Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

Uso di NinjaOne per configurare il Single Sign-On (SSO) della piattaforma su macOS

Argomento

Questo articolo spiega come configurare Platform SSO per i dispositivi macOS con Entra ID utilizzando NinjaOne. Descrive inoltre la procedura di registrazione in modo che l'utente finale possa vedere quando il proprio dispositivo è stato registrato nella gestione dei dispositivi mobili (MDM) NinjaOne.

Ambiente

  • NinjaOne MDM
  • macOS
  • Piattaforma Apple
  • Microsoft Entra

Descrizione

Platform SSO è una tecnologia sviluppata da Apple per macOS che consente agli identity provider (IDP) di gestire l'accesso SSO alle app aziendali in base al login locale dell'utente sul dispositivo stesso. Per ulteriori informazioni su questo prodotto, visitare il sito degli sviluppatori: Accesso singolo alla piattaforma per macOS - Supporto Apple (esterno).

A seconda dell'implementazione specifica, Platform SSO può consentire diversi tipi di funzionalità. Attualmente, gli account utente locali esistenti su un dispositivo macOS riceveranno una notifica per autenticarsi e registrarsi a Platform SSO per il proprio account. I tecnici possono definire facoltativamente la politica per consentire la creazione di account utente locali successivi tramite l'autenticazione dell'IDP nella finestra di accesso al dispositivo locale.

Questo articolo fornisce un esempio del processo di distribuzione. È possibile utilizzare altri metodi di distribuzione compatibili per installare il software.

Indice

Requisiti

Per configurare Platform SSO, è necessario soddisfare determinati requisiti indipendentemente dall'IDP e dalla gestione dei dispositivi mobili (MDM), anche se i passaggi esatti possono variare a seconda dell'implementazione.

  1. L'IDP (ad esempio Microsoft o Okta) deve supportare il protocollo Platform SSO.
  2. Il dispositivo macOS deve essere registrato in MDM.
  3. L'estensione Platform SSO pertinente (un'app nativa per macOS) deve essere distribuita sul dispositivo.
  4. Il profilo MDM dell'estensione Platform SSO deve essere distribuito sul dispositivo.

Platform SSO supporta tre metodi di autenticazione per gli utenti come protocollo. Anche l'IDP utilizzato per l'autenticazione deve supportare questi stessi metodi; in caso contrario, solo un sottoinsieme di questi metodi potrebbe essere disponibile per un particolare IDP.

  • Chiave protetta da Secure Enclave: nella maggior parte dei casi, questo è il metodo di autenticazione preferito e più sicuro quando si utilizza Platform SSO con un IDP che lo supporta. Con questo metodo di autenticazione, l'utente crea una password locale per il dispositivo. Una volta registrato Platform SSO, il dispositivo genera una chiave crittografica legata all'hardware che viene utilizzata per l'SSO con qualsiasi sito web e app federati con l'IDP per l'autenticazione.
    • Poiché la chiave di autenticazione è associata al dispositivo fisico e non è mai nota all'utente finale, ciò consente un metodo di autenticazione senza password e resistente al phishing per le app aziendali. Con questo approccio, la password locale del dispositivo funge effettivamente da numero di identificazione personale (PIN) del dispositivo utilizzato per accedere solo al dispositivo fisico.
  • Smartcard: una smartcard o un token hardware viene utilizzato per accedere localmente a macOS. Una volta effettuato l'accesso, la stessa smartcard viene utilizzata per il SSO in qualsiasi app federata con l'IDP per l'autenticazione.
  • Codice di accesso: la password IDP dell'utente viene sincronizzata con la password del dispositivo locale. Questa password viene utilizzata per l'accesso SSO a qualsiasi app federata con l'IdP per l'autenticazione.
    • Sebbene ciò offra una maggiore comodità all'utente finale, poiché la password del dispositivo locale diventa la stessa della password IDP, crea un rischio aggiuntivo di phishing. Se una terza parte malintenzionata venisse a conoscenza del codice di accesso IDP, potrebbe potenzialmente accedere sia al dispositivo fisico che a qualsiasi app aziendale federata con l'IDP. Per questo motivo, NinjaOne consiglia di utilizzare una chiave protetta da Secure Enclave quando i dispositivi sono utilizzati principalmente da un singolo utente.

