Configurer Device-Bound SSO pour macOS

Version en accès anticipé. Consultez Activer les fonctionnalités en libre-service.

Authentification unique liée à l'appareil protège les utilisateurs contre le piratage de session et offre une expérience de connexion simplifiée. Les utilisateurs peuvent accéder aux apps protégées par Okta avec moins d’invites d’authentification.

Avant de commencer

Configurez la Synchronisation de mots de passe de bureau pour votre org. Consultez SSO sur la plateforme pour macOS .
Les appareils exécutent macOS 14 Sonoma ou une version ultérieure et disposent de matériel Secure Enclave.
Okta Verify pour macOS 9.56.0 ou ultérieure est installé et en cours d’exécution sur les appareils.
À l'aide de Simple Certificate Enrollment Protocol, installez un certificat Accès à l'appareil sur l'appareil. Consultez Certificats d'accès à l'appareil.
Les utilisateurs sont enrôlés dans Okta FastPass.

Déployer Device-Bound SSO sur les appareils de l'utilisateur

Pour activer l’état Joint à Okta sur macOS, vous devez envoyer une clé de configuration spécifique vers le domaine approprié.

Identifiez les appareils à inscrire dans la Device-Bound SSO.
Ajoutez l'URL suivante à votre profil d'extension d'authentification unique, sous le paramètre URL : https://customerorg.okta.com/v1/auth/device-sign.

Ajoutez la clé OktaJoinEnabled à votre fichier de la liste des propriétés du domaine com.okta.deviceaccess.servicedaemon :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>OktaJoinEnabled</key>
    <true/>
</dict>
</plist>

Pour les appareils identifiés, utilisez votre solution de gestion des périphériques mobiles (MDM) pour mettre à jour les profils de configuration.

Configurer des règles de politique d'authentification

Vous n'avez pas à créer de politiques d'authentification pour la Device-Bound SSO. Cependant, si vous ajoutez ou modifiez vos règles existantes pour inclure la Device-Bound SSO, vous pouvez contrôler la façon dont les appareils joints à Okta interagissent avec vos apps.

Vous pouvez, par exemple, accorder une durée plus longue entre les requêtes d’authentification sur les appareils joints à Okta, car ces appareils liés à la cryptographie ont une plus grande garantie de sécurité de session.

Remarque :

La session liée au matériel est établie avec Okta lorsque l' utilisateur tente d' accès à une app avec une condition de règle dont l' état de l'appareil est défini sur Enregistré. Cette règle peut se trouver à n'importe quel niveau de priorité de la politique.

Assurez-vous d'avoir cette règle définie pour les applications auxquelles les utilisateurs accèdent généralement en premier lorsqu'ils se connectent à l'appareil. Il peut s'agir, par exemple, de Okta End-User Dashboard, d'un client VPN ou d'applications de productivité.

Pour appliquer la Device-Bound SSO dans vos politiques d’authentification aux applications, suivez cette procédure.

Dans l'Admin Console, accédez à Sécurité > Politiques d'authentification .
Ouvrez les politiques de connexion aux applications.
Si vous disposez d’une politique existante pour les apps que vous souhaitez activer avec la Device-Bound SSO, cliquez sur Modifier dans le menu Actions de cette politique. Sinon, cliquez sur Créer une politique.

ATTENTION :
Windows : n'ajoutez pas cette règle de politique pour l'application Desktop MFA .

macOS : n'ajoutez pas cette règle de politique pour les applications Desktop MFA ou les applications de la Plateforme d'authentification unique.
Créez une règle pour les appareils joints à Okta. Selon cette règle, Okta autorise l'utilisation de la session de l'appareil pour l’authentification de ressources :
1. Cliquez sur Ajouter une règle.
2. Donnez à la règle un nom approprié, par exemple, Devices that are Okta-joined.
3. Définissez l’état de l'appareil sur Enregistré.
4. Dans le champ d’expression personnalisée, saisissez l’instruction Langage d'expression Okta suivante : device.provider.deviceAccess.joined == true.
  
  Cela permet de cibler tous les appareils joints à Okta et éligibles à la Device-Bound SSO.
5. Définissez l'invite d'authentification sur l’une des options suivantes :
  - Lorsque l'utilisateur n'a pas accédé depuis un certain temps à une ressource protégée par sa session globale Okta active. Sélectionnez cette option pour permettre aux utilisateurs d'accéder aux apps en mode silencieux pendant la période spécifiée.
  - Lorsqu’aucune session globale Okta n’existe. Sélectionnez cette option pour permettre aux utilisateurs d’accéder aux apps de manière silencieuse pendant toute la session d’appareil.

Vérifier l'état de l'appareil

Lors de l’enrôlement Okta FastPass, l’appareil est enregistré en tant qu’objet unique dans Okta Universal Directory.

Dans l'Admin Console, accédez à Directory > Appareils.
Vérifiez le statut de l'appareil.
- Si vous suspendez ou désactivez un appareil, les utilisateurs ne peuvent pas s'authentifier avec la Device-Bound SSO. Cependant, après avoir réactivé l’appareil (à l’aide de Activé ou Annuler la suspension), la Device-Bound SSOpeut de nouveau être utilisé.
- Si vous supprimez un appareil désactivé, vous devez déployer à nouveau les Accès à l'appareil aux appareils. Les utilisateurs doivent s'enrôler à Okta FastPassavant de pouvoir à nouveau s'authentifier avec la Device-Bound SSO.
Vérifiez que le statut de l'appareil indique Actif.

Rubriques connexes

Résoudre les problèmes de Device-Bound SSO

Événements du System Log pour Device-Bound SSO