Configurer Okta en tant qu'AC avec un challenge SCEP statique pour Windows à l'aide de Workspace ONE
La configuration d'une autorité de certification (CA) vous permet d'émettre des certificats clients à vos appareils Windows ciblés.
Pour configurer un type de challenge SCEP délégué (dynamique) pour Windows à l'aide de Microsoft Intune, consultez Configurer Okta en tant qu'AC avec le challenge SCEP délégué pour Windows à l'aide de Microsoft Intune .
|
Objectif |
Certificat d'attestation de gestion |
|
Plateforme |
Windows |
|
MDM |
Omnissa Workspace ONE |
|
URL SCEP |
Statique |
Avant de commencer
Assurez-vous que vous avez accès aux éléments suivants :
-
Okta Admin Console
-
admin console de Workspace ONE
En tant que CA, Okta ne prend pas en charge les requêtes de renouvellement. Au lieu de cela, redistribuez le profil avant l'expiration du certificat pour remplacer le certificat expiré. Configurez toutes les politiques SCEP MDM pour autoriser la redistribution des profils.
Procédure
Configurer une AC et générer une URL SCEP et une clé secrète
-
Dans l'Admin Console, accédez à .
-
Dans l'onglet Gestion du point de terminaison, cliquez sur Ajouter une plateforme.
-
Sélectionnez Bureau (Windows et macOS uniquement), puis cliquez sur Suivant.
-
Sur la page Ajouter une plateforme de gestion des appareils, sélectionnez les options suivantes :
-
Autorité de certification : Utiliser Okta en tant qu'autorité de certification
-
Type de challenge de stimulation de l'URL SCEP : URL SCEP statique.
-
-
Cliquez sur Générer.
-
Copiez et enregistrez les valeurs suivantes en lieu sûr :
-
URL SCEP
-
Clé secrète
-
C'est la seule fois où vous pouvez récupérer la clé secrète dans l'Admin Console. Pour voir la clé secrète en texte brut, cliquez sur l'icône d'affichage du mot de passe
.Si vous devez réinitialiser la clé secrète, cliquez sur Réinitialiser la clé secrète dans le menu Actions de la page Accès aux appareils.
-
-
Cliquez sur Enregistrer.
Télécharger le certificat x509
-
Dans l'Admin Console, accédez à .
-
Sélectionnez l'onglet Autorité de certification.
-
Pour l'AC Okta Autorité de certification, cliquez sur l'icône Télécharger le certificat x509 de la colonne Actions.
-
Enregistrez le fichier de certificat téléchargé. Si nécessaire, renommez le fichier avec une extension
.cer.
Ce certificat téléchargé depuis Okta est le certificat intermédiaire de l'Organization. Vous aurez besoin de ce certificat lorsque vous définirez un profil d'appareil dans Workspace ONE.
Créer un profil SCEP statique dans Workspace ONE
Configurez Okta en tant qu'AC dans Workspace ONE afin de pouvoir déployer des profils de certificat via le canal de gestion.
-
Connectez-vous à l'Admin Console de Workspace ONE UEM.
-
Accédez à .
-
Cliquez sur + AJOUTER.
-
Sur la page Autorité de certification – Ajouter/Modifier, saisissez les valeurs suivantes :
-
Nom : saisissez un nom pour l'autorité de certification.
-
Description : facultatif. Saisissez une description pour l'autorité de certification.
-
Type d'autorité : sélectionnez SCEP générique.
-
Fournisseur SCEP : la valeur De base est saisie automatiquement et ne peut pas être modifiée.
-
URL SCEP : saisissez l'URL SCEP que vous avez générée précédemment.
-
Type de challenge : cliquez sur STATIQUE.
-
Challenge statique : saisissez la Clé secrète que vous avez générée précédemment.
-
Confirmer la phrase de challenge : saisissez à nouveau la Clé secrète.
-
Délai d'expiration des nouvelles tentatives : acceptez la valeur par défaut de 30.
-
Nombre maximal de tentatives pendant l'attente : cette valeur indique le nombre de tentatives que le système autorise lorsque l'autorité est en attente. Acceptez la valeur par défaut de 5ou fournissez un nombre personnalisé.
-
Activer le proxy : acceptez la valeur par défaut DÉSACTIVÉ ou sélectionnez ACTIVÉ si votre environnement nécessite un proxy.
-
-
Cliquez sur CONNEXION TEST pour tester la connexion avant d'enregistrer.
Si vous sélectionnez ENREGISTRER avant de cliquer sur TESTER LA CONNEXION, l'erreur Échec du test apparaît.
-
Lors de l'affichage du message Le test a réussi, cliquez sur ENREGISTRER ET AJOUTER UN MODÈLE.
Si le test échoue, assurez-vous que vous pouvez accéder à l'URL SCEP que vous avez générée précédemment.
Ajouter un modèle de certificat
Cette tâche ajoute un modèle de requête d'AC après avoir créé un Profil SCEP statique.
-
Dans Workspace ONE, sélectionnez l'onglet Modèles de requêtes.
-
Cliquez sur + AJOUTER.
-
Sur la page Modèle de certification – Ajouter/Modifier, saisissez ce qui suit :
-
Nom : saisissez un nom pour le modèle.
-
Description : facultatif. Saisissez une description pour le modèle.
-
Autorité de certification : sélectionnez l'AC que vous avez créée à l'étape précédente.
-
Modèle d'émission : laissez vide ou configurez la valeur adaptée pour votre implémentation.