SSO della piattaforma con Microsoft Entra ID

Microsoft Entra ID supporta il SSO della piattaforma e tutte e tre le opzioni di autenticazione degli utenti finali.

Gli utenti vedranno generalmente la notifica iniziale del sistema dopo che sia l'app NinjaOne Agent che l'app Microsoft Company Portal sono state installate sul dispositivo, il che potrebbe richiedere alcuni minuti dopo la registrazione iniziale all'MDM. Se la notifica di registrazione non viene visualizzata, disconnettersi dal dispositivo localmente e quindi accedere nuovamente per avviarla.

1. Distribuisci l'app Intune Company Portal sui dispositivi NinjaOne

Per Platform SSO con Microsoft Entra ID, Microsoft utilizza l'app Company Portal per gestire la funzionalità SSO. L'app Company Portal può essere scaricata da Microsoft qui (file di pacchetto scaricabile).

Una volta scaricata, è possibile utilizzare la procedura seguente per distribuirla sui dispositivi macOS registrati in NinjaOne MDM:

  1. All'interno della console NinjaOne, accedere a AmministrazioneLibreriaAutomazione.
  2. Fare clic su Aggiungi e selezionare Installazione.
automation library_add installation.png
Figura 1: Libreria di automazione NinjaOne → Aggiungi automazione installazione
  1. Nella finestra Installazione applicazione, configurare le seguenti impostazioni, quindi selezionare Invia.
    • Nome: inserisci un nome come "Portale aziendale Intune"
    • Sistema operativo: "Mac"
    • Programma di installazione: lasciare il menu a discesa sull'opzione predefinita "Carica file" e fare clic su Scegli file di installazione. Caricare il programma di installazione "Company Portal PKG".
automation library_add installation_intune company portal.png
Figura 2: Esempio di automazione dell'installazione per Intune Company Portal
  1. Verificare che la configurazione superi la revisione e venga visualizzata nella Libreria automazione. La convalida dell'installazione potrebbe richiedere alcuni minuti.
  2. Aggiungere l'automazione al criterio Mac. Passare a Amministrazione → CriteriCriteri agente e creare un nuovo criterio o modificare quello esistente. Per istruzioni sulla creazione di un nuovo criterio, vedere Criteri: creare un nuovo criterio.
  3. Seleziona la scheda Automazioni pianificate e fai clic su Aggiungi un'automazione pianificata.
scheduled automation_add.png
Figura 3: Aggiungi un'automazione pianificata a una politica NinjaOne
  1. Assegna un nome all'automazione pianificata e scegli di eseguire l'automazione che hai caricato in precedenza al passaggio 3. Scegli una pianificazione appropriata, ad esempio Esegui una volta immediatamente.
policies_scheduled automation_add_schedule.png
Figura 4: Aggiungere un'automazione pianificata a una politica NinjaOne → Caricare l'automazione e impostare una pianificazione
  1. Fai clic su Aggiungi. Quindi, salva la politica.

L'app Company Portal dovrebbe essere distribuita su tutti i dispositivi macOS gestiti in base alla pianificazione configurata.

2. Configurare il profilo MDM Platform SSO Extension in NinjaOne

È possibile copiare il file mobileconfig alla fine di questa sezione e incollarlo direttamente in un payload personalizzato in una politica NinjaOne per macOS per configurare Platform SSO con Entra ID.

Considera i seguenti campi configurabili:

