Oktaデスクトップのパスワード同期とプラットフォームシングルサインオンのデプロイ

Okta Desktop Password Syncは現在、Oktaの「早期アクセス」リリースです。Oktaのリソースを参照してください: Early AccessおよびBetaの管理

必要条件

Oktaの要件

  • Okta Identity Engineが使用可能であること。

  • macOS Ventura (13.0) 以降のバージョンがインストールされていること。最適なユーザーエクスペリエンスのためには13.5バージョンの使用が推奨されます。

  • Okta Verify認証アプリが組織内で設定されていること。

  • デスクトップのパスワード同期アプリケーションが、組織で利用可能であること。アプリカタログにDesktop Password Syncアプリが見つからない場合は、Oktaアカウント担当者にお問い合わせください。

  • オプション: 組織でユーザー認証に生体認証(Touch IDなど)が必要な場合、デスクトップパスワード同期の登録フローを開始する前に、ユーザーが Touch ID を設定する必要があります。

追加要件

  • Visual Studio Code、Sublime Text、BBEditなどのプレーンテキストエディタ。

  • 編集され、カスタムプロファイルとして Kandji にアップロードされる 2 つの mobileconfig ファイル。

  • Apple Business Manager Apps & BooksからKandjiテナントに追加されたOkta Verifyアプリ(こちらのKandjiガイドを参照してください)。

Oktaでデスクトップパスワード同期アプリ統合を作成して構成する

  1. Okta管理コンソールで、[ アプリケーション ]> [アプリケーションカタログ]に移動します。

  2. Desktop Password Sync を検索し、アプリを選択します。 

  3. 統合を追加」をクリックします。「この機能は有効になっていません」というエラーメッセージが表示された場合は、Oktaアカウント担当者にお問い合わせください。 

  4. アプリケーションリストからDesktop Password Syncを開いて構成します。

  5. [ 全般 ] タブでは、アプリケーションラベルを編集したり、既定のラベルを使用したりできます。

  6. [サインオン] タブで、クライアント ID をメモします。これは、シングルサインオンプロファイルを作成するときに必要になります。 

  7. [割り当て] タブで、アプリを個々のユーザーまたはグループに割り当てます。デスクトップ パスワード同期を使用するには、ユーザーはアプリに割り当てられている必要があります。

  8. 「保存」をクリックします。

mobileconfig テンプレートファイルの編集

デスクトップパスワード同期を有効にするには、プラットフォームSSO構成プロファイルとOkta Verify構成プロファイルの2つのmobileconfigファイルが必要です。以下の手順に従って、提供されたテンプレートを編集し、Kandjiでカスタムプロファイルライブラリアイテムとして追加します。Visual Studio Code、Sublime Text、BBEditなどのプレーンテキストエディタを使用して編集する必要があります。

  1. Kandji サポート GitHub リポジトリ (GitHub リンク) から Okta_PSSO_Configuration_Template.mobileconfig ファイルをダウンロードします。

  2. Kandji サポート GitHub リポジトリ (GitHub リンク) から Okta_Verify_Configuration_Template.mobileconfig ファイルをダウンロードします。

  3. テキストエディタで「Okta_PSSO_Configuration_Template.mobileconfig」ファイルを開き、次のセクションを更新します。

    1. [Associated Domains]ペイロードの[AssociatedDomains]セクションを更新し、サンプルドメインを独自のOktaテナントアドレスに置き換えます。

      例:authsrv:accuhive.okta.com

    2. Extensible SSOペイロードの「URL」セクションを更新し、サンプルドメインをOktaテナント情報に置き換えます。残りの URL はそのままにしておきます。

      例:accuhive.okta.com

    3. mobileconfig ファイルを保存します。

  4. テキストエディタで「Okta_Verify_Configuration_Template.mobileconfig」ファイルを開き、次のセクションを更新します。

    1. com.okta.mobileペイロードのOktaVerify.OrgUrlセクションをOktaテナントURLで更新します。

      例:https://accuhive.okta.com

    2. com.okta.mobileペイロードの「OktaVerify.PasswordSyncClientID」セクションを、以前に記録したデスクトップパスワード同期アプリのクライアントIDで更新します。

