Bereitstellen von Okta Desktop Password Sync und Platform Single Sign-On

Prev Next

Okta Desktop Password Sync befindet sich derzeit in der Okta "Early Access"-Version. Weitere Informationen finden Sie in der Okta-Ressource: Manage Early Access and Beta.

Anforderungen

Okta-Anforderungen

  • Ihre Okta Identity Engine-Organisation ist verfügbar.

  • Auf Ihren macOS Computern wird mindestens 13 macOS Ventura ausgeführt.

  • Die Unterstützung für Platform SSO 2.0 ist für macOS-Computer mit macOS 14 Sonoma und höher verfügbar. Platform SSO 2.0 ermöglicht es Benutzern, Desktop Password Sync direkt über das macOS-Anmeldefenster zu verwenden.

  • Die Anwendung Desktop Password Sync ist für Ihr Unternehmen in Okta verfügbar. Wenn Sie die Desktop-Kennwortsynchronisierungs-App nicht im App-Katalog finden können, wenden Sie sich an Ihren Okta-Kundenbetreuer.

  • Der Okta Verify-Authentifikator ist in Ihrer Organisation eingerichtet.

  • Die Okta Verify-App, die Ihrem Kandji Mandanten aus Apple Business Manager Apps & Bücher hinzugefügt wurde (siehe Kandji Leitfaden hier).

Zusätzliche Anforderungen

  • Ein Nur-Text-Editor wie Visual Studio Code, Sublime Text, BBEdit usw.

  • Drei mobileconfig-Dateien, die bearbeitet und als benutzerdefinierte Profile auf Kandji hochgeladen werden.

FileVault-Unterstützung für macOS 15+

Okta bietet neue Authentifizierungsrichtlinien an, um strengere Authentifizierungsanforderungen für macOS 15+ durchzusetzen. Die Desktop-Kennwortsynchronisierung umfasst jetzt die FileVault-Schnittstelle. Weitere Informationen dazu finden Sie im Configure Desktop Password Sync for macOS 15 Artikel von Okta.

Erstellen von SCEP-Zertifikaten für den Gerätezugriff für macOS 14+

Konfigurieren einer Desktop-SCEP-Zertifizierungsstelle in Okta

  1. Melden Sie sich bei Ihrem Okta-Verwaltungsportal an.

  2. Wählen Sie im linken Navigationsbereich Sicherheit aus .

  3. Wählen Sie im erweiterten Menü Geräteintegrationen aus .

  4. Wählen Sie im Bereich Geräteintegration die Option Gerätezugriff aus.

  5. Klicken Sie auf SCEP-Konfiguration hinzufügen.

  6. Wählen Sie Statische SCEP-URL aus.

  7. Klicken Sie auf Generieren.

  8. Kopieren Sie die SCEP-URL.

  9. Kopieren Sie den geheimen Schlüssel.

    • Notieren Sie sich den geheimen Schlüssel, da Sie ihn nur dann einsehen können. Danach wird es zu Ihrem Schutz als Hash gespeichert. Bei Bedarf kann dieser Schlüssel gedreht werden.

  10. Klicken Sie auf Speichern.

      • Wenn Sie den geheimen Schlüssel zurücksetzen müssen, können Sie dies über das Menü "Aktionen " rechts neben der Integration tun.

Fügen Sie die SCEP-Payload zu Ihrem Kandji Library hinzu

Um dieses Bibliothekselement zu Ihrer Kandji-Bibliothek hinzuzufügen, befolgen Sie die Schritte, die im Artikel Bibliotheksübersicht beschrieben sind.

Konfigurieren des SCEP-Zertifikatprofils

  1. Geben Sie dem Profil einen Namen.

  2. Weisen Sie es Ihrem gewünschten Blueprintszu.

  3. Fügen Sie in das Feld URL die SCEP-Server-URL ein, die Sie zuvor kopiert haben.

  4. Geben Sie einen Namen ein (optional).

  5. Fügen Sie in das Feld Abfrage den geheimen Schlüssel ein, den Sie zuvor kopiert haben.

  6. Geben Sie im Feld Betreff CN=$SERIAL_NUMBER ein .

    1. Beim Speichern der SCEP- Library Itemhängt Kandji die PROFILE_UUID an das Ende der verwendeten CN an.

  7. Stellen Sie sicher, dass der Typ des alternativen Antragstellernamens auf Keine festgelegt ist.

  8. Wählen Sie für Schlüsselgröße die Option 2048 aus .

  9. Wählen Sie für Schlüsselverwendung die Option Signieren aus .

  10. Wählen Sie Wiederholungen aus , und geben Sie 5 für die Anzahl der Wiederholungen ein . Diese Zahl kann auf einen Wert angepasst werden, der für Ihre Umgebung geeignet ist.