  • Metodo di autenticazione: righe 13-14. Imposta uno dei seguenti valori a seconda dell'esperienza desiderata:
    • UserSecureEnclaveKey
    • Password
    • SmartCard
  • AccountDisplayName: righe 15-16. Questo nome viene visualizzato agli utenti finali durante il processo di registrazione SSO della piattaforma.
  • EnableCreateUserAtLogin: righe 19-20. Se impostato su "true", i nuovi account utente locali verranno creati automaticamente dopo l'autenticazione con Entra ID nella schermata di accesso locale.
  • NewUserAuthorizationMode: righe 21-22. Se è consentita la creazione di nuovi utenti, impostare questo valore su uno dei seguenti per determinare il livello di autorizzazione degli account utente:
    • Standard
    • Amministratore
  • UserAuthorizationMode: righe 23-24. Supporta gli stessi valori di NewUserAuthorizationMode. L'autorizzazione si applica a un account ogni volta che l'utente esegue l'autenticazione.
  • TokenToUserMapping: righe 25-31. Se si consente la creazione automatica di nuovi utenti locali, questo dizionario definisce i valori dell'IDP utilizzati per il nome account locale e il nome completo.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" 
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>ScreenLockedBehavior</key>
            <string>DoNotHandle</string>
            <key>RegistrationToken</key>
            <string>${device.id}</string>
            <key>PlatformSSO</key>
            <dict>
                <key>AuthenticationMethod</key>
                <string>UserSecureEnclaveKey</string>
                <key>AccountDisplayName</key>
                <string>Entra ID</string>
                <key>AbilitaAutorizzazione</key>
                <true />
                <key>AbilitaCreazioneUtenteAlLogin</key>
                <false />
                <key>ModalitàAutorizzazioneNuovoUtente</key>
                <string>Standard</string>
                <key>UserAuthorizationMode</key>
                <string>Standard</string>
                <key>TokenToUserMapping</key>
                <dict>
                    <key>AccountName</chiave>
                    <string>${device.owner.firstName}</string>
                    <chiave>FullName</chiave>
                    <string>${device.owner.firstName} ${device.owner.lastName}</string>
                </dict>
                <key>UseSharedDeviceKeys</key>
                <true />
            </dict>
            <key>ExtensionData</key>
            <dict>
                <key>AppPrefixAllowList</key>
                <string>com.microsoft.,com.apple.</string>
                <key>browser_sso_interaction_needed</key>
                <integer>1</integer>
                <key>disable_explicit_app_prompt</key>
                <integer>1</integer>
            </dict>
            <key>TeamIdentifier</key>
            <string>UBF8T346G9</string>
            <key>ExtensionIdentifier</key>
            <string>com.microsoft.CompanyPortalMac.ssoextension</string>
            <key>Type</key>
            <string>Redirect</string>
            <key>URLs</key>
            <array>
                <string>https://login.microsoftonline.com</string>
                <string>https://login.microsoft.com</string>
                <string>https://sts.windows.net</string>
                <string>https://login.partner.microsoftonline.cn</string>
                <string>https://login.chinacloudapi.cn</string>
                <string>https://login.microsoftonline.us</string>
                <string>https://login-us.microsoftonline.com</string>
            </array>
            <key>PayloadIdentifier</key>
            <string>56DD5560-5BFF-41E5-8197-939FB3374BA3</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>56DD5560-5BFF-41E5-8197-939FB3374BA3</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
        </dict>
    </array>
    <key>PayloadDisplayName</key>
    <string>Microsoft PSSO</string>
    <key>PayloadIdentifier</key>
    <string>Microsoft.PSSO-EAE14F52-5119-4CF3-AACE-EA485054A4FD</string>
    <key>PayloadType</key>
    <string>Configurazione</string>
    <key>PayloadUUID</key>
    <string>EAE14F52-5119-4CF3-AACE-EA485054A4FD</string>
    <chiave>VersionePayload</chiave>
    <intero>1</intero>
</dict>
</plist>

3. Registrazione con Platform SSO sul dispositivo utilizzando una chiave Secure Enclave

Per iniziare questa fase del processo, il dispositivo macOS deve essere registrato in NinjaOne MDM. Per istruzioni su come farlo, consultare NinjaOne MDM: Registrazione di dispositivi macOS.

Se si utilizza ADE per registrare il dispositivo macOS in NinjaOne MDM, è necessario configurare un account utente locale e accedere al dispositivo. Dopo la registrazione, NinjaOne RMM Agent verrà distribuito automaticamente e, a sua volta, l'app Company Portal verrà installata in base all'automazione pianificata configurata (passaggio 1.6 di questo articolo). L'operazione potrebbe richiedere alcuni minuti.

Una volta completata l'installazione del profilo MDM e dell'app Company Portal, l'utente del dispositivo riceverà una notifica per registrarsi al Platform SSO. Se ignorata, la notifica verrà visualizzata periodicamente.

registration required.png
Figura 5: Esempio di notifica di registrazione

I passaggi seguenti descrivono le istruzioni che l'utente deve eseguire sul proprio dispositivo:

