Configurer les profils de configuration des appareil pour PSSO à l'aide d'un MDM générique
Ce guide fournit des instructions générales pour configurer Authentification unique sur la plateforme (SSO sur la plateforme) pour macOS en utilisant une solution Gestion des appareils mobiles (MDM). Si vous utilisez Microsoft Intune, Jamf Pro ou Workspace ONE, consultez le guide approprié pour votre MDM.
Ce guide est destiné aux administrateurs qui utilisent une instance MDM telle que Kandji ou Mosyle qui prend en charge le déploiement de profils de configuration personnalisés et de configurations d'app gérées. Pour des conseils détaillés sur la création et le déploiement de ces types de profils, consultez la documentation de votre solution MDM.
Pour une explication complète des avantages, des conditions nécessaires et de la compatibilité des versions de PSSO, consultez Authentification unique sur la plateforme (SSO sur la plateforme) pour macOS .
Avant de commencer
-
Confirmez que vous avez configuré et déployé les certificats Device Access sur vos appareils macOS.
-
Les appareils des utilisateurs doivent exécuter macOS 14 Sonoma ou une version ultérieure.
-
Téléchargez le Okta Verify fichier PKG depuis le Okta Admin Console. Consultez Télécharger Okta Verify pour macOS .
Commencer cette tâche
Pour utiliser PSSO, créez et déployez des profils de configuration qui contiennent les charges utiles suivantes.
-
Un profil d'authentification unique extensible déployé au niveau de l'ordinateur.
-
Une charge utile de domaine associé. Elle peut être dans le même profil que l'extension d'authentification unique (SSO) extensible.
-
Une configuration d'app gérée qui contient l'URL de l’org, le nom d'utilisateur, l'ID client et la version de protocole SSO sur la plateforme. Le nom d'utilisateur et l'ID client sont propres à la Synchronisation de mots de passe de bureau. Appliquez le nom d'utilisateur et l'ID client au domaine de l'extension SSO uniquement. Ajoutez une entrée distincte pour chaque domaine de préférences Okta.
La plupart des solutions MDM vous permettent de charger des fichiers personnalisés .plist qui contiennent ces profils.
Dans ce guide, lorsque vous fournissez l'URL de votre organisation (par exemple, https://customerorg.okta.com), utilisez la même URL org à chaque fois.
Si vous avez configuré un domaine personnalisé, utilisez cette URL de domaine personnalisé.
Configurer le profil SSO
L'extension SSO s'étend à la fenêtre de connexion macOS. Cela permet aux utilisateurs d'utiliser leurs identifiants Okta pour déverrouiller leur ordinateur et s'y connecter. Le mot de passe du compte local est automatiquement synchronisé, de sorte que le mot de passe local et le mot de passe Okta correspondent.
Il s'agit de la charge utile principale qui active PSSO et demande à macOS d'utiliser Okta Verify pour l'authentification.
|
Clé |
Valeur |
|---|---|
|
Type de charge utile |
|
|
Extension Identifier (Identificateur d'extension) |
|
|
Identificateur d'équipe |
|
|
Type |
|
|
Méthode d'authentification |
|
|
Utiliser des clés d'appareil partagées |
|
|
Utiliser SSO de plateforme |
|
|
Activer l'enregistrement lors de l'installation |
Pour les organisations qui utilisent SSO sur la plateforme 2.0 avec macOS 26 TAHOE, définissez cette option sur |
|
Nom d'affichage du compte |
Le nom d’affichage utilisé dans les notifications et les requêtes d’authentification pour le compte. Elle est définie au niveau du système, et non au niveau d'un compte utilisateur spécifique. Cette valeur est donc visible par tous les utilisateurs. |
|
URL |
Ajoutez les URL de votre organisation Okta,y compris les chemins :
Par exemple :
|
Exemple de MDM générique
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PlatformSSO</key>
<dict>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>UseSharedDeviceKeys</key>
<true/>
</dict>
<key>ExtensionIdentifier</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>Hosts</key>
<array/>
<key>TeamIdentifier</key>
<string>B7F62B65BN</string>
<key>Type</key>
<string>Redirect</string>
<key>URLs</key>
<array>
<string>https://customerorg.okta.com/device-access/api/v1/nonce</string>
<string>https://customerorg.okta.com/oauth2/v1/token</string>
<string>https://customerorg.okta.com/v1/auth/device-sign</string>
</array>Exemple Kandji
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>Configuration</key>
<array>
<dict>
<key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
<key>AssociatedDomains</key>
<array>
<string>authsrv:customerorg.okta.com</string>
</array>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Associated Domains for Okta Verify</string>
<key>PayloadIdentifier</key>
<string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.apple.associated-domains</string>
<key>PayloadUUID</key>
<string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
<dict>
<key>PlatformSSO</key>
<dict>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>UseSharedDeviceKeys</key>
<true/>
</dict>
<key>ExtensionIdentifier</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>Hosts</key>
<array/>
<key>TeamIdentifier</key>
<string>B7F62B65BN</string>
<key>Type</key>
<string>Redirect</string>
<key>URLs</key>
<array>
<string>https://customerorg.okta.com/device-access/api/v1/nonce</string>
<string>https://customerorg.okta.com/oauth2/v1/token</string>
</array>
<key>PayloadDisplayName</key>
<string>Okta Verify Sign-On Extensions Payload</string>
<key>PayloadIdentifier</key>
<string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDescription</key>
<string>Okta PSSO extension configuration</string>
<key>PayloadDisplayName</key>
<string>Okta PSSO extension</string>
<key>PayloadIdentifier</key>
<string>com.customer-name.profiles.ssoextension</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>D78FE406-0C61-4007-8C51-FFA5FDE5F54B</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>Configurer les domaines associés
Cette charge utile lie URL de votre org Okta à l' app Okta Verify en toute sécurité.
