SCEP statique pour Windows avec Workspace ONE

Avant de commencer

Assurez-vous que vous avez accès aux éléments suivants :

• Okta Admin Console

• admin console de Workspace ONE UEM

Générer une URL SCEP et une clé secrète

1. Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.

2. Dans l'onglet Accès à l'appareil, cliquez sur Ajouter une configuration SCEP.

3. Sur la page de configuration Ajouter SCEP, sélectionnez l'option suivante :

   Type de défi d''URL SCEP : URL SCEP statique.

4. Cliquez sur Générer.

5. Copiez et enregistrez l'URL SCEP et la clé secrète dans un endroit sûr.

   Remarque :

   C'est la seule fois que la clé secrète apparaît dans le Okta Admin Console. Si vous devez générer une nouvelle clé secrète, ouvrez le menu Actions de la page Accès à l'appareil et sélectionnez Réinitialiser la clé secrète.

6. Cliquez sur Enregistrer.

Créer un Autorité de certification SCEP statique dans Workspace ONE

1. Connectez-vous à l'Admin Console de Workspace ONE UEM.

2. Accédez à APPAREILS > Certificats > Autorités de certification.

3. Cliquez sur + AJOUTER.

4. Sur la page Autorité de certification – Ajouter/Modifier, saisissez les valeurs suivantes :

   • Nom : saisissez un nom pour l'autorité de certification.

   • Description : facultatif. Saisissez une description pour l'autorité de certification.

   • Type d'autorité : sélectionnez SCEP générique.

   • Fournisseur SCEP : la valeur De base est saisie automatiquement et ne peut pas être modifiée.

   • URL SCEP : saisissez l'URL SCEP que vous avez générée précédemment.

   • Type de challenge : cliquez sur STATIQUE.

   • Challenge statique : saisissez la Clé secrète que vous avez générée précédemment.

   • Confirmer la phrase de challenge : saisissez à nouveau la Clé secrète.

   • Délai d'expiration des nouvelles tentatives : acceptez la valeur par défaut de 30.

   • Nombre maximal de tentatives pendant l'attente : cette valeur indique le nombre de tentatives que le système autorise lorsque l'autorité est en attente. Acceptez la valeur par défaut de  5ou fournissez un nombre personnalisé.

   • Activer le proxy : acceptez la valeur par défaut DÉSACTIVÉ ou sélectionnez ACTIVÉ si votre environnement nécessite un proxy.

5. Cliquez sur CONNEXION TEST pour tester la connexion avant d'enregistrer.

   Si vous sélectionnez ENREGISTRER avant de cliquer sur TESTER LA CONNEXION, l'erreur Échec du test apparaît.

6. Lors de l'affichage du message Le test a réussi, cliquez sur ENREGISTRER ET AJOUTER UN MODÈLE.

   Si le test échoue, assurez-vous que vous pouvez accéder à l'URL SCEP que vous avez générée précédemment.

Ajouter un modèle de certificat

1. Dans Workspace ONE, sélectionnez l'onglet Modèles de requêtes.

2. Cliquez sur + AJOUTER.

3. Sur la page Modèle de certification – Ajouter/Modifier, saisissez ce qui suit :

   • Nom : saisissez un nom pour le modèle.

   • Description : facultatif. Saisissez une description pour le modèle.

   • Autorité de certification  : sélectionnez l'AC que vous avez créée à l'étape précédente.

   • Modèle d'émission : laissez vide ou configurez la valeur adaptée pour votre implémentation.

   • Nom d'objet : saisissez un nom d'objet. Par exemple, CN = ODA-{DeviceSerialNumber} {DeviceUid}.

     Remarque :

     Okta n'a pas d'exigences de format spécifiques pour ce champ. Choisissez un format descriptif qui vous aide à identifier l'objectif du certificat et l'appareil associé.

     Pour obtenir une liste des variables prises en charge, consultez le document Valeurs de recherche Workspace ONE.

   • Longueur de la clé privée : sélectionnez 2048.

   • Type de clé privée : sélectionnez Signature.

   • Type SAN : facultatif. Configurer si votre environnement l'exige.

