Über
Die Okta Device Trust (ODT)-Integration von Kandjikombiniert die Geräteverwaltungsfunktionen von Kandji mit den App-Verwaltungsfunktionen von Okta. Die ODT-Integration von Kandji basiert auf Okta Identity Engine (OIE). Es optimiert die Einrichtung und Konfiguration von ODT, indem validiert wird, ob die Okta-Umgebung eines Kunden für ODT auf OIE bereit ist, und indem ODT-Konfigurationen automatisch auf Geräten im Rahmen von Okta Device Trust in Kandji bereitgestellt werden.
Mit Okta Device Trust können Okta-Administratoren sicherstellen, dass Kandji ihre Apple-Geräte verwalten, bevor Endbenutzer von ihren Geräten aus auf Okta-geschützte Apps zugreifen können. Dies ermöglicht Okta FastPass zum Teil eine passwortlose Authentifizierung für Endbenutzer, die sich bei Okta und ihren Okta-Ressourcen anmelden können, ohne ein Kennwort zu benötigen. Speziell für iOS-, iPadOS- und macOS Geräte ermöglicht FastPass Benutzern, Face ID und Touch ID für den Zugriff auf Ressourcen zu nutzen. Okta FastPass ist eine Funktion von Okta Identity Engine.
Bevor Sie beginnen
Während der Einrichtung der Integration überprüfen Kandji , ob die folgenden Elemente vorhanden sind. Diese Elemente müssen im Okta-Mandanten konfiguriert werden, bevor die ODT-Integration mit Kandji eingerichtet wird.
Die Okta Verify Apple App Store-App muss Kandji über Apps and Books in Apple Business Manager oder Apple School Manager zugewiesen werden. Dies ist die einzige unterstützte Bereitstellung von Okta Verify für ODT.
Der Okta-Mandant muss von Okta Classic Engine zu Okta Identity Enginemigriert werden.
Der Benutzer, der die ODT-Integration einrichtet, muss Zugriff auf ein Okta-Benutzerkonto mit der Super-Admin-Rolle haben. Die Super-Admin-Anmeldeinformationen werden nur für die anfängliche Authentifizierung und das Hinzufügen der API-Service-Integration benötigt.
Okta FastPass muss im Okta-Mandanten aktiviert sein. Verwenden Sie diesen Okta-Leitfaden , um FastPass für Ihr Unternehmen zu aktivieren und zu konfigurieren.
Okta Adaptive MFAist erforderlich, um Geräteintegrationen in Okta hinzuzufügen.
Schritte zur Konfiguration
Im Folgenden finden Sie allgemeine Schritte zum Einrichten und Bereitstellen von ODT mit Kandji.
Richten Sie die Okta Device Trust-Integration in Kandji ein.
Hinzufügen und Konfigurieren von Geräteplattformen in Okta.
Hinzufügen und Konfigurieren von Okta-Geräteplattformen in Kandji.
Konfigurieren Sie das Element Okta Verify Library für die Bereitstellung von Okta Device Trust.
Welche Einstellungen werden auf Geräten bereitgestellt?
Sobald das ODT eingerichtet, aktiviert und auf Ihre Blueprints beschränkt ist, werden die folgenden Einstellungspayloads automatisch konfiguriert und an Apple-Geräte im Rahmen von Okta Device Trust in Kandji übermittelt.
Einstellung der Nutzlast | Bahnsteig | Beschreibung |
---|---|---|
Dynamisches SCEP-Zertifikat | macOS | Dabei handelt es sich um ein eindeutiges Okta SCEP-Zertifikat pro Gerät. Das Zertifikat wird bei der Geräteregistrierung verwendet. |
OktaVerify.EnrollmentOptions | macOS | Die Okta Verify-Konfiguration |
Okta Verify Login-Element | macOS | Diese Payload fügt Okta Verify als Anmeldeobjekt auf macOS hinzu und startet Okta Verify bei der Benutzeranmeldung. |
Konfiguration verwalteter Apps | iOS und iPadOS | Diese App-Konfiguration enthält das Gerät |
Payload der SSO-Erweiterung | macOS, iOSund iPadOS | Die SSO-Erweiterung leitet Anfragen vom Browser oder der App an Okta Verify weiter, und die Benutzer erhalten die Eingabeaufforderung zum Öffnen des Okta Verify-Browsers nicht. Nicht unterstützt in Chrome oder Firefox. |
Die EDR-Plugin-Einstellung wird nicht mit der ODT-Integration bereitgestellt, kann aber bei Bedarf über ein separates Konfigurationsprofil bereitgestellt werden. Dies hat keine Auswirkungen auf die in der obigen Tabelle aufgeführten Einstellungen. (Beispiel EDR-Plugin-Profil)
Registrierung von Endbenutzergeräten bei Okta
Wenn Sie bereits eine manuelle Konfiguration von ODT (auch Okta-Gerätenachweis genannt) bereitstellen, sollte es bei der Umstellung auf die Kandji ODT-Integration keine Auswirkungen auf vorhandene Geräte geben. Nachdem die Kandji ODT-Integration konfiguriert und auf Geräten bereitgestellt wurde, können die Elemente der Gerätenachweisbibliothek auf inaktiv gesetzt oder entfernt werden.
Nachdem Okta Verify und die erforderlichen Einstellungen auf dem Gerät vorgenommen wurden, führt der Endbenutzer die folgenden Schritte aus, um seine verwalteten Apple-Geräte bei Okta zu registrieren.
Für zuvor registrierte Geräte mit dem Verwaltungsstatus "Nicht verwaltet"Wenn ein Gerät bereits über Okta Verify bei Okta registriert ist, aber noch nicht für Okta Device Trust konfiguriert wurde (d. h. in Okta über die ODT-Integration mit Kandji oder Okta Device Attestation (manuelle ODT-Konfiguration) den Verwaltungsstatus "Nicht verwaltet" hat, muss der Gerätedatensatz aus dem universellen Okta-Verzeichnis gelöscht werden. und der Endbenutzer muss sich von der Okta Verify-App auf dem Gerät abmelden, bevor er das Gerät erneut bei Okta registriert, indem er die folgenden Schritte ausführt.
macOS
Öffnen Sie die Okta Verify-App. (Okta Verify sollte bei der Anmeldung auf dem macOS automatisch gestartet werden.)
Melden Sie sich mit Okta-Anmeldedaten an und richten Sie Touch ID für die passwortlose Authentifizierung ein.
Starten Sie einen Webbrowser und melden Sie sich bei ihrem Okta-Dashboard an (z. B. .okta.com), um sich mit Okta FastPass zu authentifizieren.
Fertig.
iOS und iPadOS
Öffnen Sie die Okta Verify-App.
Tippen Sie auf Konto hinzufügen.
Tippen Sie auf Organisation.
Wählen Sie Nein, Stattdessen anmelden als Anmeldemethode aus. (der Endnutzer kann auch den QR-Code med verwenden, falls vorhanden).
Tippen Sie auf den Bildschirm, um auf die Schaltfläche Weiter zu tippen. (Die Anmelde-URL der Organisation sollte bereits ausgefüllt sein.)
Melden Sie sich bei Okta an.
Wählen Sie aus, ob Push-Benachrichtigungen auf dem Gerät zugelassen oder übersprungen werden sollen.
Aktivieren Sie Touch ID oder Face ID.
Fertig.
Sobald der oben beschriebene Vorgang abgeschlossen ist, sollte der Gerätedatensatz im Okta Universal Directory als verwaltet angezeigt werden.
Als nächstes
Einrichten der Okta Device Trust-Integration