FAQ sur les attestations de gestion

Pourquoi les administrateurs devraient-ils pousser des certificats clients vers les appareils de bureau avec Okta Verify ?

Si les certificats clients sont poussés par le logiciel de gestion des appareils mobiles (MDM) et ne peuvent pas être obtenus par un autre canal, ces certificats clients peuvent être utilisés pour attester que l'appareil est géré.

Comment un certificat client est-il utilisé par Okta ?

Un certificat client est uniquement utilisé pour signer une charge utile supplémentaire qui atteste de la gestion. Il n'est pas utilisé pour l'authentification ou pour authentifier l'utilisateur.

Puis-je obtenir mes certificats auprès d'une autorité de certification (CA) tierce ?

Oui, mais pour des raisons de sécurité, il est important que la CA ne délivre des certificats qu'aux appareils gérés.

Par exemple, si vous utilisez une CA qui permet l'inscription en libre-service des utilisateurs, ces derniers pourraient obtenir et utiliser ces certificats sur un appareil qui n'est pas géré, puis usurper l'attestation de gestion. Ainsi, les utilisateurs pourraient accéder aux ressources sans fournir l'assurance requise par la politique de connexion à des applications.

Comment le client choisit-il le certificat client ?

Lors de chaque authentification, le serveur envoie au client une liste d'émetteurs configurés par l'administrateur. Le client parcourt la liste et charge tous les certificats clients qui ont été émis par ces émetteurs. Il préfère le magasin d'utilisateurs, mais il vérifie également le magasin de machines si un émetteur n'a pas de certificats correspondants dans le magasin d'utilisateurs. Après avoir vérifié si le certificat client peut être utilisé pour la signature (la clé privée est accessible), Okta sélectionne le certificat client le plus récemment émis pour attester que l'appareil est géré. Le client n'effectue pas un vérification de révocation adéquate, il est donc recommandé de supprimer les certificats révoqués du client.

Les certificats clients dans le magasin de machines peuvent-ils être utilisés pour l'attestation de gestion ?

Pour Windows, les certificats clients doivent se trouver dans le magasin de certificats utilisateurs actuel, et non dans le magasin de machines. Si l'utilisation du magasin de machines ne peut être évitée, veillez à ce qu'aucune élévation ne soit requise pour que l'utilisateur accède à la clé privée.

Pour macOS, sélectionnez le niveau approprié pour déployer le certificat client :

  • Pour vous assurer que tous les utilisateurs de l'appareil sont gérés, sélectionnez Niveau ordinateur.

  • Si vous souhaitez que seuls les utilisateurs de l'appareil gérés par MDM soient identifiés comme gérés, sélectionnez Niveau utilisateur.

Assurez-vous que le certificat client est disponible pour toutes les applications. Consultez les sections Utiliser votre propre autorité de certification pour les appareils gérés et Paramètres de charge utile SCEP MDM pour les appareils Apple.

Comment Okta valide-t-il l'attestation de gestion sur le serveur ?

Okta effectue les validations suivantes :

  • La charge utile a été signée avec le certificat du client.
  • Le certificat du client est valide (les contrôles de révocation sont inclus).
  • Le certificat client a été émis par un émetteur de confiance que l'administrateur a chargé.

Okta ne valide pas toute la chaîne et attend de l'administrateur qu'il supprime d'Okta un émetteur lorsqu'il n'est plus fiable.

De quelles propriétés de certificat ai-je besoin lorsque je crée un profil SCEP dans mon logiciel MDM ?

Les paramètres suivants sont nécessaires lorsque vous créez un profil SCEP (Simple Certificate Enrollment Protocol) dans votre logiciel de gestion des appareils mobiles (MDM) :

  • URL : saisissez l'URL SCEP à partir de l'Okta Admin Console.
  • Nom : saisissez un nom pour le profil SCEP.
  • Objet : saisissez un objet.

    Par exemple : CN = {NomUtilisateurEmail} managementAttestation {UIDappareil}.

