Configurer Okta en tant que CA avec défi SCEP statique pour les appareils macOS avec Jamf Pro

La configuration d'une autorité de certification (CA) vous permet d'émettre des certificats clients à vos appareils macOS ciblés. Cette rubrique décrit comment créer un profil SCEP (Simple Certificate Enrollment Protocol) statique dans Jamf Pro et générer une URL SCEP dans Okta.

Vous pouvez utiliser toute solution de gestion des appareils qui prend en charge le déploiement d'une charge utile Apple SCEP MDM. Cependant, cette procédure couvre la gestion des appareils avec Jamf Pro et la configuration d'un profil SCEP statique.

Avant de commencer

Assurez-vous que vous avez accès aux éléments suivants :

  • Admin Console d'Okta

  • Toute solution de gestion des appareils qui prend en charge le déploiement d'une charge utile SCEP. Cette procédure a été testée avec Jamf Pro.

Démarrer cette procédure

  1. Générer une URL SCEP et une clé secrète

  2. Créer un profil SCEP statique

Générer une URL SCEP et une clé secrète

  1. Dans l'Admin Console, accédez à SécuritéIntégrations d'appareils.

  2. Dans l'onglet Gestion du point de terminaison, cliquez sur Ajouter une plateforme.

  3. Sélectionnez Bureau (Windows et macOS uniquement), puis cliquez sur Suivant.

  4. Sur la page Ajouter une plateforme de gestion des appareils, sélectionnez les options suivantes :

    • Autorité de certification : Utiliser Okta en tant qu'autorité de certification.

    • Type de challenge de stimulation de l'URL SCEP : URL SCEP statique.

  5. Cliquez sur Générer.

  6. Copiez et enregistrez l'URL SCEP et la clé secrète dans un endroit sûr. C'est la seule fois où elles apparaissent dans l'Admin Console d'Okta. Ces valeurs sont requises dans Jamf Pro.

  7. Cliquez sur Enregistrer.

Créer un profil SCEP statique

Le profil SCEP spécifie les paramètres qui permettent à un appareil d'obtenir des certificats d'une autorité de certification (CA) à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol). Vous pouvez utiliser n'importe quelle solution de gestion des appareils qui prend en charge SCEP pour configurer le profil. Okta ayant testé le déploiement des profils SCEP à l'aide de Jamf Pro, les étapes suivantes illustrent comment créer le profil à l'aide de Jamf Pro.

Okta en tant que CA ne prend pas en charge les requêtes de renouvellement. Avant que le certificat n'expire, vous devez redistribuer le profil pour remplacer le certificat expiré. Configurez toutes les politiques SCEP MDM pour autoriser la redistribution des profils.

Pour créer le profil SCEP dans Jamf Pro :

  1. Dans Jamf Pro, accédez à OrdinateursProfils de configuration.

  2. Cliquez sur Nouveau.

  3. Sur la page Général, saisissez les informations suivantes :

    • Nom : saisissez un nom pour le profil.

    • Description : facultatif. Saisissez une description du profil.

    • Niveau : sélectionnez le niveau approprié pour le certificat. Okta Verify utilise ce certificat pour identifier les appareils et les utilisateurs gérés. Pour vous assurer que tous les utilisateurs de l'appareil sont gérés, sélectionnez Niveau ordinateur. Si vous souhaitez que seuls des utilisateurs spécifiques d'un appareil soient identifiés comme gérés, vous devez sélectionner le Niveau utilisateur.

  4. Cliquez sur SCEP, puis sur Configurer.

  5. Pour le Profil SCEP, saisissez les informations suivantes :

    • URL : collez l'URL SCEP que vous avez enregistrée à l'étape 1.

    • Nom : saisissez un nom pour le profil SCEP.

    • Redistribuer le profil : choisissez une période pour redistribuer le profil lorsque son certificat émis par SCEP arrive dans le délai spécifié avant l'expiration (en nombre de jours). Okta ne prend pas en charge le renouvellement automatique des certificats. Redistribuez le profil pour remplacer le certificat expiré.

    • Objet : saisissez un nom pour identifier le certificat.

      Ce champ est limité à 64 caractères.

      Jamf Pro ajoute automatiquement un identifiant $PROFILE_Identifier lors de la redistribution des profils, qui est pris en compte dans la limite de 64 caractères. Le dépassement de cette limite entraîne l'échec de la redistribution du profil et du renouvellement du certificat.

      Okta n'a pas d'exigences de format spécifiques pour le champ Objet. Vous pouvez utiliser ce champ pour indiquer l'objectif du certificat en tant que signal de gestion des appareils pour Okta, en incluant éventuellement des variables Jamf Pro comme $UDID ou $EMAIL.

      Exemples (ma désigne l'attestation de gestion) :

      • Niveau Ordinateur : CN=$COMPUTERNAME ma $UDID

      • Niveau Utilisateur : CN=$EMAIL ma $UDID

      Testez toujours vos configurations SCEP dans un environnement autre que celui de production pour vous assurer que les certificats sont correctement émis et renouvelés.

    • Type de challenge : sélectionnez Statique.

    • Challenge : utilisez la clé secrète que vous avez enregistrée à l'étape 1.

    • Confirmer le challenge : collez à nouveau la clé secrète.

    • Taille de la clé : sélectionnez 2048.

    • Utiliser comme signature numérique : sélectionnez cette option.

    • Autoriser l'exportation depuis le trousseau de clés : laissez cette option vide.

    • Autoriser l'accès à toutes les apps : sélectionnez cette option.

  6. Cliquez sur Enregistrer.

Étapes suivantes

Ajouter une règle de politique d'authentification à l'app pour bureau