Configurer les profils de configuration des appareils pour PSSO à l‘aide de Jamf Pro

Synchronisation de mots de passe de bureau pour macOS utilise la fonctionnalité Authentification unique sur la plateforme (SSO sur la plateforme) d'Apple pour synchroniser le mot de passe du compte macOS local d'un utilisateur avec son mot de passe Okta.

Ce guide explique comment configurer et déployer Synchronisation de mots de passe de bureau pour les appareils macOS gérés par Jamf Pro.

Avant de commencer

Commencer cette tâche

Pour configurer les profils de configuration des appareils pour Authentification unique sur la plateforme (SSO sur la plateforme) à l'aide de Jamf Pro, effectuez les tâches suivantes dans l'ordre :

  1. Configurer le profil d'authentification unique (SSO)

  2. Configurer les domaines associés

  3. Configurer l'extension SSO

  4. Créer des mappages de compte Okta

  5. Créer un enrôlement PreStage pour la configuration simplifiée

  6. Déployer Okta Verify

Configurer le profil d'authentification unique (SSO)

  1. Dans Jamf Pro, sélectionnez Ordinateurs > Politiques de configuration dans la barre latérale.

  2. Cliquez sur Nouveau.

  3. Dans le volet Nouveau profil de configuration macOS, sélectionnez le volet Options.

  4. Dans la section Général, donnez un nom au profil, par exemple Okta Platform SSO.

    Vous pouvez également saisir sur cette page toute autre information qui est propre à votre environnement, par exemple une description, un site ou une catégorie. Ces champs n'ont pas d'impact sur la configuration de PSSO pour Okta.

  5. Définissez le Niveau sur Niveau ordinateur.

  6. Dans la barre latérale Options, cliquez sur Applications et paramètres personnalisés > Charger.

  7. Cliquez sur Ajouter quatre fois. Cela crée quatre entrées de charge utile personnalisées.

  8. Configurez une charge utile de domaine de préférence pour chacune des entrées du tableau suivant.

    Remplacez customerorg.okta.com et clientID par l'URL et l'ID client de votre org Okta, respectivement.

    Domaine de préférences

    Liste de propriétés

    com.okta.mobile 

    <plist version="1.0">
	<dict>
		<key>OktaVerify.OrgUrl</key>
		<string>https://customerorg.okta.com</string>
		<key>OktaVerify.UserPrincipalName</key>
		<string>$USERNAME</string>
		<key>PlatformSSO.ProtocolVersion</key>
		<string>2.0</string>
	</dict>
</plist>

    com.okta.mobile.auth-service-extension 

    <plist version="1.0">
  <dict>
		<key>OktaVerify.OrgUrl</key>
		<string>https://customerorg.okta.com</string>
		<key>OktaVerify.UserPrincipalName</key>
		<string>$USERNAME</string>
		<key>OktaVerify.PasswordSyncClientID</key>
		<string>client ID</string>
		<key>PlatformSSO.ProtocolVersion</key>
		<string>2.0</string>
	</dict>
</plist>

    com.okta.deviceaccess.servicedaemon

    Facultatif. Utilisez cette option si vous prévoyez d'activer Authentification unique liée à l'appareil.

    		 
    <plist version="1.0">
	<dict>
		<key>OktaJoinEnabled</key>
		<true/>
	</dict>
</plist>

    com.apple.preference.security

    Facultatif. Utilisez cette option si vous souhaitez empêcher les utilisateurs de modifier le mot de passe de leur compte local.

    		 
    <plist version="1.0">
	<dict>
		<key>dontAllowPasswordResetUI</key>
		<true/>
	</dict>
</plist>

  9. Cliquez sur Enregistrer.

Configurer les domaines associés

  1. Dans Jamf Pro, cliquez sur Modifier sur le profil de configuration que vous avez créé lors de l'étape initiale.

  2. Dans la barre latérale Options, cliquez sur Domaines associés.

  3. Sur la page Domaines associés, cliquez sur Configurer.

  4. Sélectionnez Gestion des applications > Domaines associés.

  5. Cliquez sur Ajouter.

  6. Saisissez les informations suivantes pour l‘instance :

    • Identificateurs d‘application :B7F62B65BN.com.okta.mobile

    • Domaine associé : saisissez authsrv: suivi de l‘URL de votre organisation Okta. Par exemple, authsrv:customerorg.okta.com

    • Assurez-vous que la case Activer les téléchargements directs n‘est pas cochée.

    • Cliquez sur Enregistrer.