   • Renouvellement automatique du certificat : cliquez sur ACTIVÉ.

   • Publier la clé privée : cliquez sur DÉSACTIVÉ.

4. Cliquez sur ENREGISTRER.

Définir un profil d'appareil pour déployer le certificat AC intermédiaire

Ce profil déploie le certificat AC intermédiaire Okta sur vos appareils afin que les certificats client émis par Okta Autorité de certification soient fiables.

1. Dans Workspace ONE, accédez à RESSOURCES > Profils et références > Profils.

2. Cliquez sur AJOUTER, puis sélectionnez Ajouter un profil.

3. Sélectionnez Windows > Bureau Windows > Profil d'appareil.

4. Sur la page Général, saisissez les éléments suivants :

   • Nom : saisissez un nom pour le profil d'appareil.

   • Description : facultatif. Saisissez une description pour le profil d'appareil.

   • Déploiement : sélectionnez Géré.

   • Type d'affectation : acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.

   • Autoriser la suppression : acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.

   • Géré par : saisissez la personne ou le groupe ayant un accès administratif au profil.

   • Smart Groups (Groupes intelligents) : sélectionnez les groupes qui contiennent les appareils que vous souhaitez cibler. Commencez à taper le nom du groupe, puis sélectionnez-le dans la liste.

   • Exclusions : excluez des groupes du profil. Acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.

   • Critères d'affectation supplémentaires : vous permet de planifier un calendrier de déploiement.

   • Date de suppression : vous pouvez spécifier la date à laquelle le profil est supprimé de l'appareil.

5. Cliquez sur Identifiants dans le volet de gauche.

6. Cliquez sur CONFIGURER.

7. Sur la page Identifiants, saisissez les valeurs suivantes :

   • Source des identifiants : sélectionnez Charger.

   • Certificat : cliquez sur Charger et naviguez jusqu'au certificat x509 que vous avez téléchargé auparavant.

   • Emplacement de la clé : acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.

   • Magasin de certificat : sélectionnez Intermédiaire.

8. Cliquez sur ENREGISTRER ET PUBLIER.

Définir un profil d'appareil pour déployer le certificat client

Ce profil déploie le certificat client émis par l'AC Okta. L'app Okta Verify sur Windows utilise ce certificat pour établir l'identité de appareil .

1. Dans Workspace ONE, accédez à RESSOURCES > Profils et références > Profils.

2. Cliquez sur AJOUTER, puis sélectionnez Ajouter un profil.

3. Sélectionnez Windows > Bureau Windows > Profil d'appareil.

4. Sur la page Général, saisissez les éléments suivants :

   • Nom : saisissez un nom pour le profil, par exemple, Okta Device Access Client Certificate.

   • Description : facultatif. Saisissez une description pour le profil.

   • Déploiement : sélectionnez Géré.

   • Type d'affectation : sélectionnez Auto.

   • Autoriser la suppression : sélectionnez Toujours.

   • Géré par : facultatif. Saisissez les noms des autres administrateurs.

   • Groupes intelligents : saisissez les mêmes groupes que ceux qui ont été spécifiés dans la tâche précédente.

   • Exclusions : excluez des groupes du profil. Acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.

   • Critères d'affectation supplémentaires : vous permet de planifier un calendrier de déploiement.

   • Date de suppression : vous pouvez spécifier la date à laquelle le profil est supprimé de l'appareil.

5. Cliquez sur Identifiants dans le volet de gauche.

6. Cliquez sur CONFIGURER.

7. Sur la page Identifiants, saisissez les valeurs suivantes :

   • Source des identifiants : sélectionnez Autorité de certification définie.

   • Autorité de certification  : sélectionnez l' AC que vous avez configurée dans Créer un SCEP statique Autorité de certification dans Workspace ONE .

   • Emplacement de la clé : sélectionnez TPM si présent pour prendre en charge les appareils avec ou sans TPM.

   • Magasin du certificat : sélectionnez Personnel.

8. Cliquez sur ENREGISTRER ET PUBLIER.

Vérifiez l'installation du certificat