    3. com.okta.mobile.auth-service-extensionペイロードの「OktaVerify.OrgUrl」セクションをOktaテナントURLで更新します。

    4. com.okta.mobile.auth-service-extensionペイロードの「OktaVerify.PasswordSyncClientID」セクションを、以前に記録したデスクトップパスワード同期アプリのクライアントIDで更新します。

    5. mobileconfig ファイルを保存します。

Kandji でのカスタムプロファイルの作成

  1. Kandji Web アプリで、左側のナビゲーション バーにある [ライブラリ] に移動します。

  2. 画面の右上にある[ 新規追加 ]をクリックします。 

  3. カスタムプロファイルライブラリアイテムを見つけてクリックします。

  4. 「追加と設定」をクリックします。 

  5. ライブラリアイテムの名前を指定します。

  6. 希望の Blueprintに割り当てます。

  7. 変更した「Okta_PSSO_Configuration_Template.mobileconfig」ファイルをアップロードします。

  8. 「保存」をクリックします。 

  9. 「Okta_Verify_Configuration_Template.mobileconfig」ファイルに対して手順1〜8を繰り返します。

  10. Okta Verifyアプリが、以前に作成したカスタムプロファイルライブラリアイテムと同じBlueprintに割り当てられていることを確認します。

  11. プロファイルとOkta VerifyアプリがMacコンピューターに配布されると、ユーザーはOktaパスワードの登録と同期を求められます。

デバイス上でのセットアップ

前提条件

  • Okta Verifyを登録してDesktop Password Syncを設定する前に、コンピューターに Touch ID が設定されていることを確認してください。

初期登録

  1. プロファイルとOkta Verifyがデプロイされると、[Registration Required(登録が必要)]という通知が表示されます。 「登録」をクリックします。 

  2. プロンプトが表示されたら、現在のコンピューターのパスワードを入力します。 

  3. Okta Verifyのセットアッププロセスを開始するには、ポップアップウィンドウで [Set up(セットアップ )]をクリックします。 

  4. Webブラウザでプロセスを続行します。 

  5. WebブラウザでOktaアカウントにログインします。 

  6. 本人確認が完了したら、Webブラウザウィンドウを閉じることができます。 Touch IDを有効にするように求められます。 

  7. 次に、Oktaパスワードをローカルアカウントに同期するための認証を求められます。 「続行」をクリックします。

  8. 表示される通知で [サインイン] をクリックします。 

  9. Oktaパスワードを入力し、[ Sign in(サインイン)]をクリックします。 

  10. パスワードが同期されたことを知らせる通知が表示されます。 

パスワードの変更

プラットフォームSSOでは、Appleの設計により、ユーザーとグループ設定の「パスワード」フィールドで「変更」ボタンが使用できません。これは、MacのパスワードをOktaのパスワードと同期させるためです。Oktaのパスワードが変更された場合、MacのパスワードをOktaのパスワードと一致するように変更する方法がいくつかあります。

パスワードを更新するまで、Macへのログインには古いパスワードが引き続き使用されます。

Okta Verifyの通知

  1. 「認証が必要です」の通知が表示されたら、「サインイン」をクリックします。 

  2. 新しいOktaパスワードを入力し、[Sign In(サインイン)]をクリックします。 

  3. パスワードが更新されたという通知が表示されます。 

ロック画面

新しいOktaパスワードは、 macOS ロック画面( FileVault ロック解除画面やログインウィンドウではない)で使用でき、認証が成功するとローカルアカウントのパスワードが自動的に更新されます。

システム設定(Sonoma のみ)

  1. Oktaでパスワードを変更したら、システム設定を開き、ユーザーとグループを選択します。ユーザー名の横にある 情報 アイコンをクリックします。 

  2. 「プラットフォームシングルサインオン」セクションで、「認証」をクリックします。 

  3. プロンプトが表示されたら、新しいOktaパスワードを入力します。 

  4. パスワードが同期されたという通知が表示されます。