Configurer les profils de gestion des appareils
Configurez la synchronisation du mot de passe de bureau pour macOS et créez des profils gérés pour activer le flux de synchronisation de mot de passe sur vos appareils. Vous pouvez utiliser n'importe quelle solution de gestion des appareils qui prend en charge le déploiement de charge utile de l'authentification unique (SSO) extensible avec le protocole SSO de plateforme activé. Dans ces instructions, nous partons du principe que vous utilisez Jamf Pro pour la gestion des appareils.
La synchronisation de mot de passe de bureau pour macOS nécessite trois types de charges utiles pour parfaitement fonctionner :
-
Un profil d'authentification unique extensible déployé au niveau de l'ordinateur.
-
Une charge utile de domaine associé. Elle peut être dans le même profil que l'extension d'authentification unique extensible.
-
Une configuration d'app gérée qui contient l'URL de l’org, le nom d'utilisateur, l'ID client et la version de protocole Platform SSO. Le nom d'utilisateur et l'ID client sont propres à la synchronisation de mot de passe de bureau. Appliquez le nom d'utilisateur et l'ID client au domaine de l'extension SSO uniquement. Ajoutez une entrée distincte pour chaque domaine de préférences Okta.
Au cours du processus de configuration, Okta vous demande de fournir une URL d'org. Par exemple, https://customerorg.okta.com. Utilisez à chaque fois la même URL d'org. Si vous avez configuré un domaine personnalisé, utilisez l'URL de domaine personnalisé.
Tâches
-
Facultatif : Exemples de configuration MDM
Créer un profil d'extension SSO.
L'extension SSO s'étend à la fenêtre de connexion macOS. Cela permet aux utilisateurs d'utiliser leurs identifiants Okta pour déverrouiller leur ordinateur et s'y connecter. Le mot de passe du compte local est automatiquement synchronisé, de sorte que le mot de passe local et le mot de passe Okta correspondent.
Créez des profils dans votre logiciel de gestion des appareils avec les paramètres suivants :
|
Paramètre |
Valeur d'entrée |
|---|---|
|
Type de charge utile |
SSO |
|
Identificateur d'extension |
com.okta.mobile.auth-service-extension |
|
Identificateur d'équipe |
B7F62B65BN |
|
Type d'authentification |
Redirection |
|
URL |
Ajoutez les URL de votre org Okta,y compris les chemins :/device-access/api/v1/nonce, /oauth2/v1/token, /v1/auth/device-sign. Par exemple :
|
|
Utiliser SSO de plateforme |
Activé |
|
Méthode d'authentification |
Mot de passe |
|
Identificateurs d'application |
B7F62B65BN.com.okta.mobile.auth-service-extension Pour macOS 15 Sequioa ou version ultérieure, vous avez besoin de deux entrées. Ajoutez une entrée de domaine associé pour l'identificateur d'application suivant : B7F62B65BN.com.okta.mobile |
|
Domaine associé |
Saisissez l'URL de votre org précédée de authsrv:. Par exemple, authsrv:customerorg.okta.com. |
|
Nom d'affichage du compte |
Le nom d’affichage utilisé dans les notifications et les requêtes d’authentification pour le compte. Il est défini au niveau du système, et non à un niveau spécifique à l'utilisateur. Cette valeur est visible par tous les utilisateurs. |
|
Utiliser des clés d'appareil partagées |
Définissez cette option sur Activé. |
|
Activer l'enregistrement lors de l'installation |
Pour les organisations sur macOS 26 Tahoe utilisant Platform SSO 2.0, définissez ce paramètre sur Activé. |
Créer un profil de gestion des appareils
Une configuration d'application gérée vous permet d'activer la fonctionnalité intégrée dans Okta Verify pour macOS et la synchronisation de mot de passe de bureau.