|
Clé |
Valeur |
|---|---|
|
Charge utile |
|
|
Identificateur de l'application |
|
|
Domaines associés |
Ajoutez le domaine URL pour votre Okta org, par exemple, Chaque identificateur app doit être associé à un domaine. |
Exemple de MDM générique
<key>PayloadType</key>
<string>com.apple.associated-domains</string>
<key>AssociatedDomains</key>
<array>
<dict>
<key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile</string>
<key>AssociatedDomains</key>
<array>
<string>authsrv:customerorg.okta.com</string>
</array>
</dict>
<dict>
<key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
<key>AssociatedDomains</key>
<array>
<string>authsrv:customerorg.okta.com</string>
</array>
</dict>
</array>
<!-- Other required payload keys -->Exemple Kandji
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.PasswordSyncClientID</key>
<!-- replace YOUR_CLIENT_ID with your Desktop Password Sync app Client ID -->
<string>YOUR_CLIENT_ID</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
<!-- optional keys-->
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.ReportDiagnostics</key>
<true/>
<key>OktaVerify.UserPrincipalName</key>
<string>username@domain.com</string>
<!-- optional keys-->
<key>PayloadDescription</key>
<string>Configures Okta Verify settings</string>
<key>PayloadDisplayName</key>
<string>Okta Verify configuration</string>
<key>PayloadIdentifier</key>
<string>DEB5863A-E503-468C-A3DE-D90479F1E10A</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.okta.mobile</string>
<key>PayloadUUID</key>
<string>1D89FEA8-BAFE-42F5-9393-634BE23009D8</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
<dict>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.PasswordSyncClientID</key>
<!-- replace YOUR_CLIENT_ID with your Desktop Password Sync app Client ID -->
<string>YOUR_CLIENT_ID</string>
<!-- optional keys-->
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.ReportDiagnostics</key>
<true/>
<key>OktaVerify.UserPrincipalName</key>
<string>username@domain.com</string>
<!-- optional keys-->
<key>PayloadDescription</key>
<string>Configures Okta Verify settings</string>
<key>PayloadDisplayName</key>
<string>Okta Verify (auth service) configuration</string>
<key>PayloadIdentifier</key>
<string>E5F1356E-3B04-43F7-8E8C-2213F7D74B13</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>PayloadUUID</key>
<string>6764E8E4-0A37-4206-96E2-A73B2DFA5673</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDescription</key>
<string>Configures settings</string>
<key>PayloadDisplayName</key>
<string>Okta Verify Configuration</string>
<key>PayloadIdentifier</key>
<string>com.customer-name.profiles.oktaverify</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>9A641D93-471C-44D7-8B54-264E842A12C8</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>Configurer des fichiers de préférences personnalisés
Ces fichiers de charge utile, souvent qualifiés de configuration de app gérée, fournissent vos paramètres Okta spécifiques à l' app Okta Verify pour macOS.
Pour que SSO sur la plateforme fonctionne, vous devez créer et déployer un fichier de préférences pour chacun des domaines de préférences suivants :
-
com.okta.mobile -
com.okta.mobile.auth-service-extension -
com.okta.deviceaccess.servicedaemon: Facultatif. Requis uniquement pour Device-Bound SSO. -
com.apple.preference.security: Facultatif. Obligatoire uniquement pour bloquer la réinitialisation du mot de passe .
com.okta.mobile
Créez et sauvegardez un fichier texte appelé com.okta.mobile avec le contenu suivant. Si ce fichier a déjà été configuré pour Okta Verify ou Okta FastPass, vous n'avez pas besoin de le recréer pour SSO sur la plateforme.
