SCEP dynamique pour macOS avec Jamf Pro

La configuration d'une Autorité de certification (AC) vous permet d'émettre des certificats clients à vos appareils ciblés via votre logiciel Gestion des appareils mobiles (MDM). Ces certificats accordent l'accès à des points de terminaison d'API spécifiques qu'Okta Verify utilise pour établir l'identité de l'appareil.

Objectif	Certificat Okta Device Access
Plateforme	macOS
MDM	Jamf Pro
URL SCEP	Dynamique

Avant de commencer

Assurez-vous que vous avez accès aux éléments suivants :

Certificats déployés pour la signature numérique, mais pas à d'autres fins (par exemple, le chiffrement)
Okta Admin Console
Tableau de bord Jamf Pro

Remarque :

Si vous utilisez Airwatch, utilisez le SCEP statique. Airwatch a des problèmes connus avec le SCEP dynamique.

Commencer cette tâche

Générer la configuration SCEP dans Okta
Créer un profil SCEP dynamique dans Jamf Pro
Configurer les cibles de déploiement pour le profil SCEP dans Jamf Pro
Vérifier que l'AC Okta a été installée sur vos appareils

Générer la configuration SCEP dans Okta

Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.
Dans l'onglet Accès à l'appareil, cliquez sur Ajouter une configuration SCEP.
Sur la page de configuration Ajouter SCEP, sélectionnez l'option suivante :

Type de défi d'URL SCEP : URL SCEP dynamique, puis Générique.
Cliquez sur Générer.
Copiez et enregistrez les valeurs suivantes en lieu sûr :
- URL SCEP
- URL du challenge
- Nom d'utilisateur
- Mot de passe
  
  C'est la seule fois où vous pouvez récupérer le mot de passe depuis l'Admin Console. Pour afficher le mot de passe en texte brut, cliquez sur l'icône d'affichage du mot de passe .
  
  Si vous devez réinitialiser le mot de passe, cliquez sur Réinitialiser le mot de passe dans le menu Actions de la page Accès à l'appareil.
Cliquez sur Enregistrer.

Créer un proﬁl SCEP dynamique dans Jamf Pro

Le profil spécifie les paramètres qui permettent à un appareil d'obtenir des certificats de votre AC à l'aide de SCEP.

Remarque :

En tant que CA, Okta ne prend pas en charge les requêtes de renouvellement. Au lieu de cela, redistribuez le profil avant l'expiration du certificat pour remplacer un certificat arrivant à expiration.

Configurez toutes les politiques SCEP MDM pour autoriser la redistribution des profils.

Pour créer le profil SCEP dans Jamf Pro :

Dans Jamf Pro, accédez à Ordinateurs > Profils de configuration.
Cliquez sur Nouveau.
Sur la page Général, saisissez les informations suivantes :
- Nom : saisissez un nom pour le profil.
- Description : facultatif. Saisissez une description du profil.
- Niveau : sélectionnez le Niveau de l'ordinateur.
  
  Okta Verify utilise ce certificat pour identifier les appareils gérés et les utilisateurs pourAccès à l'appareil.
  
  Les certificats au niveau de l'ordinateur garantissent que chaque utilisateur de l'appareil est considéré comme géré.
Cliquez sur SCEP, puis sur Configurer.
Pour le Profil SCEP, saisissez les informations suivantes :
- URL : collez l'URL SCEP que vous avez enregistrée à la Tâche 1.
- Nom : saisissez un nom pour le profil SCEP.
- Redistribuer le profil : choisissez une période pour redistribuer le profil lorsque son certificat émis par SCEP arrive dans le délai spécifié avant l'expiration (en nombre de jours).
  
  Okta ne prend pas en charge le renouvellement automatique des certificats. Redistribuez le profil pour remplacer un certificat qui arrive à expiration.
- Objet : saisissez un nom pour identifier le certificat.
  
  Remarque :
  Ce champ est limité à 64 caractères.
  
  Jamf Pro ajoute automatiquement un identifiant $PROFILE_IDENTIFIER lors de la redistribution des profils, qui est pris en compte dans la limite de 64 caractères. Le dépassement de cette limite entraîne l'échec de la redistribution du profil et du renouvellement du certificat.
  
  Okta n'a pas d'exigences de format spécifiques pour le champ Objet. Vous pouvez utiliser ce champ pour indiquer l'objectif du certificat en tant que signal de gestion des appareils pour Okta, en incluant éventuellement des variables Jamf Pro comme $UDID ou $EMAIL. Par exemple :
  - Niveau Ordinateur : CN=$COMPUTERNAME ma $UDID
  - Niveau Utilisateur : CN=$EMAIL ma $UDID
  (ma représente l'attestation de gestion)
  
  Testez toujours vos configurations SCEP dans un environnement autre que celui de production pour vous assurer que les certificats sont correctement émis et renouvelés.
- Type de défi : sélectionnez Dynamic-Microsoft CA.
- URL vers administrateur SCEP : saisissez l'URL du défi que vous avez enregistrée à la Tâche 1.
- Nom d'utilisateur : saisissez le nom d'utilisateur que vous avez enregistré à la Tâche 1.
- Mot de passe : saisissez le mot de passe que vous avez enregistré à la Tâche 1.
- Vérifier le mot de passe :
- Taille de la clé : sélectionnez 2048.
- Utiliser comme signature numérique : sélectionnez cette option.
- Autoriser l'exportation depuis le trousseau de clés : laissez cette option vide. Une bonne pratique de sécurité consiste à marquer le certificat comme non exportable.
- Autoriser l'accès à toutes les apps : sélectionnez cette option.
Cliquez sur Enregistrer.

Configurer les cibles pour le profil SCEP dans Jamf Pro

Si vous utilisez Jamf Pro pour gérer l'appareil, l'étape suivante consiste à configurer les cibles sur lesquelles le profil SCEP sera déployé.

Dans Jamf Pro, accédez à Ordinateurs > Profils de configuration.
Sélectionnez le profil de configuration SCEP que vous avez créé à la Tâche 2.
Cliquez sur Portée.
Cliquez sur Modifier.
Cliquez sur Ajouter.
Sélectionnez une cible de déploiement, puis cliquez sur Ajouter. Répétez cette étape pour toutes les cibles requises.
Cliquez sur Enregistrer.

Vérifier que l'AC Okta a été installée sur vos appareils

Sur un appareil macOS géré par Jamf Pro, accédez à Paramètres système > Confidentialité et sécurité > Profils.
Ouvrez Trousseau > Connexion.
Confirmez que vous disposez du certificat client et de la clé privée associée.

Étapes suivantes

Vérifier les déploiements de certificats