我们的客户
单点登录(SSO)为访问企业应用或网站的用户提供统一的登录体验。Apple 推出了可扩展 SSO,以便为注册到 MDM 解决方案中的 iPhone、iPad 和 Mac 设备提供更简单且更安全的单点登录。可扩展 SSO 可与第三方身份提供商配合使用,从而简化并改进用户的单点登录体验。此外,Apple 还内置了 Kerberos 扩展,可用于将用户登录到支持 Kerberos 身份验证的原生应用和网站。若要从 Apple 文档了解有关可扩展 SSO 的更多信息,请点击这里。
Endpoint Central 中的 MDM 功能通过可扩展 SSO 简化了用户的登录体验,可用于配置身份提供商,例如 Microsoft SSO Plug-in、Okta FastPass 等。用户必须通过 Kerberos 扩展或身份提供商完成身份验证。验证成功后,用户在后续登录时将不会再次被提示进行身份验证。此配置适用于运行 macOS 10.15 及更高版本的设备。
| 配置文件规范 | 说明 |
|---|---|
| 扩展类型 | 选择在登录期间用于验证用户身份的扩展类型。此信息应从您的扩展开发人员处获取。 凭据 - 用于质询-响应类型的身份验证。 重定向 - 用于 OAuth、SAML 等现代身份验证。 Kerberos - Apple 的原生扩展,使用 Active Directory 对用户进行身份验证。 |
| 扩展标识符 | 指定执行单点登录的扩展应用的 Bundle 标识符。示例:com.apple.AppSSOKerberos.KerberosExtension。 请从应用开发人员处获取 Bundle 标识符。 |
| 团队标识符 | 输入应用的团队标识符。 |
| URL | 如果您选择的扩展类型为重定向,请指定扩展执行 SSO 时所使用的身份提供商 URL。 |
| 领域 | 指定要进行身份验证的领域。如果选择了凭据扩展类型,请从应用开发人员处获取该领域。通常这是您的 DNS 域名,但需全部大写。例如,如果您的域名是 zylker.com,则您的 Kerberos 领域为 ZYLKER.COM |
| 主机 | 输入可通过应用扩展进行身份验证的域。例如:zylker.com 若要允许通配符域,请在域名前添加“.”。例如:.zylker.com |
| 从 SSO 中排除应用 | 选择不能通过身份验证器应用使用单点登录的应用。您可以选择设备上和/或应用仓库中的任何应用。 注意:某些使用 Safari 进行身份验证的应用无法从 SSO 中排除。若要阻止这些应用,必须在设备上禁用 Safari。 |
| 自定义配置 | 若要根据企业需求自定义配置,请从您的应用开发人员处收集必要的值,并使用 <dict> 和 </dict> 将这些值括起来。请参考您的身份提供商以获取可用选项和 plist 文件示例。 |
| 锁屏行为 (仅适用于 macOS 12 及以上版本) | 定义设备锁定时身份验证的执行方式。 取消 - 设备锁定后,此选项将自动停止 SSO 请求。 不处理请求 - 此选项将阻止请求发送到扩展服务器。 注意:默认情况下,锁屏行为为“取消”。 |
| 平台 SSO 身份验证方法 (仅适用于 macOS 13 及以上版本) | 选择扩展使用的平台 SSO 身份验证方法。 1. 用户安全隔区密钥 2. 密码 |
| 平台注册令牌 (仅适用于 macOS 13 及以上版本) | 输入从您的身份提供商处获取的注册令牌。 |
若要详细了解上述配置,您可以参考以下文档
您不能在多个配置文件中使用相同的 URL。如果您在多个配置文件中配置了相同的 URL,则第二个配置文件将不会应用到设备。
您不能在多个配置文件中使用相同的主机。如果您在多个配置文件中配置了相同的主机,则第二个配置文件将不会应用到设备。
当平台 SSO 身份验证类型在多个配置文件中进行了配置时,您将收到此错误。