Oktaデスクトップパスワード同期とプラットフォームSSOのデプロイ

  • hC
  • EF
 Prev Next

Oktaデスクトップパスワード同期は現在、Oktaの「早期アクセス」リリースです。Oktaのリソースを参照してください: Manage Early Access and Beta

必要条件

Oktaの要件

  • Okta Identity Engine組織が利用可能となっていること。

  • macOS コンピューターは、少なくとも macOS Ventura 13 を実行していること。

  • プラットフォーム SSO 2.0 のサポートは、macOS 14 Sonoma 以降を搭載した macOS コンピュータで利用できます。プラットフォーム SSO 2.0 では、ユーザーは macOS のログインウィンドウから直接デスクトップパスワード同期を使用できます。

  • デスクトップパスワード同期アプリケーションは、Oktaの組織で使用できます。アプリカタログにDesktop Password Syncアプリが見つからない場合は、Oktaアカウント担当者にお問い合わせください。

  • Okta Verify authenticatorが組織でセットアップされていること。

  • Apple Business Manager Apps & BooksからKandjiテナントに追加されたOkta Verifyアプリ(Kandjiのこちらのガイドを参照してください)。

追加要件

  • Visual Studio Code、Sublime Text、BBEditなどのプレーンテキストエディタ。

  • 編集され、カスタムプロファイルとして Kandji にアップロードされる 3 つの mobileconfig ファイル。

FileVaultのmacOS 15+サポート

Oktaには、macOS 15+のより強力な認証要件を適用するための新しい認証ポリシーが用意されています。デスクトップのパスワード同期エクスペリエンスに、FileVault インターフェイスが含まれるようになりました。これについては、Okta の macOS 15用にデスクトップパスワード同期の構成 の記事で詳しく読むことができます。

macOS 14+のデバイスアクセスSCEP証明書の作成

OktaでデスクトップSCEP認証局を構成する

  1. Okta管理ポータルにログインします。

  2. 左側のナビゲーションで、[セキュリティ] を選択します 。

  3. 展開されたメニューで、[デバイス統合] を選択します 。

  4. [デバイス統合] ウィンドウで、[プラットフォームの追加] を選択します 。

  5. プラットフォームの種類として、[デスクトップ (Windows と macOS のみ)] を選択します 。

  6. 「次へ」をクリックします 。

  7. [認証局] で 、[Okta を認証局として使用する] を選択します 。

  8.  [SCEP URL ] チャレンジの種類として、[静的 SCEP URL] を選択します 。

  9. SCEP URL を作成するには 、[生成] をクリックします 。

  10.  SCEP URL をコピーします。

  11.  シークレットキーをコピーします。

    1. シークレットキーは、表示できるのはこのときだけなので、メモしておいてください。この後、保護のためにハッシュとして保存されます。必要に応じて、このキーをローテーションできます。

  12. 「保存」をクリックします 。

    1. 秘密鍵をリセットする必要がある場合は 、インテグレーションの右側にある「アクション 」 メニューからリセットできます。

SCEP ペイロードを Kandji Libraryに追加する

このLibrary ItemをKandji Libraryに追加するには、 Libraryの概要 の記事で説明されている手順に従ってください。

SCEP 証明書プロファイルの設定

  1. プロファイルに名前を付けます。

  2. ご希望Blueprintsに割り当てます。

  3. [URL] フィールドに、前にコピーした SCEP サーバーの URL を貼り付けます。

  4. 名前 を入力します (オプション)。

  5. 「チャレンジ」 フィールドに、前にコピーした秘密鍵を貼り付けます。

  6. 「サブジェクト」 フィールドに、CN=$SERIAL_NUMBER と入力します 。

    1. SCEP Library Itemを保存すると、Kandji は使用する CN の末尾に PROFILE_UUID を追加します。

  7.  [サブジェクト代替名タイプ] が [なし] に設定されていることを確認します。

  8. [鍵のサイズ] で [2048] を選択します 。

  9. [キーの使用用途] で [署名] を選択します 。

  10. [リトライ回数] を選択し 、再試行回数に 5 を入力します 。この数値は、環境に適した値に調整できます。

  11. [再試行遅延 ] を選択し 、秒数に 30 を入力します 。この数値は、環境に適した値に調整できます。

  12. [アプリに秘密鍵へのアクセスを許可する] を選択します 。

  13. [秘密鍵データがキーチェーンから抽出されないようにする] を選択します。

  14. [プロファイルの自動再配布] を選択し 、証明書の有効期限が切れる前の日数に 30 を入力します 。この数値は、環境に適した値に調整できます。

  15. 「保存」をクリックします 。

Kandji SCEP Library Itemの詳細については、 SCEP プロファイル サポート記事を参照してください。

macOS 13+用に構成する

このセクションのすべての設定は、特に明記されていない限り、macOSのすべてのバージョンに適用されます。macOS 13とmacOS 14+のユーザーに対して、Okta Device Accessの個別のインスタンスを構成する必要があります。

