SCEP statique pour macOS avec Jamf Pro

La configuration d'une Autorité de certification (AC) vous permet d'émettre des certificats clients à vos appareils ciblés via votre logiciel Gestion des appareils mobiles (MDM). Ces certificats accordent l'accès à des points de terminaison d'API spécifiques qu'Okta Verify utilise pour établir l'identité de l'appareil.

Objectif	Certificat Okta Device Access
Plateforme	macOS
MDM	Jamf Pro
URL SCEP	Statique

Avant de commencer

Assurez-vous que vous avez accès aux éléments suivants :

Certificats déployés pour la signature numérique, mais pas à d'autres fins (par exemple, le chiffrement)
Okta Admin Console
Tableau de bord Jamf Pro

Commencer cette tâche

Générer une URL SCEP et une clé secrète
Créer un proﬁl SCEP statique

Générer une URL SCEP et une clé secrète

Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.
Dans l'onglet Accès à l'appareil, cliquez sur Ajouter une configuration SCEP.
Sur la page de configuration Ajouter SCEP, sélectionnez l'option suivante :

Type de challenge de stimulation de l'URL SCEP : URL SCEP statique.
Cliquez sur Générer.
Copiez et enregistrez l'URL SCEP et la clé secrète dans un endroit sûr.

C'est la seule fois que la clé secrète apparaît dans le Okta Admin Console.

Si vous devez la réinitialiser, cliquez sur Réinitialiser la clé secrète dans le menu Actions de la page Accès à l'appareil.
Cliquez sur Enregistrer.

Créer un profil SCEP statique dans Jamf Pro

Le profil spécifie les paramètres qui permettent à un appareil d'obtenir des certificats de votre AC à l'aide de SCEP.

Remarque :

En tant que CA, Okta ne prend pas en charge les requêtes de renouvellement. Au lieu de cela, redistribuez le profil avant l'expiration du certificat pour remplacer un certificat arrivant à expiration.

Configurez toutes les politiques SCEP MDM pour autoriser la redistribution des profils.

Dans Jamf Pro, accédez à Ordinateurs > Profils de configuration.
Cliquez sur Nouveau.
Sur la page Général, saisissez les informations suivantes :
- Nom : saisissez un nom pour le profil.
- Description : facultatif. Saisissez une description du profil.
- Niveau : sélectionnez le Niveau ordinateur du certificat.
  - Nom : saisissez un nom pour le profil.
  - Description : facultatif. Saisissez une description du profil.
  - Niveau : sélectionnez le Niveau de l'ordinateur.
    
    Okta Verify utilise ce certificat pour identifier les appareils gérés et les utilisateurs pourAccès à l'appareil.
    
    Les certificats au niveau de l'ordinateur garantissent que chaque utilisateur de l'appareil est considéré comme géré.
Cliquez sur SCEP, puis sur Configurer.
Pour le Profil SCEP, saisissez les informations suivantes :
- URL : collez l'URL SCEP que vous avez enregistrée à la Tâche 1.
- Nom : saisissez un nom pour le profil SCEP.
- Redistribuer le profil : choisissez une période pour redistribuer le profil lorsque son certificat émis par SCEP arrive dans le délai spécifié avant l'expiration (en nombre de jours).
  
  Okta ne prend pas en charge le renouvellement automatique des certificats. Redistribuez le profil pour remplacer un certificat qui arrive à expiration.
- Objet : saisissez un nom pour identifier le certificat.
  
  Remarque :
  Ce champ est limité à 64 caractères.
  
  Jamf Pro ajoute automatiquement un identifiant $PROFILE_IDENTIFIER lors de la redistribution des profils, qui est pris en compte dans la limite de 64 caractères. Le dépassement de cette limite entraîne l'échec de la redistribution du profil et du renouvellement du certificat.
  
  Okta n'a pas d'exigences de format spécifiques pour le champ Objet. Vous pouvez utiliser ce champ pour indiquer l'objectif du certificat en tant que signal de gestion des appareils pour Okta, en incluant éventuellement des variables Jamf Pro telles que $UDID ou $EMAIL. Par exemple :
  - Niveau Ordinateur : CN=$COMPUTERNAME ma $UDID
  - Niveau Utilisateur : CN=$EMAIL ma $UDID
  (ma représente l'attestation de gestion)
  
  Testez toujours vos configurations SCEP dans un environnement autre que celui de production pour vous assurer que les certificats sont correctement émis et renouvelés.
- Type de défi : sélectionnez Statique.
- Défi : collez la clé secrète que vous avez enregistrée à l'étape 1.
- Confirmer le défi : collez à nouveau la clé secrète.
- Taille de la clé : sélectionnez 2048.
- Utiliser comme signature numérique : sélectionnez cette option.
- Autoriser l'exportation depuis le trousseau de clés : laissez cette option vide. Une bonne pratique de sécurité consiste à marquer le certificat comme non exportable.
- Autoriser l'accès à toutes les apps : sélectionnez cette option.
Cliquez sur Enregistrer.

Étapes suivantes

Vérifier les déploiements de certificats