Bij Root3 zijn we toegewijd aan het continu verbeteren van de integratie van Apple-technologieën in het bedrijfsleven, met een sterke focus op gebruikerservaring en beveiliging. Een veelvoorkomend probleem dat we aanpakken is het complexe beheer van verschillende wachtwoorden en de noodzaak om meerdere keren per dag in te loggen op diverse applicaties.

Voordelen van Single Sign-On

Om dit probleem te verhelpen, hebben we Single Sign-On (SSO) technologieën geïmplementeerd. Deze oplossingen stellen Mac-gebruikers in staat om met één enkele login naadloos toegang te krijgen tot hun bedrijfsmiddelen.

Waarom Single Sign-On?

SSO gebruikt een enkel authenticatieproces dat toegang biedt tot meerdere applicaties of systemen zonder dat gebruikers herhaaldelijk hun identiteit hoeven te bevestigen. In plaats van gebruikersgegevens en wachtwoorden op te slaan en voor elke applicatie opnieuw te gebruiken, werkt SSO met een token dat wordt verstrekt bij de eerste authenticatie. Dit verbetert niet alleen de gebruikerservaring door het idee van een ‘eenmalig wachtwoord’ te creëren, maar het verhoogt ook de veiligheid doordat gebruikers minder wachtwoorden hoeven te onthouden. Dit minimaliseert de kans op zwakke of hergebruikte wachtwoorden en centraliseert identiteitsbeheer, wat het makkelijker maakt voor organisaties om hun beveiligingsbeleid consistent toe te passen.

Platform SSO, wat is het precies?

Apple kondigde Platform Single Sign-On voor het eerst aan tijdens WWDC 2022. Hiervoor waren SSO Extensions beschikbaar. Dit was beperkt tot enkel(web) applicaties en stond los van het macOS gebruikersaccount.

Platform SSO breidt deze functionaliteit uit door ontwikkelaars in staat te stellen SSO Extensions te bouwen die ook van toepassing zijn op het macOS inlogscherm en diepgaande hardwarematige beveiliging biedt. Dit synchroniseert de lokale accountgegevens met een Identity Provider (IdP) zoals Microsoft Entra ID of Okta, waardoor gebruikers hun Mac kunnen ontgrendelen met hun cloud-wachtwoord, zelfs offline.

Passwordless en biometrische ontgrendeling

En nog veiliger, gebruiksvriendelijker en beter bestand tegen phishing is de Secure Enclave-sleutelimplementatie, die wordt beschouwd als passwordless en hardwaregebonden aan het apparaat. In een wereld waarin we willen afstappen van wachtwoorden en modernere authenticatiemethoden willen omarmen, geloven we dat dit een betere optie is dan traditionele wachtwoordsynchronisatie. Bovendien kunnen gebruikers zich authentiseren met biometrische verificatie zoals Touch ID of toegangssleutels, wat veel gebruiksvriendelijker en veiliger is dan een gewoon wachtwoord en MFA-uitdaging.

Nieuwe functionaliteiten voor macOS 14 (Sonoma)

In macOS 14 heeft Apple belangrijke nieuwe functionaliteiten toegevoegd aan het Platform SSO-framework, waaronder de mogelijkheid om de SSO-status te bekijken en te beheren in Systeeminstellingen. Ook kunnen organisaties die gebruik maken van gedeelde apparaten nu profiteren van Platform SSO, omdat lokale accounts automatisch worden aangemaakt op basis van het IdP account. Ook kunnen groepen vanuit de IdP kunnen worden gebruikt om gebruikersrechten toe te kennen, bijvoorbeeld of iemand beheerder mag zijn of dat iemand netwerk- en printerinstellingen mag wijzigen. Het configuratieprofiel uit MDM bepaalt vervolgens welke rechten voor welke groepen worden toegepast op het account.

Nieuwe functionaliteiten voor macOS 15 (Sequoia)

Vorige maand tijdens de WWDC24 werden vernieuwingen aangekondigd die eind 2024 naar de Mac komen. Heel welkom is een functionaliteit voor organisaties die Platform SSO gebruiken in combinatie met FileVault disk encryptie. Het wordt nu mogelijk om bij het ontgrendelen van FileVault ook te vereisen dat bij de Identity Provider authenticatie plaatsvindt, waarbij voorheen FileVault altijd een lokaal wachtwoord was. We hebben een blog geschreven over de belangrijkste vernieuwingen van WWDC24. Dit blog vind je hier.

De vereisten voor Platform SSO zijn simpel; een Mac met macOS 13 of later en in beheer door een MDM-oplossing zoals Microsoft Intune, Jamf Pro of Kandji. Echter, voor een optimale implementatie raden we minimaal macOS 14 aan.

Ondersteunde Identity Providers

Het is afhankelijk van de IdP of Platform SSO ingezet kan worden. Alhoewel Apple het Platform SSO-framework heeft uitgebracht is het aan de IdP om hierop te ontwikkelen en dat laat nog even op zich wachten voor veel aanbieders. Gelukkig bieden momenteel twee Identity Providers ondersteuning voor Platform SSO:

  • Microsoft Entra ID
  • Okta

Voor andere aanbieders is het nog onbekend of en wanneer er ondersteuning zal komen.

Hoe kan Root3 helpen?

Als Apple Solutionist, is Root3 de ideale partner voor het implementeren van Single Sign-On Extensions of Platform SSO. Wij beschikken over de vereiste macOS- en MDM-expertise om deze technologieën succesvol te integreren in jouw zakelijke omgeving. Als je meer informatie wil over Single Sign-On Extensions, Platform SSO of het gebruik van macOS in het bedrijfsleven, neem dan snel contact met ons op.