  7. Cliquez sur Ajouter pour créer une autre entrée de domaine .

  8. Ajoutez l‘autre domaine associé :

    • Identificateurs d‘application : B7F62B65BN.com.okta.mobile.auth-service-extension

    • Domaine associé : saisissez authsrv: suivi de l‘URL de votre organisation Okta. Par exemple, authsrv:customerorg.okta.com

    • Assurez-vous que la case Activer les téléchargements directs n‘est pas cochée.

    • Cliquez sur Enregistrer.

  9. Cliquez sur Enregistrer.

Configurez l‘extension SSO

  1. Dans Jamf Pro, cliquez sur Modifier sur le profil de configuration que vous avez créé lors de l‘étape initiale.

  2. Dans la barre latérale des options, cliquez sur Single Sign-on Extensions (Extensions d‘authentification unique).

  3. Sur la page Extensions d‘authentification unique, cliquez sur Ajouter.

  4. Configurez l‘extension SSO conformément au tableau suivant. Remplacez customerorg.okta.com par l‘URL de votre organisation Okta.

    Paramètre

    Valeur

    Type de charge utile

    SSO

    Extension Identifier (Identificateur d'extension)

    com.okta.mobile.auth-service-extension

    Identificateur d'équipe

    B7F62B65BN

    Type d‘authentification

    Redirection

    URL

    Cliquez deux fois sur Ajouter pour obtenir trois champs de texte pour le paramètre URL.

    https://customerorg.okta.com/oauth2/v1/token

    https://customerorg.okta.com/device-access/api/v1/nonce

    https://customerorg.okta.com/v1/auth/device-sign

    Utiliser SSO de plateforme

    Inclure

    Méthode d'authentification

    Mot de passe

    Enregistrement de jeton

    Ce paramètre doit être présent, mais vous pouvez saisir n‘importe quelle valeur dans le champ, car le profil SCEP créé remplace cette valeur.

    Utiliser des clés d'appareil partagées

    Activer

    Nom d'affichage du compte

    Cette valeur est utilisée dans les notifications que macOS envoie pendant le processus d‘enregistrement.

    Utilisez une valeur qui indique clairement aux utilisateurs quels identifiants sont requis, par exemple, Atko Okta credentials.

  5. Si vous planifiez de configurer des profils de gestion des appareil pour la création de compte juste-à-temps, ajoutez les paramètres d‘extension SSO suivants.

    Paramètre

    Valeur

    Créer un nouvel utilisateur lors de la connexion

    Activer

    Mappage de l'utilisateur > Nom complet

    macOSAccountFullName

    Mappage de l'utilisateur > Nom du compte

    macOSAccountUsername

    Type d‘autorisation de compte

    Standard ou Administrateur

    Nouveau type de compte utilisateur

    Standard ou Administrateur

  6. Apple a introduit la fonctionnalité Configuration simplifiée pour SSO sur la plateforme dans macOS 26 TAHOE. Si vous planifiez d‘utiliser la fonctionnalité Configuration simplifiée pour SSO sur la plateforme, ajoutez les paramètres d‘extension SSO suivants.

    Paramètre

    Valeur

    Activer l'enregistrement lors de l'installation

    Activer

    Créer le premier utilisateur lors de la configuration

    Activer

    Nouvelle méthode d‘authentification à la création d‘un utilisateur

    Mot de passe

    Consultez Créez un enrôlement PreStage pour la configuration simplifiée.

  7. Cliquez sur l‘onglet Portée. Affectez le profil de configuration aux appareils ou utilisateurs cibles.

  8. Cliquez sur Enregistrer.

  9. Distribuez le profil selon vos besoins lorsque Jamf Pro vous y invite.

Créer des mappages de compte Okta

Cette tâche est nécessaire uniquement si vous souhaitez configurer la création de compte local juste-à-temps ou utiliser la fonctionnalité de configuration simplifiée pour SSO sur la plateforme.

Par défaut, Okta username est utilisé en tant que nom d'utilisateur macOS. De même, la valeur Okta First name + Family name combinée est utilisée pour le nom d'affichage de l'utilisateur macOS.

Toutefois, si votre org utilise un autre format pour le nom de compte et le nom d'affichage macOS, vous devez créer des attributs personnalisés pour ces mappages.

Pour remplacer les valeurs par défaut, utilisez le Éditeur de profil pour ajouter et mapper des attributs personnalisés pour l'application.