-
Nom d'objet : saisissez un nom d'objet. Par exemple,
CN = {EmailAddress} managementAttestation {DeviceUid}.Remarque :Okta n'exige pas que le nom de l'objet ait un format particulier. Choisissez un nom qui indique que le certificat est utilisé comme signal de gestion des appareils dans Okta.
En tant que meilleure pratique, vous pouvez également inclure des variables de profil fournies par Workspace ONE pour inclure l'identifiant du dispositif (UDID) et l'identifiant de l'utilisateur.
Pour obtenir une liste des variables prises en charge, consultez le document Workspace ONE Valeurs de recherche Workspace ONE Workspace ONE.
-
Longueur de la clé privée : sélectionnez 2048.
-
Type de clé privée : sélectionnez Signature.
-
Type SAN : sans objet.
-
Renouvellement automatique du certificat : cliquez sur DÉSACTIVÉ.
-
Publier la clé privée : cliquez sur DÉSACTIVÉ.
-
-
Cliquez sur ENREGISTRER.
Définir un profil appareil
Ce profil d'appareil est utilisé pour déployer l'AC intermédiaire Okta vers le magasin intermédiaire sur vos appareils
-
Dans Workspace ONE, accédez à .
-
Cliquez sur AJOUTER, puis sélectionnez Ajouter un profil.
-
Sélectionnez .
-
Sur la page Général, saisissez les éléments suivants :
-
Nom : saisissez un nom pour le profil d'appareil.
-
Description : facultatif. Saisissez une description pour le profil d'appareil.
-
Déploiement : sélectionnez Géré.
-
Type d'affectation : acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.
-
Autoriser la suppression : acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.
-
Géré par : saisissez la personne ou le groupe ayant un accès administratif au profil.
-
Smart Groups (Groupes intelligents) : sélectionnez les groupes qui contiennent les appareils que vous souhaitez cibler. Commencez à taper le nom du groupe, puis sélectionnez-le dans la liste.
-
Exclusions : excluez des groupes du profil. Acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.
-
Critères d'affectation supplémentaires : vous permet de planifier un calendrier de déploiement.
-
Date de suppression : vous pouvez spécifier la date à laquelle le profil est supprimé de l'appareil.
-
-
Cliquez sur Identifiants dans le volet de gauche.
-
Cliquez sur CONFIGURER.
-
Sur la page Identifiants, saisissez les valeurs suivantes :
-
Source des identifiants : sélectionnez Charger.
-
Certificat : cliquez sur Charger et naviguez jusqu'au certificat x509 que vous avez téléchargé auparavant.
-
Emplacement de la clé : acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.
-
Magasin de certificat : sélectionnez Intermédiaire.
-
-
Cliquez sur ENREGISTRER ET PUBLIER.
Définir un profil utilisateur pour l'attestation de gestion
Cette tâche crée une charge utile de gestion qui pousse les informations et les informations d'identification du certificat client vers le client. Ceci permet au client de se connecter à Okta et de demander un nouveau certificat client.
Le certificat client est utilisé pour l'attestation de gestion dans le cadre des flux activés par Okta Verify.
-
Dans Workspace ONE, accédez à .
-
Cliquez sur AJOUTER, puis sélectionnez Ajouter un profil.
-
Sélectionnez .
-
Sur la page Général, saisissez les éléments suivants :
-
Nom : saisissez un nom pour le profil utilisateur.
-
Description : facultatif. Saisissez une description pour le profil utilisateur.
-
Déploiement : sélectionnez Géré.
-
Type d'affectation : sélectionnez Auto.
-
Autoriser la suppression : sélectionnez Toujours.
-
Géré par : facultatif. Saisissez les noms des autres administrateurs.
-
Groupes intelligents : saisissez les mêmes groupes que ceux qui ont été spécifiés dans la tâche précédente.
-
Exclusions : excluez des groupes du profil. Acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.
-
Critères d'affectation supplémentaires : ceci vous permet de planifier un calendrier de déploiement.
-
Date de suppression : vous pouvez spécifier la date à laquelle le profil est supprimé de l'appareil.
-
-
Cliquez sur Identifiants dans le volet de gauche.
-
Cliquez sur CONFIGURER.
-
Sur la page Identifiants, saisissez les valeurs suivantes :
-
Source des identifiants : sélectionnez Autorité de certification définie.
-
Autorité de certification : sélectionnez la même autorité de certification que vous avez configurée à l'étape 3.
-
Emplacement de la clé : sélectionnez TPM si présent pour prendre en charge les appareils avec ou sans TPM.
-
Magasin du certificat : sélectionnez Personnel.
-
-
Cliquez sur ENREGISTRER ET PUBLIER.
Vérifiez l'installation du certificat
Sur un ordinateur Windows, vérifiez que le certificat du client a été installé :
-
Cliquez sur Démarrer, puis saisissez
cert. -
Cliquez sur Gérer les certificats de l'utilisateur.
-
Dans Certificats – Utilisateur actuel, cliquez sur .
-
Vérifiez que le certificat du client existe.
Vérifiez l'autorité de certification (CA) :
-
Dans Certificats – Ordinateur local, sélectionnez .
-
Dans la colonne Délivré à, trouvez Autorité intermédiaire de l'organisation.
-
Assurez-vous que la colonne Délivré par spécifie Autorité racine de l'organisation pour Autorité intermédiaire de l'organisation.
Étapes suivantes