Pour un compte macOS existant, l'utilisateur se connecte à son appareil avec son mot de passe local existant. Il reçoit une demande d'enregistrement de l'appareil et associe son compte local à Okta. Une fois l'enregistrement terminé, le mot de passe du compte local se synchronise avec le mot de passe Okta, et les utilisateurs peuvent se servir de leur mot de passe Okta pour se connecter à macOS. Synchronisation de mots de passe de bureau remplace le mot de passe local macOSde l'utilisateur par son mot de passe Okta.

Le flux d'enregistrement pour PSSO inscrit également les utilisateurs dans Okta FastPass et peut activer Touch ID.

Pour un nouvel appareil macOS, lorsque l'utilisateur active le système, il passe par l'assistant de configuration Apple. Toutefois, au lieu de la page standard macOS Créer un compte d'ordinateur, l'utilisateur se voit présenter une fenêtre de connexion Okta.

L'utilisateur s'authentifie ensuite avec son email Okta, son mot de passe et toute MFA requise. Après une authentification réussie, un compte macOS local est automatiquement créé et lié à son identité Okta.

PSSO peut également créer une session Device-Bound SSO lorsqu'un utilisateur se connecte à son appareil macOS avec son mot de passe. Cette session satisfait à toute évaluation ultérieure de la politique d’authentification qui exige la vérification de l’utilisateur par un mot de passe.

Création d'un compte local juste-à-temps

La création d'un compte local juste-à-temps (JIT) est une fonctionnalité de Synchronisation de mots de passe de bureau de Okta. Cela permet la création à la demande de nouveaux comptes utilisateur sur un appareil macOS qui a déjà été déployé.

Remarque :

La création d'un compte local JIT est un concept distinct du flux initial d'intégration par identifiant via l'assistant de configuration Apple. Cette fonctionnalité nécessite un mot de passe pour créer le nouveau compte local et n’est donc disponible que si vous configurez PSSO pour utiliser Synchronisation de mots de passe de bureau.

Consultez Création d‘un compte local juste-à-temps pour macOS .

Avant de commencer

Pour configurer et déployer PSSO, votre environnement doit répondre aux conditiond suivantes :

Vous avez une org Okta Identity Engine avec Okta Device Access activé.
Vous disposez des autorisations administrateur nécessaires pour configurer les applications Okta dans votre organisation et dans votre solution Gestion des appareils mobiles.
L'authentificateur Okta Verify est installé et configuré pour votre organisation.
Les appareilsmacOS exécutent une version de système d'exploitation prise en charge sur la puce Apple. Consulter Plateformes prises en charge pour Okta Verify.
Téléchargez la dernière version de Okta Verifypour macOS via le Okta Admin Console. Consultez Télécharger Okta Verify pour macOS .
Ajoutez et configurez l'application SSO sur la plateformeà votre org Okta. Si vous ne parvenez pas à trouver l'application dans le catalogue d'applications, contactez votre responsable de compte.
Configurer les certificats d'accès à l'appareil
Les appareils sont gérés à l'aide d'une solution Gestion des appareils mobiles (MDM).
Apple Inscription automatisée d’appareils (ADE) est requis pour l'assistant de configuration sur les appareils exécutant macOS 26 TAHOE ou version ultérieure.
Si la configuration de votre organisation pour Okta FastPassexige des données biométriques, les utilisateurs dotés de comptes macOS existants doivent configurer Touch ID avant de démarrer le flux d'inscription PSSO.

Autres exigences relatives à Synchronisation de mots de passe de bureau

Désactivez l'expiration du mot de passe macOS avec votre MDM avant le déploiement. Si votre org exige une rotation des mots de passe, ajoutez une expiration de mot de passe aux comptes Okta qui l'exigent.
Les utilisateurs doivent avoir un mot de passe configuré.
Les utilisateurs ne peuvent enregistrer qu'un seul compte Okta par appareil. Par exemple, imaginez un scénario dans lequel un utilisateur est inscrit à la Synchronisation de mots de passe de bureau en tant que jane@example.com et se synchronise à l'aide du compte local sur l'appareil. Cela signifie que l'utilisateur jane@example.com ne peut pas inscrire un deuxième compte local avec les mêmes informations d'identification Okta jusqu'à ce que les paramètres d'usine soient restaurés sur l'appareil.

Guide de configuration Gestion des appareils mobiles

Pour configurer Synchronisation de mots de passe de bureauou un clé Enclave sécurisée sur vos appareils macOS, vous pouvez utiliser n‘importe quelle solution MDM qui prend en charge le déploiement de charge utile de l‘authentification unique (SSO) extensible avec l'authentification SSO sur la plateforme.

Le MDM crée des profils gérés et déploie des charges utiles pour activer PSSO sur vos appareils.

Méthode PSSO	Guide de configuration
Enclave sécurisée	MDM générique
Synchronisation de mots de passe de bureau	Jamf Pro Microsoft Intune Workspace ONE MDM générique

Rubriques connexes

Accès à l'appareilcertificats

PSSO for macOS : compatibilité des versions et fonctionnalités

Aider vos utilisateurs macOS