  1. Si vous ne l'avez pas encore fait, ajoutez l'app SSO de plateforme pour macOS via l'Admin Console.

  2. Dans l'Admin Console, accédez à Directory > Éditeur de profil .

  3. Recherchez et ouvrez l'app SSO de plateforme de macOS.

  4. Cliquez sur Ajouter un attribut.

  5. Ajoutez un attribut de chaîne à utiliser comme nom d'utilisateur macOS  :

    1. Définissez les champs Nom d'affichage et Nom de variable à macOSAccountUsername.

    2. Définissez le champ Attribut requis sur Oui.

    3. Cliquez sur Enregistrer et Ajouter un autre.

  6. Ajoutez un autre attribut de chaîne appelé macOSAccountFullName. Okta utilise cet attribut en tant que nom d'affichage macOS.

  7. Cliquez sur Enregistrer.

  8. Cliquez sur Mappages et sélectionnez Configurer les mappages d'utilisateurs.

  9. Dans la boîte de dialogue Mappages du profil utilisateur, sélectionnez l'onglet Utilisateur Okta vers l'authentification unique de la plateforme pour macOS .

  10. Saisissez les mappages d'attributs suivants :

    • user.login : macOSAccountUsername

    • user.displayName : macOSAccountFullName

  11. Cliquez sur Enregistrer les mappages.

Si vous souhaitez modifier davantage ces champs, vous pouvez choisir un autre attribut Okta ou ajouter une expression aux champs à l'aide de Langage d'expression Okta. Consultez Ajouter des attributs personnalisés aux applications, aux répertoires et aux fournisseurs d'identité et Mapper les attributs Okta aux attributs des applications dans Profile Editor.

Créer un enrôlement PreStage pour la configuration simplifiée

Si vous le souhaitez, vous pouvez créer un enrôlement PreStage Jamf Pro pour la fonctionnalité Configuration simplifiée pour SSO sur la plateforme. Cela réduit le nombre d‘écrans de configuration qui s‘affichent pour un utilisateur au cours de l‘activation de l‘appareil.

  1. Dans Jamf Pro, sélectionnez Ordinateurs > Enrôlement PreStage dans la barre latérale.

  2. Cliquez sur Nouveau pour créer un enrôlement PreStage.

  3. Dans les sections Généralités et Exigences relatives à l‘enrôlement, définissez les options spécifiques à votre entreprise. Consultez Inscription automatique des appareils pour les ordinateurs.

  4. Pour activer SSO sur la plateforme pendant l‘installation de l‘assistant de configuration Apple, sélectionnez l‘option Activer l‘option Configuration simplifiée pour l‘authentification unique sur plateforme (macOS 26 ou plus récent).

  5. Remplacez la version minimale requise macOS par la version spécifique.

  6. Définissez la version minimale de macOS à appliquer à la première version disponible de macOS 26 TAHOE.

  7. Consultez ID d‘ensemble de l‘application d‘authentification unique de la plateforme sur com.okta.mobile.

  8. Sélectionnez Profils de configuration dans la barre latérale et cliquez sur Configurer.

  9. Sélectionnez votre profil PSSO et votre profil SCEP.

  10. Sélectionnez Packages d‘enrôlement dans la barre latérale et cliquez sur Configurer pour ajouter un package d‘enrôlement à l‘enrôlement PreStage.

  11. Cliquez sur Ajouter pour inclure votre programme d‘installation Okta Verify. L‘application Okta Verify doit être d‘une version 9.52 ou ultérieure.

  12. Ajustez les autres paramètres de votre choix pour l‘enrôlement PreStage et cliquez sur Enregistrer.

Déployer Okta Verify

L‘étape finale consiste à déployer l‘application Okta Verify sur vos appareils enregistrésmacOS.

Jamf Pro offre plusieurs options d‘installation pour les packages macOS. L‘option suivante est l‘option recommandée pour utiliser la fonctionnalité Jamf Pro Mac App.

  1. Dans Jamf Pro, sélectionnez Ordinateurs > Ordinateurs Mac dans la barre latérale.

  2. Cliquez sur Nouveau.

  3. Dans la page Source de l‘application, sélectionnez l‘option Catalogue d‘applications Jamf.

  4. Cliquez sur Suivant.

  5. Recherchez Okta Verify dans le champ de recherche de la page Sélectionner les programmes d‘installation d‘applications.

  6. Cliquez sur Ajouter à côté de la dernière version de Okta Verify.

  7. Utilisez les onglets Paramètres de configuration, Libre-service et Expérience de l‘utilisateur final pour configurer tous les paramètres de votre plan de déploiement.

  8. Après avoir effectué les étapes précédentes, cliquez sur le bouton Déployer pour activer l‘option de déploiement.

  9. Cliquez sur Enregistrer.

Étape suivante

Soutenir vos utilisateurs macOS