Créez une configuration d'application gérée pour les appareils macOS. Dans le nouveau profil, créez une entrée de charge utile distincte pour chaque domaine de préférences Okta. Vous pouvez utiliser la même liste de propriétés dans les deux entrées :
| Domaine de préférences | Exemple | Commentaire |
|---|---|---|
|
com.okta.mobile |
Copier
|
Si l'entrée a déjà été configurée pour Okta Verify ou Okta FastPass, vous n'avez pas besoin de la recréer. Vous pouvez utiliser la même configuration pour la synchronisation de mot de passe de bureau. |
|
com.okta.mobile.auth-service-extension |
Copier
|
Remplacez les chaînes pour l'URL de votre org et votre ID client. Utilisez la même URL d'org (https://customerorg.okta.com) tout au long du processus de configuration de synchronisation de mot de passe de bureau. Voir synchronisation du mot de passe de bureau pour macOS pour votre ID client. Définissez PlatformSSO.ProtocolVersion sur la version appropriée pour votre org. Pour macOS 14 Sonoma ou version ultérieure, cette valeur est 2.0. $USERNAME est une valeur facultative pour OktaVerify.UserPrincipalName, qui remplit automatiquement le nom d'utilisateur dans le Sign-In Widget. Si aucune valeur n'est spécifiée, les utilisateurs doivent saisir leur nom d'utilisateur au moment de leur connexion. |
|
com.apple.preference.security |
Copier
|
Ce profil désactive la possibilité de modifier le mot de passe du compte local. Comme le mot de passe est synchronisé avec Okta, l'utilisateur ne doit pas modifier le mot de passe localement. Pour modifier un mot de passe, les utilisateurs doivent modifier leur mot de passe Okta, puis le synchroniser sur l'écran de verrouillage de l'ordinateur. Consultez la documentation sur les préférences de sécurité d'Apple. |
Distribuez le profil à tous les ordinateurs dans la permission, ou distribuez-le uniquement aux appareils nouvellement affectés.
Après avoir créé et distribué le profil de gestion des appareils, vos utilisateurs gérés peuvent synchroniser leur mot de passe macOS local avec leur mot de passe Okta. Une notification système affiche un message indiquant aux utilisateurs que l'enregistrement est nécessaire pour synchroniser les deux mots de passe.
La synchronisation du mot de passe de bureau configure également Okta FastPass dans le cadre du processus d'enrôlement. Les utilisateurs ont peut-être déjà activé Okta FastPass. Si la biométrie pour Okta FastPass est activée, le flux d'enrôlement de synchronisation du mot de passe de bureau invite les utilisateurs à utiliser leur Touch ID pour configurer Okta FastPass.
Exemples de configuration MDM
Choisissez le format approprié pour votre MDM et votre version de macOS.
MDM générique
Charge utile macOS com.apple.com.associated-domain :
<key>PayloadType</key>
<string>com.apple.associated-domains</string>
<key>Configuration</key>
<array>
<dict>
<key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
<key>AssociatedDomains</key>
<array>
<string>authsrv:customerorg.okta.com</string>
</array>
</dict>
</array>Charge utile macOS 14 Sonoma com.apple.extensiblesso :
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PlatformSSO</key>
<dict>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>UseSharedDeviceKeys</key>
<true/>
</dict>
<key>ExtensionIdentifier</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>Hosts</key>
<array/>
<key>TeamIdentifier</key>
<string>B7F62B65BN</string>
<key>Type</key>
<string>Redirect</string>
<key>URLs</key>
<array>
<string>https://customerorg.okta.com/device-access/api/v1/nonce</string>
<string>https://customerorg.okta.com/oauth2/v1/token</string>
</array>Charge utile com.okta.mobile :
<key>PayloadType</key>
<string>com.okta.mobile</string>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>username@domain.com</string>Charge utile macOS 14 Sonoma com.okta.mobile.auth-service-extension :
<key>PayloadType</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>your-client-ID</string>
<key>OktaVerify.UserPrincipalName</key>
<string>username@domain.com</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>Charge utile com.apple.preference.security :
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
<key>PayloadIdentifier</key>
<string>com.customer-name.profiles.dontAllowPasswordResetUI</string>
<key>PayloadType</key>
<string>com.apple.preference.security</string>
<key>PayloadUUID</key>
<string>d99bb019-1010-447f-8fed-8f223cc56be3</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Restrict Local Password Reset for Okta's PSSO extension</string>
<key>PayloadIdentifier</key>
<string>com.customer-name.restrictLocalPasswordReset</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>b44b6a04-6527-4333-1010-46422e8a5844</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>Jamf Pro
Domaine de préférences com.okta.mobile :
<plist version="1.0">
<dict>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
</dict>
</plist>Domaine de préférences macOS 14 Sonoma com.okta.mobile.auth-service-extension :
<plist version="1.0">
<dict>
<key>OktaVerify.OrgUrl</key>