  11. Wählen Sie Wiederholungsverzögerung aus, und geben Sie 30 für die Anzahl der Sekunden ein . Diese Zahl kann auf einen Wert angepasst werden, der für Ihre Umgebung geeignet ist.

  12. Wählen Sie Apps den Zugriff auf den privaten Schlüssel erlauben aus .

  13. Wählen Sie Verhindern, dass das Datum des privaten Schlüssels im Schlüsselbund extrahiert wird.

  14. Wählen Sie Automatische Profilneuverteilung aus, und geben Sie 30 für die Tage vor Ablauf des Zertifikats ein . Diese Zahl kann auf einen Wert angepasst werden, der für Ihre Umgebung geeignet ist.

  15. Klicken Sie auf Speichern.

Weitere Informationen zum Kandji SCEP Library Itemfinden Sie im Support-Artikel von SCEP Profile .

Für macOS 13+ konfigurieren

Alle Einstellungen in diesem Abschnitt gelten für alle Versionen von macOS, sofern nicht anders angegeben. Sie müssen separate Instanzen von Okta Device Access für Benutzer unter macOS 13 und macOS 14+ konfigurieren.

Erstellen und Konfigurieren der Integration der Desktop Password Sync-App in Okta

  1. Wechseln Sie in der Okta Admin Console zu Anwendungen > Anwendungskatalog.

  2. Suchen Sie nach Desktop Password Sync und wählen Sie die App aus.

  3. Klicken Sie auf Integration hinzufügen. Wenn Sie die Fehlermeldung "Diese Funktion ist nicht aktiviert" erhalten, wenden Sie sich an Ihren Okta-Kundenbetreuer.

  4. Öffnen Sie Desktop Password Sync aus der Anwendungsliste, um es zu konfigurieren.

  5. Auf der Registerkarte Allgemein können Sie die Anwendungsbezeichnung bearbeiten oder die Standardbezeichnung verwenden.

  6. Notieren Sie sich auf der Registerkarte Anmelden die Client-ID. Sie benötigen dies, wenn Sie das Single Sign-On-Profil erstellen.

  7. Weisen Sie die App einzelnen Benutzern oder Gruppen auf der Registerkarte "Zuweisungen" zu. Benutzern muss die App zugewiesen sein, um die Desktopkennwortsynchronisierung verwenden zu können.

  8. Klicken Sie auf Speichern.

Bearbeiten der mobileconfig-Vorlagendateien

Für die Aktivierung von Desktop Password Sync werden drei mobileconfig-Dateien benötigt: zwei Plattform-SSO-Konfigurationsprofile und ein Okta Verify-Konfigurationsprofil. Wenn Sie macOS 13 und macOS 14+ unterstützen, müssen Sie zwei der Okta Verify-Konfigurationsprofile bereitstellen. Führen Sie die folgenden Schritte aus, um die bereitgestellten Vorlagen zu bearbeiten und sie als benutzerdefiniertes Profil Library Items in Kandjihinzuzufügen. Sie müssen sie mit einem Nur-Text-Editor wie Visual Studio Code, Sublime Text, BBEdit usw. bearbeiten.

Wenn Sie macOS 13-Geräte in Ihrer Flotte nicht unterstützen, können Sie die Bereitstellung des Okta_PSSO_Configuration_Template_macOS13.mobileconfig-Profils überspringen.

  1. Laden Sie die Datei Okta_PSSO_Configuration_Template_macOS13.mobileconfig aus dem GitHub-Repository Kandji Support herunter (GitHub Link).

  2. Laden Sie die Datei Okta_PSSO_Configuration_Template_macOS14.mobileconfig aus dem GitHub-Repository Kandji Support herunter (GitHub Link).

  3. Laden Sie die Datei Okta_Verify_Configuration_Template.mobileconfig aus dem GitHub-Repository Kandji Support (GitHub-Link) herunter.

Okta PSSO-Konfigurationsprofil für macOS 13

  1. Öffnen Sie die Datei Okta_PSSO_Configuration_Template_macOS13.mobileconfig in Ihrem Texteditor.

