Configurer Okta en tant que CA avec défi SCEP dynamique pour macOS à l'aide de Jamf Pro

La configuration d'une Autorité de certification (AC) vous permet d'émettre des certificats clients à vos appareils macOS ciblés.

Objectif

Certificat d'attestation de gestion

Plateforme

macOS

MDM

Jamf Pro

URL SCEP

Dynamique

Avant de commencer

Assurez-vous que vous avez accès aux éléments suivants :

  • Certificats déployés pour la signature numérique, mais pas à d'autres fins (par exemple, le chiffrement)

  • Okta Admin Console

  • Tableau de bord Jamf Pro

Procédure

  1. Générer une URL SCEP dans Okta

  2. Créer un profil SCEP dynamique dans Jamf Pro

  3. Configurer les cibles de déploiement pour le profil SCEP dans Jamf Pro

  4. Vérifier que l'AC Okta a été installée sur vos appareils

Générer une URL SCEP

  1. Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.

  2. Dans l'onglet Gestion du point de terminaison, cliquez sur Ajouter une plateforme.

  3. Sélectionnez Bureau (Windows et macOS uniquement), puis cliquez sur Suivant.

  4. Sur la page Ajouter une plateforme de gestion des appareils, sélectionnez les options suivantes :

    • Autorité de certification : Utiliser Okta en tant qu'autorité de certification

    • Type de défi d'URL SCEP : URL SCEP dynamique, puis Générique.

  5. Cliquez sur Générer.

  6. Copiez et enregistrez les valeurs suivantes en lieu sûr :

    • URL SCEP

    • URL du challenge

    • Nom d'utilisateur

    • Mot de passe

      C'est la seule fois où vous pouvez récupérer le mot de passe depuis l'Admin Console. Pour afficher le mot de passe en texte brut, cliquez sur l'icône d'affichage du mot de passe Open eye icon that reveals the saved password when clicked..

      Si vous devez réinitialiser le mot de passe, cliquez sur Réinitialiser le mot de passe dans le menu Actions de la page Accès à l'appareil.

  7. Cliquez sur Enregistrer.

Créer un profil SCEP dynamique dans Jamf Pro

Le profil SCEP spécifie les paramètres qui permettent à un appareil d'obtenir des certificats d'une AC à l'aide du Simple Certificate Enrollment Protocol.

Pour créer le profil SCEP dans Jamf Pro :

  1. Dans Jamf Pro, accédez à Ordinateurs > Profils de configuration.

  2. Cliquez sur Nouveau.

  3. Sur la page Général, saisissez les informations suivantes :

    Pour Effectuer cette action
    Nom Saisissez un nom pour le profil.
    Description (Facultatif) Saisissez une description du profil.
    Niveau

    Sélectionnez le niveau approprié pour le certificat.

    • Pour vous assurer que tous les utilisateurs de l'appareil sont gérés, sélectionnez Niveau ordinateur.

    • Si vous souhaitez que seuls des utilisateurs spécifiques d'un appareil soient identifiés comme gérés, vous devez sélectionner le Niveau utilisateur.

    Okta Verify utilise ce certificat pour identifier les appareils gérés et les utilisateurs gérés pour Accès à l'appareil.

  4. Cliquez sur SCEP, puis sur Configurer.

  5. Pour le Profil SCEP, saisissez les informations suivantes :

    URL

    Collez l'URL SCEP que vous avez enregistrée à la première tâche.

    Nom

    Saisissez un nom pour le profil SCEP.

    Redistribuer le profil

    Choisissez une période pour redistribuer le profil lorsque son certificat émis par SCEP arrive dans le délai spécifié avant l'expiration (en nombre de jours).

    Okta ne prend pas en charge le renouvellement automatique des certificats. Redistribuez le profil pour remplacer un certificat qui arrive à expiration.

    Objet

    Saisissez un nom pour identifier le certificat.

    Okta n'a pas d'exigences de format spécifiques pour ce champ. Vous pouvez utiliser ce champ pour indiquer l'objectif du certificat en tant que signal de gestion des appareils pour Okta, en incluant éventuellement des variables Jamf Pro comme $UDID ou $EMAIL. Par exemple :

    • Niveau Ordinateur : CN=$COMPUTERNAME ma $UDID

    • Niveau Utilisateur : CN=$EMAIL ma $UDID

    (ma représente l'attestation de gestion)

    Testez toujours vos configurations SCEP dans un environnement autre que celui de production pour vous assurer que les certificats sont correctement émis et renouvelés.

    Type de challenge

    Sélectionnez Dynamic-Microsoft CA.

    URL vers administrateur SCEP

    Saisissez l'URL du challenge que vous avez enregistrée à la première tâche.

    Nom d'utilisateur

    Saisissez le nom d'utilisateur que vous avez enregistré à la première tâche.

    Mot de passe

    Saisissez le mot de passe que vous avez enregistré à la première tâche.

    Vérifier le mot de passe

    Saisissez de nouveau le mot de passe que vous avez enregistré à la première tâche.

    Taille de la clé

    Sélectionnez 2048.

    Utiliser comme signature numérique

    Sélectionnez cette option.

    Autoriser l'exportation depuis le trousseau de clés

    Désactivez cette option. Une bonne pratique de sécurité consiste à marquer le certificat comme non exportable.

    Autoriser l'accès à toutes les apps

    Sélectionnez cette option.

  6. Cliquez sur Enregistrer.

Configurer les cibles pour le profil SCEP dans Jamf Pro

Si vous utilisez Jamf Pro pour gérer l'appareil, l'étape suivante consiste à configurer les cibles sur lesquelles le profil SCEP sera déployé.

  1. Dans Jamf Pro, accédez à Ordinateurs > Profils de configuration.

  2. Sélectionnez le profil de configuration SCEP que vous avez créé à la Tâche 2.

  3. Cliquez sur Portée.

  4. Cliquez sur Modifier.

  5. Cliquez sur Ajouter.

  6. Sélectionnez une cible de déploiement, puis cliquez sur Ajouter. Répétez cette étape pour toutes les cibles requises.

  7. Cliquez sur Enregistrer.

Vérifier que l'autorité de certification Okta a été installée sur vos appareils

  1. Sur un appareil macOS géré par Jamf Pro, accédez à Paramètres système > Confidentialité et sécurité > Profils.

  2. Ouvrez Trousseau > Connexion.

  3. Confirmez que vous disposez du certificat client et de la clé privée associée.

Étapes suivantes

Ajouter une règle de politique d'authentification à l'app pour bureau