Oktaでデスクトップパスワード同期アプリ統合を作成して構成する

  1. Okta管理コンソールで、[ アプリケーション ]> [アプリケーションカタログ]に移動します。

  2. Desktop Password Sync を検索し、アプリを選択します。

  3. 統合を追加」をクリックします。「この機能は有効になっていません」というエラーメッセージが表示された場合は、Oktaアカウント担当者にお問い合わせください。

  4. アプリケーションリストからDesktop Password Syncを開いて構成します。

  5. [ 全般 ] タブでは、アプリケーション ラベルを編集したり、既定のラベルを使用したりできます。

  6. [サインオン] タブで、クライアント ID をメモします。これは、シングルサインオンプロファイルを作成するときに必要になります。

  7. [割り当て] タブで、アプリを個々のユーザーまたはグループに割り当てます。デスクトップ パスワード同期を使用するには、アプリを割り当てる必要があります。

  8. 「保存」をクリックします。

mobileconfig テンプレートファイルの編集

デスクトップパスワード同期を有効にするには、2つのプラットフォーム SSO構成プロファイルとOkta Verify構成プロファイルの3つのmobileconfigファイルが必要です。macOS 13およびmacOS 14+をサポートする場合は、Okta Verify構成プロファイルを2つデプロイする必要があります。以下の手順に従って、提供されたテンプレートを編集し、KandjiのカスタムプロファイルLibrary Itemsとして追加します。Visual Studio Code、Sublime Text、BBEditなどのプレーンテキストエディタを使用して編集する必要があります。

フリートで macOS 13 デバイスをサポートしない場合は、Okta_PSSO_Configuration_Template_macOS13.mobileconfig プロファイルのデプロイをスキップできます。

  1. Kandji サポート GitHub リポジトリ (GitHub Link) から Okta_PSSO_Configuration_Template_macOS13.mobileconfig ファイルをダウンロードします。

  2. Kandji サポート GitHub リポジトリ (GitHub Link) から Okta_PSSO_Configuration_Template_macOS14.mobileconfig ファイルをダウンロードします。

  3. Okta_Verify_Configuration_Template.mobileconfig ファイルを Kandji サポート GitHub リポジトリ (GitHub リンク) からダウンロードします。

macOS 13用のOkta PSSO構成プロファイル

  1. テキストエディタで Okta_PSSO_Configuration_Template_macOS13.mobileconfig ファイルを開きます。

  2. [Associated Domains]ペイロードの [AssociatedDomains ]セクションを更新し、サンプルドメインを独自のOktaテナントアドレスに置き換えます。

    • 例:authsrv:accuhive.okta.com

      <key>AssociatedDomains</key>
<array>
     <!-- replace accuhive.okta.com with your tenant address -->
     <string>authsrv:accuhive.okta.com</string>
</array>

  3. Extensible SSOペイロードの URL セクションを更新し、サンプルドメインをOktaテナント情報に置き換えます。残りの URL はそのままにしておきます。

    • 例:accuhive.okta.com

      <key>URLs</key>
<array>
     <!-- replace accuhive.okta.com with your tenant address -->
     <string>https://accuhive.okta.com/device-access/api/v1/nonce</string>
     <string>https://accuhive.okta.com/oauth2/v1/token</string>
</array>

  4. mobileconfig ファイルを保存します。

macOS 14+用のOkta PSSO構成プロファイル

  1. テキストエディタで Okta_PSSO_Configuration_Template_macOS14.mobileconfig ファイルを開きます。

  2. Associated Domainsのauth-service-extensionペイロードの AssociatedDomains セクションを更新し、サンプルドメインを独自のOktaテナントアドレスに置き換えます。

    • 例:authsrv:accuhive.okta.com

      <key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
<key>AssociatedDomains</key>
<array>
     <!-- replace accuhive.okta.com with your tenant address -->
     <string>authsrv:accuhive.okta.com</string>

  3. [Associated Domains]ペイロードの [AssociatedDomains ]セクションを更新し、サンプルドメインを独自のOktaテナントアドレスに置き換えます。

    • 例:authsrv:accuhive.okta.com

      <key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile</string>
<key>AssociatedDomains</key>
<array>
     <!-- replace accuhive.okta.com with your tenant address -->
     <string>authsrv:accuhive.okta.com</string>

  4. Extensible SSOペイロードの URL セクションを更新し、サンプルドメインをOktaテナント情報に置き換えます。残りの URL はそのままにしておきます。

    • 例:accuhive.okta.com

      <key>URLs</key>
<array>
     <!-- replace accuhive.okta.com with your tenant address -->
     <string>https://accuhive.okta.com/device-access/api/v1/nonce</string>
     <string>https://accuhive.okta.com/oauth2/v1/token</string>
</array>

