Configurer Okta en tant que CA avec défi SCEP dynamique pour les appareils macOS avec Jamf Pro

La configuration d'une autorité de certification (CA) vous permet d'émettre des certificats clients à vos appareils macOS ciblés. Cette rubrique décrit comment créer un profil SCEP (Simple Certificate Enrollment Protocol) dynamique dans Jamf Pro et générer une URL SCEP dans Okta.

Si vous configurez SCEP pour Okta Device Access ou Desktop Password Sync, consultez Certificats d'accès à l'appareil.

Avant de commencer

Assurez-vous que vous avez accès aux éléments suivants :

  • Certificats déployés pour la signature numérique, mais pas à d'autres fins (par exemple, le chiffrement)

  • Admin Console d'Okta

  • Tableau de bord Jamf Pro

Si vous utilisez Airwatch, utilisez le SCEP statique. Airwatch a des problèmes connus avec le SCEP dynamique.

Démarrer cette procédure

Tâche 1 : générer une URL SCEP

  1. Dans l'Admin Console, accédez à SécuritéIntégrations d'appareils.

  2. Dans l'onglet Gestion du point de terminaison, cliquez sur Ajouter une plateforme.

  3. Sélectionnez Bureau (Windows et macOS uniquement), puis cliquez sur Suivant.

  4. Sur la page Ajouter une plateforme de gestion des appareils, sélectionnez les options suivantes :

    Pour Sélectionner
    Autorité de certification Utiliser Okta en tant qu'autorité de certification.
    Type de challenge de stimulation de l'URL SCEP URL SCEP dynamique en vérifiant que Générique est bien sélectionné

  5. Cliquez sur Générer.

  6. Copiez et enregistrez les valeurs suivantes :

    • URL SCEP

    • URL du challenge

    • Nom d'utilisateur

    • Mot de passe

    Pour afficher le mot de passe, cliquez sur l'icône Voir le mot de passe Icône en forme d'œil ouvert qui révèle le mot de passe enregistré lorsqu'on clique dessus. et enregistrez le mot de passe dans un endroit sûr. C'est la seule fois où le mot de passe apparaît dans l'Admin Console.

    Jamf Pro requiert toutes ces valeurs.

  7. Cliquez sur Enregistrer.

Tâche 2 : créer un profil SCEP dynamique dans Jamf Pro

Le profil SCEP spécifie les paramètres qui permettent à un appareil d'obtenir des certificats d'une autorité de certification (CA) à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol). Vous pouvez utiliser n'importe quelle solution de gestion des appareils qui prend en charge SCEP pour configurer le profil. Okta ayant testé le déploiement des profils SCEP à l'aide de Jamf Pro, les étapes suivantes illustrent comment créer le profil à l'aide de Jamf Pro.

En tant que CA, Okta ne prend pas en charge les requêtes de renouvellement. Au lieu de cela, redistribuez le profil avant l'expiration du certificat pour remplacer le certificat expiré. Configurez toutes les politiques SCEP MDM pour autoriser la redistribution des profils.

Pour créer le profil SCEP dans Jamf Pro :

  1. Dans Jamf Pro, accédez à OrdinateursProfils de configuration.

  2. Cliquez sur Nouveau.

  3. Sur la page Général, saisissez les informations suivantes :

    Pour Effectuer cette action
    Nom Saisissez un nom pour le profil.
    Description (Facultatif) Saisissez une description du profil.
    Niveau Sélectionnez le niveau approprié pour le certificat. Okta Verify utilise ce certificat pour identifier les appareils et les utilisateurs gérés. Pour vous assurer que tous les utilisateurs de l'appareil sont gérés, vous devez sélectionner le Niveau ordinateur.

    Si vous souhaitez que seuls des utilisateurs spécifiques d'un appareil soient identifiés comme gérés, vous devez sélectionner le Niveau utilisateur.

  4. Cliquez sur SCEP, puis sur Configurer.

  5. Pour le Profil SCEP, saisissez les informations suivantes :

    Pour Effectuer cette action
    URL Collez l'URL SCEP que vous avez enregistrée à la Tâche 1.
    Nom Saisissez un nom pour le profil SCEP.
    Redistribuer le profil Choisissez une période pour redistribuer le profil lorsque son certificat émis par SCEP arrive dans le délai spécifié avant l'expiration (en nombre de jours).

    Okta ne prend pas en charge le renouvellement automatique des certificats. Redistribuez le profil pour remplacer le certificat expiré.
    Objet

    Saisissez un nom pour identifier le certificat.

    Ce champ est limité à 64 caractères.

    Jamf Pro ajoute automatiquement un identifiant $PROFILE_Identifier lors de la redistribution des profils, qui est pris en compte dans la limite de 64 caractères. Le dépassement de cette limite entraîne l'échec de la redistribution du profil et du renouvellement du certificat.

    Okta n'a pas d'exigences de format spécifiques pour ce champ. Vous pouvez utiliser ce champ pour indiquer l'objectif du certificat en tant que signal de gestion des appareils pour Okta, en incluant éventuellement des variables Jamf Pro comme $UDID ou $EMAIL.

    Exemples (ma désigne l'attestation de gestion) :

    • Niveau Ordinateur : CN=$COMPUTERNAME ma $UDID

    • Niveau Utilisateur : CN=$EMAIL ma $UDID

    Testez toujours vos configurations SCEP dans un environnement hors production pour vous assurer que les certificats sont émis et renouvelés avec succès.
    Type de challenge Sélectionnez Dynamic-Microsoft CA.
    URL vers administrateur SCEP Saisissez l'URL du challenge que vous avez enregistré à la Tâche 1.
    Nom d'utilisateur Saisissez le nom d'utilisateur que vous avez enregistré à la Tâche 1.
    Mot de passe Saisissez le mot de passe que vous avez enregistré à la Tâche 1.
    Vérifier le mot de passe Saisissez à nouveau le mot de passe que vous avez enregistré à la Tâche 1.
    Taille de la clé Sélectionnez 2048.
    Utiliser comme signature numérique Sélectionnez cette option.
    Autoriser l'exportation depuis le trousseau de clés Désactivez cette option. Une bonne pratique de sécurité consiste à marquer le certificat comme non exportable.
    Autoriser l'accès à toutes les apps Sélectionnez cette option.

  6. Cliquez sur Enregistrer.

Tâche 3 : configurer les cibles pour le profil SCEP dans Jamf Pro

Si vous utilisez Jamf Pro pour gérer l'appareil, l'étape suivante consiste à configurer les cibles sur lesquelles le profil sera déployé.

Pour configurer les cibles dans Jamf Pro :

  1. Dans Jamf Pro, accédez à Ordinateurs Profils de configuration.

  2. Sélectionnez le nom du profil de configuration SCEP que vous avez créé à la Tâche 2 : créer un profil SCEP dynamique dans Jamf Pro.

  3. Cliquez sur Portée.

  4. Cliquez sur Modifier.

  5. Cliquez sur Ajouter.

  6. Sélectionnez une cible de déploiement, puis cliquez sur Ajouter. Répétez cette étape pour toutes les cibles requises.

  7. Cliquez sur Enregistrer.

Tâche 4 : vérifiez que l'autorité de certification Okta a été installée sur vos appareils

  1. Sur un appareil macOS géré par Jamf Pro, accédez à Préférences systèmeProfils.

  2. Ouvrez TrousseauConnexion.

  3. Confirmez que vous disposez du certificat client et de la clé privée associée.

Étapes suivantes

Ajouter une règle de politique d'authentification à l'app pour bureau