<key>PayloadType</key>
<string>com.okta.mobile</string>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>Remplacez les éléments suivants en fonction de la configuration spécifique à votre org :
-
https://customerorg.okta.comest l'URL de votre organisation Okta. -
$USERNAMEest une valeur facultative qui est remplie avec le nom d'utilisateur Okta lorsque l'utilisateur s'enregistre avec PSSO. Si vous n'indiquez pas de valeur, les utilisateurs doivent saisir leur nom d'utilisateur lorsqu'ils se connecter.
com.okta.mobile.auth-service-extension
Créez et enregistrez un fichier texte appelé com.okta.mobile.auth-service-extension avec le contenu suivant.
<key>PayloadType</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>your-client-ID</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>Remplacez les éléments suivants en fonction de la configuration spécifique à votre org :
-
https://customerorg.okta.comest l'URL de votre organisation Okta. -
$USERNAMEest une valeur facultative qui est remplie avec le nom d'utilisateur Okta lorsque l'utilisateur s'enregistre avec PSSO. Si vous n'indiquez pas de valeur, les utilisateurs doivent saisir leur nom d'utilisateur lorsqu'ils se connectent. -
your-client-IDest l' ID client que vous avez copié lors de la création de app SSO sur la plateforme.Vous pouvez récupérer cette valeur dans l'onglet Authentification de l' app d'authentification unique de plateforme configurée pour macOS .
com.okta.deviceaccess.servicedaemon
Créez et enregistrez un fichier texte appelé com.okta.deviceaccess.servicedaemon avec le contenu suivant.
<key>PayloadType</key>
<string>com.okta.deviceaccess.servicedaemon</string>
<key>OktaJoinEnabled</key>
<true/>Ce fichier de profil est facultatif et est utilisé pour Device-Bound SSO. Consultez Déployer Device-Bound SSO sur les appareils de l'utilisateur.
com.apple.preference.security
Ce profil désactive la possibilité de modifier le mot de passe du compte local.
Comme le mot de passe est synchronisé avec Okta, les utilisateurs ne doivent pas le modifier localement. Pour modifier un mot de passe, les utilisateurs doivent modifier leur mot de passe Okta, puis le synchroniser sur l'écran de verrouillage de l'ordinateur. Consultez la documentation Apple sur les préférences de sécurité.
Créez et enregistrez un fichier texte appelé com.apple.preference.security avec le contenu suivant.
<key>PayloadType</key>
<string>com.apple.preference.security</string>
<key>dontAllowPasswordResetUI</key>
<true/>Voici un exemple de fichier de configuration com.apple.preference.security pour Kandji :
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>dontAllowPasswordResetUI</key>
<true/>
<key>PayloadIdentifier</key>
<string>com.customer-name.profiles.dontAllowPasswordResetUI</string>
<key>PayloadType</key>
<string>com.apple.preference.security</string>
<key>PayloadUUID</key>
<string>d99bb019-1010-447f-8fed-8f223cc56be3</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Restrict Local Password Reset for Okta PSSO extension</string>
<key>PayloadIdentifier</key>
<string>com.customer-name.restrictLocalPasswordReset</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>b44b6a04-6527-4333-1010-46422e8a5844</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>Déployer et vérifier le profil
Utilisez votre logiciel MDM pour distribuer le profil à tous les ordinateurs concernés, ou pour le distribuer uniquement aux appareils nouvellement attribués.
Après avoir créé et distribué le profil de gestion des appareils, vos utilisateurs gérés peuvent synchroniser leur mot de passe macOS local avec leur mot de passe Okta. Les utilisateurs reçoivent une notification système indiquant que l'enregistrement est nécessaire pour synchroniser les deux mots de passe.
La Synchronisation de mots de passe de bureau configure également Okta FastPass dans le cadre du processus d'enrôlement. Les utilisateurs ont peut-être déjà activé Okta FastPass. Si la biométrie pour Okta FastPass est activée, le flux d'enrôlement de Synchronisation de mots de passe de bureau invite les utilisateurs à utiliser leur Touch ID pour configurer Okta FastPass.
Pour vérifier le déploiement du profil sur un appareil macOS :
-
Ouvrez l' app Paramètres système.
-
Allez à .
-
Vérifiez que vous voyez les profils de gestion des appareil pour chacun de vos domaines de préférences.
Déployer Okta Verify
Enfin, utilisez votre logiciel MDM pour déployer l' app Okta Verify sur vos appareils inscrits macOS.
Étape suivante