  1. Fare clic su Registrati. Nella finestra di registrazione, fare clic su Continua e seguire le istruzioni per inserire le credenziali dell'amministratore del dispositivo locale per continuare.
  2. Autenticarsi con le credenziali Entra ID. Se richiesto, potrebbe essere richiesto un secondo fattore di autenticazione.
  3. Se Platform SSO è configurato per utilizzare una chiave Secure Enclave, verrà chiesto di consentire al Portale aziendale di utilizzare una passkey. Fare clic su Apri impostazioni di sistema, quindi abilitare la passkey come mostrato nell'immagine.
enable entra id passkey.png
Figura 6: Esempio di notifica di registrazione (fare clic per ingrandire)

La registrazione a Platform SSO è completata. L'utente dovrebbe ora essere in grado di utilizzare SSO per autenticarsi automaticamente a qualsiasi richiesta di accesso Microsoft Entra ID. Questa autenticazione sarà associata all'account locale sul dispositivo macOS. Quando accedono all'account locale, verrà autorizzato il successivo SSO in base alla chiave Secure Enclave .

Per convalidare la registrazione al Platform SSO, è possibile visualizzare l'account utente locale in Impostazioni → Utenti e gruppi e selezionare il nome utente. Nella sezione Platform SSO è possibile vedere l'utente Microsoft Entra ID per cui è attivo il SSO. Se necessario, è possibile riparare la registrazione o eseguire nuovamente l'autenticazione per aggiornare i token SSO.
microsoft entra_users and groups_enclave key.png
Figura 7: Convalida del metodo di registrazione di un utente in Entra (fare clic per ingrandire)

4. (Facoltativo) Ignora l'informativa sulla privacy richiesta per Microsoft AutoUpdater

Normalmente, quando si installa il Portale aziendale, viene installato automaticamente anche Microsoft AutoUpdater e viene visualizzata un'informativa sulla privacy che l'utente deve accettare.

Distribuendo il seguente payload personalizzato, è possibile ignorare la visualizzazione di questo avviso. Se si sta già distribuendo un payload personalizzato per configurare Microsoft AutoUpdate, è sufficiente includere la chiave AcknowledgedDataCollectionPolicy , con il valore impostato sulla stringa RequiredDataOnly nelle righe 8-9:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>AcknowledgedDataCollectionPolicy</key>
				<string>RequiredDataOnly</string>
                <key>PayloadType</key>
                <string>com.microsoft.autoupdate2</string>
                <key>PayloadDisplayName</key>
				<string>Impostazioni Microsoft AutoUpdate</string>
                <key>PayloadIdentifier</key>
                <string>0F4CE0C7-22AD-454C-B9FE-FF025EED58EF</string>
				<key>PayloadUUID</key>
                <string>0F4CE0C7-22AD-454C-B9FE-FF025EED58EF</string>
                <key>PayloadVersion</key>
				<integer>1</integer>
            </dict>
        </array>
        <key>PayloadDisplayName</key>
        <string>Microsoft AutoUpdate Settings</string>
		<key>PayloadIdentifier</key>
        <string>CB4A399D-1CCF-458C-A192-AD1066F7E7B6</string>
        <key>PayloadUUID</key>
		<string>CB4A399D-1CCF-458C-A192-AD1066F7E7B6</string>
        <key>PayloadType</key>
        <string>Configuration</string>
		<key>PayloadVersion</key>
        <integer>1</integer>    
    </dict>
</plist>

5. (Facoltativo) Consenti ad altri utenti di accedere con le credenziali Entra ID

Se il profilo MDM SSO della piattaforma è configurato con EnableCreateUserAtLogin impostato su "true", gli altri utenti potranno accedere al dispositivo utilizzando le credenziali Entra ID.

Dalla pagina di accesso, scegli di accedere con un utente "Altro...", quindi inserisci il nome utente e la password Entra ID direttamente nei campi. L'account utente locale verrà creato automaticamente, con il nome dell'account e il nome visualizzato popolati dai valori di ricerca nel dizionario TokenToUserMapping dal profilo MDM.

L'utente potrà utilizzare immediatamente l'autenticazione SSO per le richieste di autenticazione Entra ID, ma gli verrà comunque richiesto di completare la procedura di registrazione SSO della piattaforma. È necessario completare questa procedura una sola volta per rimuovere le notifiche. A seconda del valore di NewUserAuthorizationMode, l'account verrà creato come account standard o amministratore.

Risorse aggiuntive

Per ulteriori informazioni sul SSO e altri servizi di gestione delle identità in NinjaOne, consultare le seguenti risorse: Autenticazione e gestione delle identità: Catalogo delle risorse.

Domande frequenti

Passi successivi