Gestionar las identidades de los usuarios y garantizar un acceso seguro a través de múltiples dispositivos es crucial para las organizaciones. Con macOS Ventura, Apple introdujo Platform single sign-on (Platform SSO), un marco diseñado para agilizar la autenticación del usuario mediante la vinculación de cuentas de macOS con proveedores de identidad (IdP). Okta, un proveedor líder de gestión de identidades, se ha integrado con Platform SSO para ampliar estas capacidades, permitiendo a los usuarios de macOS autenticarse directamente con sus credenciales de Okta.
Esta publicación de blog explorará cómo la autenticación de inicio de sesión de macOS se puede delegar a Okta mediante Platform SSO y las nuevas políticas introducidas en macOS 15.
¿Qué es Platform SSO y cómo lo aprovecha Okta?
Platform SSO permite a los desarrolladores crear una extensión SSO que interactúa directamente con la ventana de inicio de sesión de macOS. Esta extensión permite a los usuarios vincular su cuenta local de macOS con su proveedor de identidad a través de un flujo de trabajo sencillo y nativo de Mac.
Desde su lanzamiento en 2022, Apple ha seguido mejorando el marco Platform SSO con cada nueva versión de macOS. Por ejemplo, en macOS 14, el marco se amplió a:
- Soporte de autenticación del proveedor de identidad en la pantalla de inicio de sesión
- Ayudar a los usuarios a crear cuentas locales a petición simplemente introduciendo sus credenciales de IdP
- Admitir la pertenencia a grupos respaldada por un IdP
Aprovechando el marco Platform SSO, Okta lanzó inicialmente Desktop Password Sync. Esta función permite a los usuarios desbloquear su Mac introduciendo sus credenciales de Okta, y el marco Platform SSO sincroniza la contraseña de Okta localmente.
Además, utilizando la nueva funcionalidad lanzada en macOS 14, Okta lanzó funcionalidad adicional, incluyendo Sincronización de contraseñas al iniciar sesión y Creación de cuenta local Just-in-Time, extendiendo la autenticación de Platform SSO a la pantalla de inicio de sesión y admitiendo la creación de cuentas locales bajo demanda en dispositivos compartidos.
Para obtener más información sobre estas funciones, visite la documentación del producto de Okta para Okta Device Access.
Desafíos y las nuevas ofertas en macOS Sequoia
Cuando Apple introdujo por primera vez el marco Platform SSO, carecía de algunas funcionalidades esenciales. Uno de los principales problemas era que el marco no aplicaba completamente la autenticación IdP. Si la contraseña ingresada se verificaba con la contraseña local de macOS, los usuarios obtenían acceso y, luego, el marco verificaba la contraseña con el IdP en segundo plano.
Los usuarios recibirían un mensaje opcional para sincronizar su contraseña si el IdP rechaza la contraseña. Este comportamiento abrió el riesgo de permitir a los usuarios acceder a una máquina utilizando contraseñas no sincronizadas y que no eran de IdP que solo se verificaban localmente.
Otra limitación fue la falta de soporte para la autenticación de FileVault. Los usuarios tenían que desbloquear FileVault con su contraseña local antes de poder autenticarse y sincronizar su contraseña del proveedor de identidad.
Estos problemas significaban que la autenticación local seguía siendo un factor clave, y el IdP asumía un papel secundario. Las nuevas políticas de desbloqueo, inicio de sesión y FileVault introducidas para Platform SSO en macOS Sequoia abordaron estos problemas.
Las nuevas políticas ampliaron la autenticación de Platform SSO a FileVault y ofrecieron la capacidad de exigir la autenticación IdP configurando el indicador “requireAuthentication”, al tiempo que proporcionaban un período de gracia sin conexión para gestionar los problemas de conectividad. Esta actualización admite que la autenticación se delegue al IdP.
Delegar la autenticación a Okta
Para delegar completamente la autenticación de inicio de sesión de macOS a Okta, los administradores pueden establecer el indicador “requireAuthentication” o “attemptAuthentication” en Desbloquear, Iniciar sesión y FileVault (si corresponde) mientras usan Okta Desktop Password Sync. Esto permite a Okta validar el inicio de sesión basado en contraseña antes de conceder el acceso.
Solo los usuarios registrados de Platform SSO pueden iniciar sesión en el dispositivo, y deben usar sus credenciales de Okta para hacerlo. Además, Okta revisa si el usuario está activo y confirma que el inicio de sesión se origina en un dispositivo verificado criptográficamente, lo que agrega protección adicional al proceso de autenticación.
Sin embargo, esto puede crear desafíos para los usuarios que viajan con frecuencia o enfrentan problemas de conectividad a Internet. Si su dispositivo no puede alcanzar el servidor de Okta, es posible que se les impida iniciar sesión. Para evitar esto, los administradores pueden establecer la política “AllowOfflineGracePeriod”. Esto permite a los usuarios iniciar sesión sin conexión durante un período de tiempo establecido según su última autenticación exitosa de Okta. Esta función ayuda a la capacidad de los usuarios para iniciar sesión durante las interrupciones de la red, pero una vez que expira el período de gracia, deberán volver a conectarse a Internet.