    Okta n'exige pas que le nom de l'objet ait un format particulier. Choisissez un nom qui indique que le certificat est utilisé comme signal de gestion des appareils destiné à Okta. Si vous utilisez Jamf Pro, vous pouvez également inclure des variables de profil pour inclure l'ID de l'appareil (UDID).

    Consultez le Guide de l'administrateur de Jamf Pro - Profils de configuration de l'ordinateur.

  • Type de challenge : indiquez si vous avez besoin d'une URL statique, dynamique ou déléguée.
    • URL vers administrateur SCEP : saisissez l'URL du challenge à partir de l'Okta Admin Console.
    • Nom d'utilisateur : saisissez le nom d'utilisateur dans l'Okta Admin Console.
    • Mot de passe : saisissez le mot de passe dans l'Okta Admin Console.
  • Taille de la clé : 2 048.
  • Utilisation de la clé : signature numérique.
  • Autoriser l'exportation depuis le trousseau : ne rien indiquer. Une bonne pratique de sécurité consiste à marquer le certificat comme non exportable.
  • Autoriser l'accès à toutes les applications : si le profil SCEP est destiné aux appareils macOS, sélectionnez cette option.

Après avoir déployé le certificat à l'aide de SCEP, le message «Le certificat de l'autorité intermédiaire de l'organisation n'est pas approuvé» s'affiche.

Il s'agit d'un comportement habituel. Le certificat de l'autorité intermédiaire d'une organisation est utilisé pour émettre des certificats clients. Il peut valider le certificat client sur le service Okta. Il n'est donc pas nécessaire que le certificat OIA soit approuvé.

Comment Okta se protège-t-il contre la copie de certificats sur plusieurs appareils de bureau ?

Okta crée une liaison entre le deviceId et le certificat client lors de la première authentification. Après cela, si le certificat client est utilisé par un appareil différent pour une attestation de gestion, l'attestation de gestion échouera.

Que se passe-t-il si je supprime une configuration de gestion des appareils de bureau ?

Si vous supprimez une configuration de gestion des appareils de bureau, les nouveaux appareils ne demanderont pas de certificats clients au service certificat d'authentification Okta.

Dans votre solution de gestion des appareils, supprimez toutes les politiques SCEP associées à la configuration de gestion des appareils que vous avez supprimée.

Les appareils qui possèdent déjà des certificats clients émis par Okta continuent d'envoyer des attestations de gestion. Dans votre solution de gestion des appareils, supprimez le certificat client des appareils gérés. Si certains appareils ont encore des certificats clients déployés, les politiques de connexion à des applications avec des conditions d'appareils non gérés pourront empêcher l'utilisateur d'accéder aux applications sur ces appareils.

Comment puis-je réutiliser un certificat client déployé si je souhaite réaffecter l'appareil ?

Si vous souhaitez réaffecter un appareil à un nouvel utilisateur, mais qu'un certificat client est déjà installé sur l'appareil, procédez selon les étapes suivantes :

  1. Sur l'appareil, supprimez le compte Okta Verify .

    1. Dans Okta Verify sur l'appareil, appuyez ou cliquez sur le compte pour accéder aux Détails du compte.

    2. Appuyez ou cliquez sur Supprimer le compte, puis sur Supprimer pour confirmer l'action.

  2. Dans l'Admin Console, accédez à Directory Appareils et localisez l'appareil que vous souhaitez réaffecter.

  3. Cliquez sur X pour désactiver l'appareil. Cela suspendra le lien entre le certificat et l'appareil.

  4. Dans l'Admin Console, cliquez sur Désactivé dans la barre latérale Appareils pour localiser les appareils désactivés. Trouvez l'appareil que vous souhaitez réaffecter, et réactivez-le.

Le nouvel utilisateur effectuera le flux Ajouter un compte avec Okta Verify. Après la première authentification Okta FastPass réussie, l'appareil fournira une attestation de gestion pour la nouvelle inscription.