  5. mobileconfig ファイルを保存します。

Okta Verify構成プロファイル

  1. テキストエディタで Okta_Verify_Configuration_Template.mobileconfig ファイルを開きます。

  2. com.okta.mobileペイロードの OktaVerify.OrgUrl セクションをOktaテナントURLで更新します。

    1. 例:https://accuhive.okta.com

      <dict>
     <!-- replace accuhive.okta.com with your tenant -->
     <key>OktaVerify.OrgUrl</key>
     <string>https://accuhive.okta.com</string>

  3. com.okta.mobileペイロードの OktaVerify.PasswordSyncClientID セクションを、以前に記録したDesktop Password SyncアプリのクライアントIDで更新します。

    <!-- replace YOUR_CLIENT_ID with your Desktop Password Sync app Client ID -->
<key>OktaVerify.PasswordSyncClientID</key>
<string>YOUR_CLIENT_ID</string>

  4. com.okta.mobile.auth-service-extensionペイロードの OktaVerify.OrgUrl セクションをOktaテナントURLで更新します。

    <dict>
     <!-- replace accuhive.okta.com with your tenant -->
     <key>OktaVerify.OrgUrl</key>
     <string>https://accuhive.okta.com</string>

  5. com.okta.mobile.auth-service-extensionペイロードの OktaVerify.PasswordSyncClientID セクションを、以前に記録したDesktop Password SyncアプリのクライアントIDで更新します。

    <!-- replace YOUR_CLIENT_ID with your Desktop Password Sync app Client ID -->
<key>OktaVerify.PasswordSyncClientID</key>
<string>YOUR_CLIENT_ID</string>

  6. com.okta.mobile.auth-service-extensionペイロードの PlatformSSO.ProtocolVersion セクションを、組織の適切なバージョンに更新します。

    1. macOS 13 Venturaの場合は、1.0に設定します

    2. macOS 14 Sonoma以降の場合は、2.0に設定します

      <key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>

    3. macOS 13 と macOS 14+ をサポートする場合は、 複数のバージョンの Okta_Verify_Configuration_Template.mobileconfig ファイルを保存する必要があります。それぞれに適切な PlatformSSO.ProtocolVersion 設定があります。

  7. mobileconfigファイルを保存します。

Kandji でカスタムプロファイルLibrary Itemsを作成する

このLibrary ItemをKandji Libraryに追加するには、 Libraryの概要 の記事で説明されている手順に従ってください。

  1. Library Itemの名前を指定します。

  2. 希望Blueprintsに割り当てます。

  3. 変更した「Okta_PSSO_Configuration_Template_macOS13.mobileconfig」ファイルをアップロードします。

  4. 「保存」をクリックします。

  5. 「Okta_PSSO_Configuration_Template_macOS14.mobileconfig」とすべての「Okta_Verify_Configuration_Template.mobileconfig」ファイルについて、このセクションの前の手順を繰り返します。

  6. Okta Verifyアプリが、以前に作成したカスタムプロファイルLibrary Itemsと同じBlueprintに割り当てられていることを確認します。

  7. 「Assignment Mapを使用したプロファイルの展開」セクションの手順に従って、プロファイルが互換性のあるデバイスにのみ展開されるようにします。

  8. プロファイルとOkta VerifyアプリがMacコンピューターに配布されると、ユーザーはOktaパスワードの登録と同期を求められます。

Assignment Mapを使用したプロファイルのデプロイ

最大 4 つの Crowdstrike カスタム プロファイルがあり、正しいデバイスにデプロイするために条件付きロジックが必要です。 Assignment Map は、すべてのデバイスに簡単なソリューションを1つの便利なビューで提供します。

Blueprintの作成Assignment Mapsで条件付きロジックを使用する記事をご覧ください。

  1. [このBlueprint内のすべてのデバイス ] 条件ブロックから開始します。

  2. Okta Verify App Storeアプリをブロックに割り当てます。

  3. 条件ブロックの上部を [macOS が 14.0 以上の場合] に設定します。

  4. Oktaデバイスアクセス証明書のSCEP Library Itemを条件付きブロックに割り当てます。

  5. Okta PSSO Configuration macOS 14カスタムプロファイルを条件付きブロックに割り当てます。

  6. Okta Verify Configuration macOS 14カスタムプロファイルを条件付きブロックに割り当てます。

  7. 条件ブロックの else セクションに進みます。

  8. Okta PSSO Configuration macOS 13カスタムプロファイルを条件付きブロックに割り当てます。

  9. Okta Verify Configuration macOS 13カスタムプロファイルを条件付きブロックに割り当てます。

ユーザーエクスペリエンスと次のステップ

プラットフォームSSOでは、Appleの設計により、ユーザーとグループ設定の「パスワード」フィールドで「変更」ボタンが使用できません。

Oktaデスクトップパスワードの構成が完了したら、 Oktaデスクトップパスワード同期のユーザエクスペリエンス 記事の手順に従ってユーザーに登録してもらうことができます。