Una vez que estas políticas están en vigor, cada cuenta de macOS debe tener su contraseña validada por Okta, ya sea que la cuenta esté registrada o no. Si bien esto mejora la seguridad, puede causar problemas durante la implementación cuando las cuentas no registradas pueden quedar bloqueadas.
Para evitar esto, los administradores pueden habilitar la política “AllowAuthenticationGracePeriod”, que otorga acceso temporal a las cuentas no registradas a través de la autenticación local. Este período de gracia proporciona una transición fluida sin bloquear a los usuarios durante el proceso de implementación.
Los administradores a menudo usan cuentas de servicio para fines de mantenimiento. Para evitar bloquear estas cuentas, se pueden agregar a la política “NonPlatformSSOAccounts”. Esta política excluye ciertas cuentas locales de las nuevas reglas de autenticación, lo que ya no requiere que se registren con Platform SSO, al tiempo que permite que las tareas de mantenimiento importantes continúen sin interrupciones.
Ventajas de usar Okta y Platform SSO en macOS 15
La adopción de Platform SSO y Okta Device Access para delegar la autenticación de macOS ofrece varias ventajas clave:
- Seguridad mejorada: La seguridad es una prioridad máxima para cada organización, y con las políticas correctas establecidas, solo se puede acceder a los dispositivos registrados en Platform SSO después de que la contraseña se autentique correctamente contra Okta. Esto minimiza el acceso no autorizado, ya que solo los usuarios registrados en Platform SSO pueden iniciar sesión en el dispositivo con una contraseña válida de Okta. Además, las organizaciones pueden aprovechar la función Okta Desktop MFA, disponible con Okta Device Access, para exigir verificaciones multifactoriales para los usuarios que inician sesión en sus dispositivos.
- Experiencia de usuario mejorada: Platform SSO vincula la cuenta de Okta al dispositivo y sincroniza la contraseña local con la contraseña de Okta, lo que significa que un usuario solo necesita su nombre de usuario y contraseña de Okta para acceder a su máquina. Esto alivia la carga cognitiva de administrar múltiples contraseñas. Además, se pueden establecer políticas para permitir que la biometría de Apple se desbloquee, lo que permite una experiencia de usuario fluida sin comprometer la seguridad.
- Políticas de contraseñas sólidas: “Abcd1234”, “password” y “qwerty” son las pesadillas de los departamentos de TI y seguridad. Una encuesta de 2021 encontró que más del 80% de las violaciones confirmadas están relacionadas con contraseñas robadas, débiles o reutilizadas. Por lo tanto, es crucial fortalecer las contraseñas mediante la aplicación de políticas como la longitud mínima de la contraseña, el bloqueo de contraseñas conocidas y violadas comúnmente, la inclusión de caracteres especiales, etc. El configurador de políticas de contraseñas de Okta hace esto posible, y dado que la contraseña de Okta se utiliza para acceder al dispositivo (y se sincroniza posteriormente), las mismas reglas de seguridad se aplican a la contraseña del dispositivo.
- Administración de cuentas simplificada: Crear cuentas de dispositivo para nuevos empleados y revocar el acceso al dispositivo para los que se van puede llevar mucho tiempo si se hace manualmente. Estos procesos se pueden simplificar utilizando Okta Device Access. Por ejemplo, al usar la función de Creación de Cuenta Local Justo a Tiempo, los empleados pueden simplemente escribir su nombre de usuario y contraseña de Okta en un dispositivo registrado en Platform SSO y se les proporcionará una nueva cuenta de macOS con privilegios configurados. Además, si la política de autenticación de inicio de sesión está configurada en "requireAuthentication", desactivar o eliminar un usuario en Okta revocará su acceso a la máquina.
- Cumplimiento y auditoría: El cumplimiento es un enfoque crítico para las organizaciones sujetas a requisitos regulatorios. Cada autenticación delegada a Okta se registra, y los clientes pueden aprovechar los registros integrales del sistema de Okta para obtener información detallada sobre qué usuario accedió al dispositivo desde qué ubicación y dirección IP. Los registros proporcionan visibilidad sobre los eventos de acceso y ayudan a las organizaciones a desarrollar informes de cumplimiento y mostrar la adherencia regulatoria.
Delegar la autenticación de inicio de sesión de macOS a Okta a través del marco Platform SSO de Apple ofrece un método optimizado, más seguro y eficiente de administrar el acceso de los usuarios. Al mejorar los protocolos de seguridad, centralizar la administración de identidades y simplificar la incorporación y la baja, las organizaciones pueden proteger mejor sus dispositivos macOS al tiempo que brindan una experiencia de usuario perfecta.
A medida que Apple continúa mejorando el marco Platform SSO, la integración con Okta sigue siendo una solución poderosa para las empresas que buscan mejorar sus procesos de autenticación en dispositivos macOS.
Para explorar cómo Platform SSO y Okta pueden fortalecer aún más tus procesos de autenticación de macOS, puedes obtener más información en https://help.okta.com/oie/en-us/content/topics/oda/macos-pw-sync/update-password-sync-for-mac-15.htm
Estos materiales tienen fines informativos generales únicamente y no pretenden ser asesoramiento legal, de privacidad, de seguridad, de cumplimiento normativo o empresarial. Esta publicación no representa necesariamente la posición, las estrategias o la opinión de Okta.
