Configurer une extension SSO sur les appareils macOS gérés
Okta FastPass prend désormais en charge la résistance à l'hameçonnage pour Safari et les apps natives sur macOS sans l'extension d'authentification unique-On (SSO) Apple.
Vous n'avez plus besoin de configurer une extension SSO, sauf si cela vous est demandé par l'assistance Okta.
Sur les appareils gérés, la façon la plus sécurisée et la plus transparente pour s'authentifier sur Safari et les navigateurs dans les apps est l'extension d'authentification unique (SSO) Apple. Cette extension SSO masque l'invite du navigateur Ouvrir Okta Verify et introduit des propriétés de résistance à l'hameçonnage dans le flux d'authentification.
L'extension SSO n'est pas prise en charge sur Mozilla Firefox ou sur le navigateur Google Chrome avant la version 145 de Chrome.
Ces navigateurs utilisent un serveur Web local pour communiquer avec Okta Verify. Ils n'ont donc pas besoin d'une extension SSO pour masquer l'invite Ouvrir Okta Verify ou pour activer la résistance au hameçonnage.
Activez l'option en accès anticipé Prise en charge de l'extension d'authentification SSO pour Chrome sur macOS pour prendre en charge l'utilisation de l'extension SSO sur Chrome 145 ou une version ultérieure.
Avant de commencer
Vérifiez que les conditions suivantes sont remplies :
-
L'appareil est géré.
-
L'appareil fonctionne sur un système d'exploitation pris en charge. Voir Systèmes d'exploitation et navigateurs pris en charge.
-
Okta est configuré en tant qu'autorité de certification avec une vérification SCEP dynamique. Consultez la section Configurer Okta en tant que CA avec défi SCEP dynamique pour macOS à l'aide de Jamf Pro.
-
Vous connaissez les ressources suivantes :
Vous pouvez créer l'extension SSO dans Jamf Pro ou Microsoft Endpoint Manager :
Si vous utilisez un logiciel MDM différent, consultez Paramètres de charge utile de l'authentification unique extensible MDM pour les appareils Apple Utilisez les valeurs de configuration fournies dans cette procédure.
Créer un profil d'extension SSO dans Jamf Pro
-
Dans Jamf Pro, accédez à .
-
Cliquez sur + Nouveau.
-
Cliquez sur l'onglet Options.
-
Faites défiler vers le bas, puis cliquez sur Single Sign-On Extensions (Extensions d'authentification unique).
-
Cliquez sur +Ajouter.
-
Sur la page Single Sign-On Extensions, configurez les champs suivants :
-
Identificateur d'extension : com.okta.mobile.auth-service-extension
-
Identificateur d'équipe : B7F62B65BN
-
Type d'authentification : Informations d'identification
-
Domaine Realm: Appareil Okta
-
Hôtes : saisissez votre domaine org Okta, par exemple, acme.okta.com.
-
Si vous utilisez un domaine URL personnalisé dans votre org, cliquez sur + Ajouter, puis saisissez votre domaine URL personnalisé. N'incluez pas https:// ou tout autre préfixe de protocole.
Une fois cette étape effectuée, vous disposerez de deux domaines. Par exemple, acme.okta.com et id.acmecorp.biz.
-
-
Cliquez sur Enregistrer.
Créez un profil d'extension SSO dans Microsoft Endpoint Manager
Si vous utilisez un logiciel MDM différent, consultez Paramètres de charge utile de l'authentification unique extensible MDM pour les appareils Apple Utilisez les valeurs de configuration fournies dans cette procédure.
-
Dans le centre d'administration Microsoft Endpoint Manager, accédez à Appareils.
-
Cliquez sur Profils de configuration.
-
Cliquez sur + Créer un profil.
-
Sur la page Notions de base, saisissez les valeurs suivantes :
-
Plateforme : macOS
-
Type de profil : sélectionnez Catalogue de paramètres et cliquez sur Créer.
-
-
Cliquez sur +Ajouter.
-
Sur la page Notions de base, saisissez les valeurs suivantes :
-
Nom : saisissez un nom pour le profil, par exemple, macOS transparent SSO.
-
Description : Saisissez une description facultative pour le profil.
-
Plateforme : Ceci est prédéfini sur macOS.
-
-
Sur la page Paramètres de configuration, cliquez sur +Ajouter des paramètres et saisissez les informations suivantes via le Sélecteur de paramètres :
-
Sélectionnez .
-
Sélectionnez les paramètres suivants : Identifiant d'extension, Identifiant d'équipe, Type d'authentification, Domaine Realmet Hôtes.
Fermez le Sélecteur de paramètres.
-
-
Sur la page Extensions d'authentification unique, configurez les champs suivants :
-
Identificateur d'extension : com.okta.mobile.auth-service-extension
-
Identificateur d'équipe : B7F62B65BN
-
Type d'authentification : Informations d'identification
-
Domaine Realm: Appareil Okta
-
Hôtes : saisissez votre domaine org Okta, par exemple, acme.okta.com.
-
Si vous utilisez un domaine URL personnalisé dans votre org, cliquez sur + Ajouter, puis saisissez votre domaine URL personnalisé. N'incluez pas https:// ou tout autre préfixe de protocole.
Une fois cette étape effectuée, vous disposerez de deux domaines. Par exemple, acme.okta.com et id.acmecorp.biz.
-
-
Cliquez sur Suivant.
-
Sur la page Balises de portée, ajoutez les balises nécessaires et cliquez sur Suivant.
-
Sur la page Créer une politique de configuration d'app, sous l'onglet Affectations, assignez l'app aux groupes. Cliquez sur Suivant.
-
Sur la même page, sous l'onglet Réviser + créer, vérifiez la configuration de l'application, puis cliquez sur Créer.
Échecs de l'extension SSO
Si l'extension SSO échoue, le flux d'authentification revient à la page de connexion. L'extension SSO est susceptible d'échouer dans les situations suivantes :
-
Le profil MDM de l'extension SSO n'est pas installé.
-
Okta n'a pas été configuré en tant autorité de certification avec un SCEP dynamique.
-
Le profil de l'extension SSO dans Jamf Pro n'est pas configuré correctement.
-
Un utilisateur a essayé d'accéder à une ressource protégée d'Okta en utilisant Chrome version 144 ou antérieure (sans accès silencieux) ou Firefox.
-
Un utilisateur a tenté d'accéder à une ressource protégée par Okta via Safari ou un navigateur intégré à une application à partir d'un appareil non géré.
-
L'identificateur de l'extension est incorrect.
-
L'org à laquelle l'utilisateur tente d'accéder n'est pas configurée sous Hôtes.
Rubriques liées
Configurer Okta en tant que CA avec défi SCEP dynamique pour macOS à l'aide de Jamf Pro