<string>https://replace-with-your-org-URL</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-your-client-ID</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>Domaine de préférences com.apple.preference.security :
<plist version="1.0">
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
</dict>
</plist>Kandji
Fichier de configuration de synchronisation du mot de passe de bureau pour macOS 14 Sonoma :
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>Configuration</key>
<array>
<dict>
<key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
<key>AssociatedDomains</key>
<array>
<!-- replace accuhive.okta.com with your tenant address -->
<string>authsrv:accuhive.okta.com</string>
</array>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Associated Domains for Okta Verify</string>
<key>PayloadIdentifier</key>
<string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.apple.associated-domains</string>
<key>PayloadUUID</key>
<string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
<dict>
<key>PlatformSSO</key>
<dict>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>UseSharedDeviceKeys</key>
<true/>
</dict>
<key>ExtensionIdentifier</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>Hosts</key>
<array/>
<key>TeamIdentifier</key>
<string>B7F62B65BN</string>
<key>Type</key>
<string>Redirect</string>
<key>URLs</key>
<array>
<!-- replace accuhive.okta.com with your tenant address -->
<string>https://accuhive.okta.com/device-access/api/v1/nonce</string>
<string>https://accuhive.okta.com/oauth2/v1/token</string>
</array>
<key>PayloadDisplayName</key>
<string>Okta Verify Sign-On Extensions Payload</string>
<key>PayloadIdentifier</key>
<string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDescription</key>
<string>Okta PSSO extension configuration</string>
<key>PayloadDisplayName</key>
<string>Okta PSSO extension</string>
<key>PayloadIdentifier</key>
<string>com.customer-name.profiles.ssoextension</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>D78FE406-0C61-4007-8C51-FFA5FDE5F54B</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>Fichier de configuration Okta Verify :
Notez la clé PlatformSSO.ProtocolVersion. Si vous utilisez SSO de plateforme 2.0, définissez la valeur de la chaîne sur 2.0.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<!-- replace accuhive.okta.com with your tenant -->
<key>OktaVerify.OrgUrl</key>
<string>https://accuhive.okta.com</string>
<!-- replace YOUR_CLIENT_ID with your Desktop Password Sync app Client ID -->
<key>OktaVerify.PasswordSyncClientID</key>
<string>YOUR_CLIENT_ID</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
<!-- optional keys-->
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.ReportDiagnostics</key>
<true/>
<key>OktaVerify.UserPrincipalName</key>
<string>username@domain.com</string>
<!-- optional keys-->
<key>PayloadDescription</key>
<string>Configures Okta Verify settings</string>
<key>PayloadDisplayName</key>
<string>Okta Verify configuration</string>
<key>PayloadIdentifier</key>
<string>DEB5863A-E503-468C-A3DE-D90479F1E10A</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.okta.mobile</string>
<key>PayloadUUID</key>
<string>1D89FEA8-BAFE-42F5-9393-634BE23009D8</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
<dict>
<!-- replace accuhive.okta.com with your tenant -->
<key>OktaVerify.OrgUrl</key>
<string>https://accuhive.okta.com</string>
<!-- replace YOUR_CLIENT_ID with your Desktop Password Sync app Client ID -->
<key>OktaVerify.PasswordSyncClientID</key>
<string>YOUR_CLIENT_ID</string>
<!-- optional keys-->
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.ReportDiagnostics</key>
<true/>
<key>OktaVerify.UserPrincipalName</key>
<string>username@domain.com</string>
<!-- optional keys-->
<key>PayloadDescription</key>
<string>Configures Okta Verify settings</string>
<key>PayloadDisplayName</key>
<string>Okta Verify (auth service) configuration</string>
<key>PayloadIdentifier</key>
<string>E5F1356E-3B04-43F7-8E8C-2213F7D74B13</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>PayloadUUID</key>
<string>6764E8E4-0A37-4206-96E2-A73B2DFA5673</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDescription</key>
<string>Configures settings</string>
<key>PayloadDisplayName</key>
<string>Okta Verify Configuration</string>
<key>PayloadIdentifier</key>
<string>com.customer-name.profiles.oktaverify</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>9A641D93-471C-44D7-8B54-264E842A12C8</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
Fichier de configuration com.apple.preference.security
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
<key>PayloadIdentifier</key>
<string>com.customer-name.profiles.dontAllowPasswordResetUI</string>
<key>PayloadType</key>
<string>com.apple.preference.security</string>
<key>PayloadUUID</key>
<string>d99bb019-1010-447f-8fed-8f223cc56be3</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Restrict Local Password Reset for Okta's PSSO extension</string>
<key>PayloadIdentifier</key>
<string>com.customer-name.restrictLocalPasswordReset</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>b44b6a04-6527-4333-1010-46422e8a5844</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>