Confianza en el dispositivo Okta

  • EF

por BreAnna Scott

La integración de Okta Device Trust (ODT) de Kandjicombina las capacidades de administración de dispositivos de Kandji con las capacidades de administración de aplicaciones de Okta. La integración de ODT de Kandjise basa en Okta Identity Engine (OIE). Agiliza la instalación y configuración de ODT validando que el entorno de Okta de un cliente está listo para ODT en OIE y desplegando automáticamente configuraciones de ODT en dispositivos en el ámbito de Okta Device Trust en Kandji.

Okta Device Trust permite a los administradores de Okta asegurarse de que Kandji administre sus dispositivos Apple antes de que los usuarios finales puedan acceder a las aplicaciones protegidas por Okta desde sus dispositivos. Esto, en parte, habilita Okta FastPass para una experiencia de autenticación sin contraseña para los usuarios finales, lo que les permite iniciar sesión en Okta y sus recursos de Okta sin necesidad de una contraseña. Para dispositivos iOS, iPadOSy macOS específicamente, FastPass permite a los usuarios aprovechar Face ID y Touch ID para acceder a los recursos. Okta FastPass es una característica de Okta Identity Engine.

Durante el proceso de configuración de la integración, Kandji comprobará la presencia de los siguientes elementos. Estos elementos deben configurarse en el inquilino de Okta antes de configurar la integración de ODT con Kandji.

  • La aplicación Okta Verify Apple App Store debe estar asignada a Kandji a través de Apps and Books en Apple Business Manager o Apple School Manager. Esta es la única implementación compatible de Okta Verify para ODT.

  • El inquilino de Okta debe migrarse de Okta Classic Engine a Okta Identity Engine.

    • El usuario que configura la integración de ODT debe tener acceso a una cuenta de usuario de Okta con el rol de superadministrador. Las credenciales de superadministrador solo son necesarias para la autenticación inicial y la adición de la integración del servicio de API.

  • Okta FastPass debe estar habilitado en el inquilino de Okta. Utilice esta guía de Okta para habilitar y configurar FastPass para su organización.

  • Se requiere Okta Adaptive MFApara agregar integraciones de dispositivos en Okta.

A continuación se muestran los pasos de alto nivel para configurar e implementar ODT con Kandji.

  1. Configure la integración de Okta Device Trust en Kandji.

  2. Agregar y configurar plataformas de dispositivos en Okta

  3. Agregue y configure plataformas de dispositivos Okta en Kandji.

  4. Configure el elemento Okta Verify Library para implementar Okta Device Trust.

Una vez que la configuración de ODT, habilitada y el alcance de sus blueprints, las siguientes cargas útiles de configuración se configuran automáticamente y se entregan a los dispositivos Apple en el alcance de Okta Device Trust en Kandji.

Configuración de carga útil

Plataforma

Descripción

Certificado SCEP dinámico

macOS

Se trata de un certificado SCEP de Okta único por dispositivo. El certificado se utiliza en el proceso de registro del dispositivo.

OktaVerify.EnrollmentOptions

macOS

La configuración de Okta Verify SilentEnrollmentEnabled se envía a macOS dispositivos. Esto iniciará Okta Verify automáticamente si un dispositivo no registrado intenta acceder a los recursos de Okta y completará previamente la URL de la organización para el usuario.

Elemento de inicio de sesión de verificación de Okta

macOS

Esta carga útil agrega Okta Verify como elemento de inicio de sesión en macOS e iniciará Okta Verify en el inicio de sesión del usuario.

Configuración de aplicaciones administradas

iOS y iPadOS

Esta configuración de la aplicación contiene el dispositivo managementHint y utilizado OktaVerify.OrgUrl para registrar el dispositivo como administrado en Okta.

Carga útil de la extensión SSO

macOS, iOSy iPadOS

La extensión SSO reenvía las solicitudes desde el navegador o la aplicación a Okta Verify, y los usuarios no reciben el mensaje Abrir el navegador de Okta Verify. No es compatible con Chrome o Firefox.

La configuración del complemento EDR no se implementa con la integración de ODT, pero se puede entregar a través de un perfil de configuración separado si es necesario. Si lo hace, no afectará a ninguna de las opciones de configuración enumeradas en la tabla anterior. (ejemplo de perfil de plugin EDR)

Si ya está implementando una configuración manual de ODT (también conocida como atestación de dispositivos Okta), no debería haber ningún impacto en los dispositivos existentes al cambiar a la integración de ODT Kandji . Una vez que la integración de ODT Kandji se configura e implementa en los dispositivos, los elementos de la biblioteca de atestación de dispositivos se pueden establecer como inactivos o eliminados.

Una vez que Okta Verify y la configuración requerida estén en el dispositivo, el usuario final seguirá los siguientes pasos para registrar sus dispositivos Apple administrados con Okta.

Para dispositivos registrados previamente con el estado de administración "No administrado"Si un dispositivo ya se ha registrado con Okta a través de Okta Verify, pero aún no se ha configurado para Okta Device Trust (es decir, tiene un estado de administración en Okta de "No administrado") a través de la integración de ODT con Kandji o Okta Device Attestation (configuración manual de ODT), el registro del dispositivo deberá eliminarse del directorio universal de Okta,  y el usuario final deberá cerrar sesión en la aplicación Okta Verify en el dispositivo antes de volver a registrar el dispositivo con Okta siguiendo los pasos que se indican a continuación.

  1. Abra la aplicación Okta Verify. (Okta Verify debería iniciarse automáticamente al iniciar sesión en macOS)

  2. Inicie sesión con las credenciales de Okta y configure Touch ID para la autenticación sin contraseña.

  3. Inicie un navegador web e inicie sesión en su panel de control de Okta (ejemplo: .okta.com), autenticándose con Okta FastPass.

  4. Hecho.

  1. Abra la aplicación Okta Verify.

  2. Toca Agregar cuenta.

  3. Toca Organización.

  4. Elija No, iniciar sesión en su lugar como método de inicio de sesión. (el usuario final también puede utilizar el código QR med si está disponible)

  5. Toque la pantalla para tocar el botón Siguiente . ( La dirección URL de inicio de sesión de la organización debe rellenarse previamente)

  6. Inicia sesión en Okta.

  7. Elija permitir u omitir las notificaciones push en el dispositivo.

  8. Habilite Touch ID o Face ID.

  9. Hecho.

Una vez que se complete el proceso anterior, el registro del dispositivo debería mostrarse como administrado en el Directorio Universal de Okta.

Configurar la integración de Okta Device Trust