  2. Aktualisieren Sie den Abschnitt "AssociatedDomains" der Payload "Zugeordnete Domänen" und ersetzen Sie die Beispieldomäne durch Ihre eigene Okta-Mandantenadresse.

    • Beispiel: authsrv:accuhive.okta.com

      <key>AssociatedDomains</key>
<array>
     <!-- replace accuhive.okta.com with your tenant address -->
     <string>authsrv:accuhive.okta.com</string>
</array>

  3. Aktualisieren Sie den Abschnitt URLs der Payload Extensible SSO und ersetzen Sie die Beispieldomäne durch Ihre Okta-Mandanteninformationen. Lassen Sie den Rest der URL unverändert.

    • Beispiel: accuhive.okta.com

      <key>URLs</key>
<array>
     <!-- replace accuhive.okta.com with your tenant address -->
     <string>https://accuhive.okta.com/device-access/api/v1/nonce</string>
     <string>https://accuhive.okta.com/oauth2/v1/token</string>
</array>

  4. Speichern Sie die Datei mobileconfig.

Okta PSSO-Konfigurationsprofil für macOS 14+

  1. Öffnen Sie die Datei Okta_PSSO_Configuration_Template_macOS14.mobileconfig in Ihrem Texteditor.

  2. Aktualisieren Sie den Abschnitt "AssociatedDomains" der Payload "Zugeordnete Domänen auth-service-extension" und ersetzen Sie die Beispieldomäne durch Ihre eigene Okta-Mandantenadresse.

    • Beispiel: authsrv:accuhive.okta.com

      <key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
<key>AssociatedDomains</key>
<array>
     <!-- replace accuhive.okta.com with your tenant address -->
     <string>authsrv:accuhive.okta.com</string>

  3. Aktualisieren Sie den Abschnitt "AssociatedDomains" der Payload "Zugeordnete Domänen" und ersetzen Sie die Beispieldomäne durch Ihre eigene Okta-Mandantenadresse.

    • Beispiel: authsrv:accuhive.okta.com

      <key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile</string>
<key>AssociatedDomains</key>
<array>
     <!-- replace accuhive.okta.com with your tenant address -->
     <string>authsrv:accuhive.okta.com</string>

  4. Aktualisieren Sie den Abschnitt URLs der Payload Extensible SSO und ersetzen Sie die Beispieldomäne durch Ihre Okta-Mandanteninformationen. Lassen Sie den Rest der URL unverändert.

    • Beispiel: accuhive.okta.com

      <key>URLs</key>
<array>
     <!-- replace accuhive.okta.com with your tenant address -->
     <string>https://accuhive.okta.com/device-access/api/v1/nonce</string>
     <string>https://accuhive.okta.com/oauth2/v1/token</string>
</array>

  5. Speichern Sie die Datei mobileconfig.

Okta Verify-Konfigurationsprofil

  1. Öffnen Sie die Datei Okta_Verify_Configuration_Template.mobileconfig in Ihrem Texteditor.

  2. Aktualisieren Sie den Abschnitt OktaVerify.OrgUrl der Payload com.okta.mobile mit der URL Ihres Okta-Mandanten.

    1. Beispiel: https://accuhive.okta.com

      <dict>
     <!-- replace accuhive.okta.com with your tenant -->
     <key>OktaVerify.OrgUrl</key>
     <string>https://accuhive.okta.com</string>

  3. Aktualisieren Sie den Abschnitt OktaVerify.PasswordSyncClientID der Payload com.okta.mobile mit der Client-ID Ihrer Desktop-Kennwortsynchronisierungs-App, die Sie zuvor aufgezeichnet haben.

    <!-- replace YOUR_CLIENT_ID with your Desktop Password Sync app Client ID -->
<key>OktaVerify.PasswordSyncClientID</key>
<string>YOUR_CLIENT_ID</string>

  4. Aktualisieren Sie den Abschnitt OktaVerify.OrgUrl der Nutzlast com.okta.mobile.auth-service-extension mit Ihrer Okta-Mandanten-URL.

    <dict>
     <!-- replace accuhive.okta.com with your tenant -->
     <key>OktaVerify.OrgUrl</key>
     <string>https://accuhive.okta.com</string>

  5. Aktualisieren Sie den Abschnitt OktaVerify.PasswordSyncClientID der Nutzlast com.okta.mobile.auth-service-extension mit der Client-ID Ihrer Desktop-Kennwortsynchronisierungs-App, die Sie zuvor aufgezeichnet haben.

