OktaでOpenID Connect(OIDC)アプリケーションを作成し、Kandji Passportの設定に使用します
PassportとOktaで問題が発生した場合は、 Okta を使用した Passport のトラブルシューティング の記事で詳細を確認してください。
Oktaアプリケーションの構成
Passport ライブラリアイテムを構成する際、 クライアント ID (アプリケーション ID) と ID プロバイダー URL が必要です。これらの手順を使用して、OIDC アプリを構成し、必要な情報を収集します。
Okta管理者コンソールの左側のメニューペインで、[アプリケーション]セクションを展開し、[アプリケーション]を選択します。
「Create App Integration(アプリ統合を作成)」をクリックします。
[ サインイン方法] で、 [ OIDC - OpenID Connect] を選択します。
[アプリケーションの種類] で [ネイティブアプリケーション] を選択します。
「次へ」をクリックします。
[アプリ統合名] フィールドに、「Kandji Passport」などの名前を入力します。
[Grant type(付与タイプ)] セクションで、[Refresh Token] のチェックボックスがオフになっていることを確認します。Oktaパスワードが変更された場合に、Passportがログイン中にMacパスワードを更新するようにユーザーに求めるようにするには、このオプションをオフにする必要があります。
Passportライブラリアイテムの [パスワードの保管] 設定を [パスワードを安全に保管する] に設定して、ユーザーがパスワード更新プロンプトを受け取る必要があります。
[Grant type(許可タイプ)] セクションで、[リソース所有者パスワード] のチェックボックスを選択します。
注:OktaインスタンスがClassicからOkta Identity Engine(OIE)にまだ更新されていない場合、 インタラクションコードの 付与タイプとその他のオプションは表示されません。
[サインインリダイレクトURI] セクションで、[URI の追加] をクリックします。
表示される新しいフィールドに、次のように入力します。
https://localhost.redirect
同じサインイン リダイレクトURI をPassportライブラリアイテムの [認証モード] セクション内の [リダイレクト URI] フィールドで使用する必要があります。
[割り当て] セクションで、アプリ統合を組織内の全員に割り当てるか、選択したグループのみに割り当てるか、アプリの作成後まで割り当てをスキップするかを選択します。
「保存」をクリックします。
この OIDC アプリの値を保存するために使用できる安全なテキストドキュメントを開きます。これらの詳細は、Passportライブラリアイテムを構成するときに必要になります。
作成した OIDC アプリケーションの [一般] タブで、[クライアント ID] フィールドの右側にある コピーアイコン (クリップボードのようなアイコン) をクリックします。
値を安全なテキストドキュメントに貼り付けます。
次のテキストから ID プロバイダー URL の式をコピーします。
https://yourOktaDomain/.well-known/openid-configurationテキストを安全なテキストドキュメントに貼り付けます。
安全なテキストドキュメントで、yourOktaDomain を Okta ドメインに置き換えます。
カスタムのサインオンポリシールールは必要ありませんが、追加する場合は、MFAが無効になっていることを確認してください。
Oktaの構成が完了したら、Passportを使用してMacシステムにサインインするユーザーにアプリを割り当て、Kandji Webアプリに移動して Passportライブラリアイテムを構成します。
多要素認証(MFA)を有効にする
OktaのMFAポリシーは、OktaのPassportアプリケーションではなく、ユーザーまたはグループに適用する必要があります。
PassportでMFAを使用する場合は、OktaとKandjiウェブアプリのPassportライブラリアイテムでいくつかの設定を変更する必要があります。 以下は、Okta Identity Engine(OIE) と Classic EngineのMFA手順です。
Okta Identity Engine
Okta Authenticators
左側のナビゲーションから[ セキュリティ]セクションを展開します。
[Authenticators] をクリックします。
Okta Verifyなどの多要素認証方法が少なくとも1つリストされていることを確認します。
多要素認証の方法が一覧に表示されていない場合は、[Add authenticator(認証子の追加)] ボタンをクリックします。
必要な認証子の下にある [追加]ボタンをクリックします。
認証子の追加手順を実行します。
「追加」をクリックします。
Oktaグローバルセッションポリシー
左側のナビゲーションから[ セキュリティ ]セクションを展開します。
「グローバルセッションポリシー」をクリックします。
[ポリシーの追加] をクリックします。
または、鉛筆をクリックして既存の デフォルトポリシーを編集します。
[多要素認証(MFA)] を [必須] に設定します。
[ユーザーにMFAを求める] を [すべてのサインイン時] に設定します。
下にスクロールして、[ルール の更新] または [ルールの作成] をクリックします。
認証ポリシー
左側のナビゲーションから[ セキュリティ ]セクションを展開します。
「 認証ポリシー」をクリックします。
「アプリケーション」をクリックします。
Kandji Passportアプリケーションの横にある [ポリシーの切り替え]をクリックします。
「Kandji Passportにこのポリシーを使用する」ポリシーで「パスワードのみ」を選択します。
「保存」をクリックします。
Classic Engine
Okta MFA設定
左側のナビゲーションから[ セキュリティ]セクションを展開します。
「認証」をクリックします。
「サインオン」をクリックします。
[Add New Okta Sign-on Policy(新しいOktaサインオンポリシーを追加)]をクリックします
「MFA必須」のような ポリシー名 を入力します。
ポリシーの説明を入力します。
この MFA 要件に割り当てるグループを選択します。
[ ポリシーの作成とルールの追加] をクリックします。
ルール名を入力します。
[多要素認証 (MFA) ]の設定を [必須] に選択します
[ユーザーにMFAを求める] の設定を [すべてのサインイン時] に選択します。
ウィンドウの下部にある [ルールを作成] をクリックします。
ライブラリアイテム設定
Webログインの横にあるラジオボタンを選択して、多要素認証(MFA)をサポートします。
「リダイレクト URI」フィールドに、次のように入力します。
https://localhost.redirect
「保存」ボタンをクリックします。
ユーザープロビジョニング
Oktaのグループ情報を使用してユーザーアカウントのタイプを決定する予定の場合は、次の手順に従います。Oktaで使用するグループは「Mac-」から始める必要はありませんが、 これらの手順では例として「Mac-」を使用しています 。
Passport ライブラリアイテムで、「ユーザープロビジョニング」セクションの「ユーザーアカウントタイプ」メニューをクリックし、「 ID プロバイダーグループごとに指定」を選択します。
ドロップダウンから [デフォルトのアカウントタイプ ] を選択します。
[ ID プロバイダー グループ ] フィールドに、Okta グループ名を入力します。この記事では、 例として Mac- で始まるグループを使用しています。
各 ID プロバイダーグループの行に対し、必要に応じて [アカウントのタイプ] を設定します。
次に、OktaのPassport OIDCアプリケーションで、次の手順を使用して、例として Mac- で始まるようにグループ要求フィルターを構成します。
Okta管理者コンソールの左側のメニューペインで、必要に応じて[アプリケーション]セクションを展開し、[ アプリケーション]を選択します。
以前に作成した Kandji Passport アプリケーションを選択します。
「サインオン」タブをクリックします。
「OpenID Connect ID トークン」セクションで、「編集」をクリックします。
[グループ要求フィルター] セクションで、既定値の groups をそのまま使用します。
中央のフィールドはデフォルトの「Starts with」のままにします。
右端のフィールドに 「Mac 」と入力します(使用する、または使用する予定のOktaグループが Macから始まると仮定します)。
「保存」をクリックします。
Passport と Okta の問題のトラブルシューティング
PassportとOktaで問題が発生した場合は、 Okta を使用したパスポートのトラブルシューティング の記事で追加情報を確認してください。