Configurer la SSO liée à l'appareil pour macOS

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

La fonction Authentification unique liée à l'appareil protège les utilisateurs contre le piratage de session et offre une expérience de connexion simplifiée. Les utilisateurs peuvent accéder aux apps protégées par Okta avec moins d’invites d’authentification.

Avant de commencer

  • Configurez la synchronisation du mot de passe de bureau pour votre org. Voir Synchronisation du mot de passe de bureau pour macOS.
  • Les appareils exécutent macOS 14 Sonoma ou une version ultérieure et disposent de matériel Secure Enclave.
  • Les appareils disposent d’Okta Verify pour macOS version 9.56.0 ou ultérieure, installé et en cours d’exécution.
  • À l'aide du protocole d'enrôlement par simple certificat, installez un certificat d'accès à l'appareil sur l'appareil. Consultez Certificats d'accès à l'appareil.
  • Les utilisateurs sont enrôlés à Okta FastPass.

Déployer la SSO liée à l'appareil sur les appareils des utilisateurs

Pour activer l’état Joint à Okta sur macOS, vous devez envoyer une clé de configuration spécifique vers le domaine approprié.

  1. Identifiez les appareils à inscrire dans la SSO liée à l'appareil.

  2. Ajoutez l'URL suivante à votre profil d'extension d'authentification unique, sous le paramètre URL : https://customerorg.okta.com/v1/auth/device-sign.

    Voir Créer un profil d'extension SSO.

  3. Ajoutez la clé OktaJoinEnabled à votre fichier plist de configuration pour le domaine com.okta.deviceaccess.servicedaemon :

    Copier 
    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
        <key>OktaJoinEnabled</key>
        <true/>
    </dict>
    </plist>

  4. Pour les appareils identifiés, utilisez votre solution de gestion des périphériques mobiles (MDM) pour mettre à jour les profils de configuration.

Configurer des règles de politique d'authentification

Vous n'avez pas à créer de politiques d’authentification pour la SSO liée à l'appareil. Cependant, si vous ajoutez ou modifiez vos règles existantes pour inclure la SSO liée à l'appareil, vous pouvez contrôler la façon dont les appareils joints à Okta interagissent avec vos apps.

Vous pouvez, par exemple, accorder une durée plus longue entre les requêtes d’authentification sur les appareils joints à Okta, car ces appareils liés à la cryptographie ont une plus grande garantie de sécurité de session.

Pour appliquer la SSO liée à l'appareil dans vos politiques d’authentification aux applications, suivez cette procédure.

  1. Dans Admin Console, allez à SécuritéPolitiques d'authentification.

  2. Ouvrez les politiques de connexion aux applications.

  3. Si vous disposez d’une politique existante pour les apps que vous souhaitez activer avec la SSO liée à l'appareil, cliquez sur Modifier dans le menu Actions de cette politique. Sinon, cliquez sur Créer une politique.

  4. Créez une règle pour les appareils joints à Okta. Selon cette règle, Okta autorise l'utilisation de la session de l'appareil pour l’authentification de ressources :

    1. Cliquez sur Ajouter une règle.

    2. Donnez à la règle un nom approprié, par exemple, par exemple, Appareils joints à Okta.

    3. Définissez l’état de l'appareil sur Enregistré.

    4. Dans le champ d’expression personnalisée, saisissez l’instruction Okta Expression Language suivante : device.provider.deviceAccess.joined == true.

      Cela permet de cibler tous les appareils joints à Okta et éligibles à la SSO liée à l'appareil.

    5. Définissez l'invite d'authentification sur l’une des options suivantes :

      • Lorsque l'utilisateur n'a pas accédé depuis un certain temps à une ressource protégée par sa session globale Okta active. Sélectionnez cette option pour permettre aux utilisateurs d'accéder aux apps en mode silencieux pendant la période spécifiée.

      • Lorsqu’aucune session globale Okta n’existe. Sélectionnez cette option pour permettre aux utilisateurs d’accéder aux apps de manière silencieuse pendant toute la session d’appareil.

Vérifier l'état de l'appareil

Lors de l’enrôlement Okta FastPass, l’appareil est enregistré en tant qu’objet unique dans Okta Universal Directory.

  1. Dans l'Admin Console, accédez à Répertoire Appareils.

  2. Vérifiez le statut de l'appareil.

    • Si vous suspendez ou désactivez un appareil, les utilisateurs ne peuvent pas s'authentifier avec la SSO liée à l'appareil. Cependant, après avoir réactivé l’appareil (à l’aide de Activé ou Annuler la suspension), la SSO liée à l'appareil peut de nouveau être utilisé.

    • Si vous supprimez un appareil désactivé, vous devez déployer à nouveau les certificats d’accès aux appareils. Les utilisateurs doivent s'enrôler à Okta FastPass avant de pouvoir à nouveau s'authentifier avec la SSO liée à l'appareil.

  3. Vérifiez que le statut de l'appareil indique Actif.