    <!-- replace YOUR_CLIENT_ID with your Desktop Password Sync app Client ID -->
<key>OktaVerify.PasswordSyncClientID</key>
<string>YOUR_CLIENT_ID</string>

  6. Aktualisieren Sie den Abschnitt PlatformSSO.ProtocolVersion der Nutzlast com.okta.mobile.auth-service-extension auf die entsprechende Version für Ihre Organisation.

    1. Für macOS 13 Ventura, auf 1.0 festlegen

    2. Für macOS 14 Sonoma oder höher, auf 2.0 festlegen

      <key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>

    3. Wenn Sie macOS 13 und macOS 14+ unterstützen, müssen Sie mehrere Versionen der Datei Okta_Verify_Configuration_Template.mobileconfig speichern, jeweils mit der entsprechenden Einstellung PlatformSSO.ProtocolVersion.

  7. Speichern Sie die mobileconfig-Datei(en).

Erstellen Sie die benutzerdefinierten Profile Library Items in Kandji

Um dieses Bibliothekselement zu Ihrer Kandji-Bibliothek hinzuzufügen, befolgen Sie die Schritte, die im Artikel Bibliotheksübersicht beschrieben sind.

  1. Geben Sie einen Namen für die Library Itemein.

  2. Weisen Sie es Ihrem gewünschten Blueprintszu.

  3. Laden Sie die geänderte Datei "Okta_PSSO_Configuration_Template_macOS13.mobileconfig" hoch.

  4. Klicken Sie auf Speichern.

  5. Wiederholen Sie die vorherigen Schritte in diesem Abschnitt für "Okta_PSSO_Configuration_Template_macOS14.mobileconfig" und für alle "Okta_Verify_Configuration_Template.mobileconfig"-Dateien.

  6. Stellen Sie sicher, dass die Okta Verify-App denselben Blueprintzugewiesen ist wie das zuvor erstellte benutzerdefinierte Profil, Library Items .

  7. Führen Sie die Schritte im Abschnitt Bereitstellen von Profilen mit Zuweisungszuordnungen aus, sodass Profile nur auf kompatiblen Geräten bereitgestellt werden.

  8. Sobald die Profile und die Okta Verify-App an Ihre Mac-Computer verteilt wurden, werden die Benutzer aufgefordert, ihr Okta-Passwort zu registrieren und zu synchronisieren.

Bereitstellen von Profilen mit Zuordnungszuordnungen

Es gibt bis zu vier benutzerdefinierte Crowdstrike-Profile, die eine bedingte Logik benötigen, um sicherzustellen, dass sie auf den richtigen Geräten bereitgestellt werden. Ein Assignment Map bietet eine einfache Lösung für alle Ihre Geräte in einer praktischen Ansicht.

Bitte lesen Sie unsere Creating a Blueprint und Using Conditional Logic in Assignment Maps Artikel.

  1. Beginnen Sie mit dem bedingten Block Für alle Geräte in diesem Blueprint-Block .

  2. Weisen Sie dem Block die Okta Verify App Store-App zu.

  3. Legen Sie den oberen Rand des bedingten Blocks auf Wenn macOS größer oder gleich 14.0 ist.

  4. Weisen Sie dem bedingten Block die SCEP-Library Item Okta-Gerätezugriffszertifikate zu.

  5. Weisen Sie dem bedingten Block das benutzerdefinierte Profil für macOS 14-Konfiguration Okta PSSO zu .

  6. Weisen Sie dem bedingten Block das benutzerdefinierte Profil Okta Verify-Konfiguration macOS 14 zu.

  7. Fahren Sie mit dem else-Abschnitt des bedingten Blocks fort.

  8. Weisen Sie dem bedingten Block das benutzerdefinierte Profil für macOS 13-Konfiguration Okta PSSO zu .

  9. Weisen Sie dem bedingten Block das benutzerdefinierte Profil Okta Verify-Konfiguration macOS 13 zu.

Benutzererfahrung und nächste Schritte

Bei Platform SSO ist die Schaltfläche "Ändern" in den Einstellungen für Benutzer und Gruppen im Feld "Passwort" nicht verfügbar.

Sobald die Konfiguration des Okta Desktop-Passworts abgeschlossen ist, können Sie Ihre Benutzer die Schritte im User Experience with Okta Desktop Password Sync Artikel ausführen lassen, um sie zu registrieren.