Utilisez votre propre autorité de certification pour les appareils gérés

Lorsqu'une politique de connexion à une app exige que les appareils de bureau soient gérés, Okta vérifie si un certificat client est installé sur les appareils ciblés. Okta atteste de l'installation du certificat en créant une signature numérique avec le certificat et en la validant sur le serveur. Vous pouvez configurer une autorité de certification (CA) pour délivrer des certificats clients à vos appareils sécurisés par Okta.

Pour fournir votre propre CA, votre environnement nécessite une infrastructure à clé publique (PKI) intégrée à votre logiciel de gestion des appareils Mobile (MDM). Le logiciel MDM effectue les tâches suivantes :

• Distribution des certificats clients aux appareils ciblés.

• Renouvellement des certificats avant leur expiration.

• Révocation des certificats de votre serveur MDM et vos appareils gérés lorsque les appareils ne sont plus gérés.

Avant de commencer

• Pour gérer des appareils, vous pouvez utiliser votre logiciel MDM existant (comme Microsoft Intune pour Windows, ou Jamf Pro pour macOS), ou votre infrastructure Services de certificats Active Directory (ADCS). Vous pouvez utiliser votre infrastructure ADCS avec Okta Verify pour enregistrer les appareils gérés dans Okta. L'utilisateur de l'appareil doit avoir un certificat émis par l'autorité de certification qui est définie dans Okta. Par exemple, vous pouvez utiliser les services de certificats Active Directory (ADCS) de Microsoft et le service d'inscription d'appareil réseau (NDES) intégrés à Microsoft Intune.
• Pour prouver que les appareils sont gérés par votre organisation, configurez votre logiciel MDM de façon à déployer des certificats sur vos appareils Windows et macOS enregistrés. Les certificats doivent être signés par la CA de votre organisation. Consultez la section Enregistrement de l'appareil.
• Utilisez l'Okta Admin Console pour charger les autorités de certification intermédiaires que votre logiciel MDM utilise pour émettre le certificat client. Durant l'authentification unique (SSO), Okta Verify présente au serveur le jeton signé pour indiquer la preuve de possession du certificat client. Okta utilise ensuite le certificat de la CA de confiance pour confirmer que l'appareil appartient à votre organisation.

Lancer la procédure

• Tâche 1 : confirmer que les certificats clients sont déployés
• Tâche 2 : dans Okta, charger votre CA et configurer l'attestation de gestion

Confirmer que les certificats clients sont déployés

Assurez-vous que les certificats clients émis par votre CA sont déployés sur les appareils macOS et Windows de votre organisation.

dans Okta, charger votre CA et configurer l'attestation de gestion

1. Dans l'Okta Admin Console, accédez à SécuritéIntégrations d'appareils.
2. Accédez à l'onglet Autorité de certification et cliquez sur Ajouter une autorité de certification.
3. Dans la boîte de dialogue Ajouter une autorité de certification, naviguez jusqu'à la CA intermédiaire qui sera utilisée pour émettre le certificat client. Si vous avez plusieurs émetteurs, chargez-les tous un par un.

   Okta ne prend pas en charge les formats de certificat PKCS#7, PKCS#12 ou PFX.

   Les certificats sont chargés automatiquement. Un message s'affiche si les chargements ont réussi. Pour voir les détails, cliquez sur Voir les détails de la chaîne de certificats racine.

4. Cliquez sur Fermer.
5. Accédez à l'onglet Gestion du point de terminaison.
6. Cliquez sur Ajouter une plateforme.
7. Sélectionnez Bureau (Windows et macOS uniquement) et cliquez sur Suivant.
8. Configurez l'attestation de gestion. Pour Autorité de certification, sélectionnez Utiliser ma propre autorité de certification.
9. Cliquez sur Enregistrer.

Étapes suivantes

Ajouter une règle de politique d'authentification à l'app pour bureau