Configurer les profils de configuration des appareils pour Enclave sécurisée à l‘aide d‘un MDM générique
Version en accès anticipé
Ce guide fournit des instructions générales pour configurer les profils de gestion des appareils requis pour SSO sur la plateforme avec des clés sauvegardées sur Enclave sécurisée.
Vous pouvez utiliser n‘importe quelle solution Gestion des appareils mobiles (MDM) qui prend en charge le déploiement de charge utile de SSO sur la plateformel‘authentification unique (SSO) extensible avec le protocole activé.
Pour en savoir plus sur les avantages, les conditions préalables et la compatibilité des versions de PSSO, consultez SSO sur la plateforme pour macOS .
Commencer cette tâche
Ce guide inclut les étapes nécessaires pour configurer Authentification unique liée à l'appareil. Cette fonctionnalité est nécessaire pour utiliser les clés sauvegardées sur Enclave sécurisée. En suivant ces étapes, aucune étape supplémentaire n‘est nécessaire pour Device-Bound SSO.
Pour activer cette fonctionnalité complète, vous devez créer et déployer trois types de profils de configuration :
-
Un profil d'authentification unique extensible déployé au niveau de l'ordinateur.
-
Une charge utile de domaine associé. Elle peut être dans le même profil que l‘extension d‘authentification unique (SSO).
-
Une configuration d'app gérée qui contient l'URL de l’org, le nom d'utilisateur, l'ID client et la version de protocole SSO sur la plateforme. Le nom d'utilisateur et l'ID client sont propres à la SSO sur la plateforme. Appliquez le nom d'utilisateur et l'ID client au domaine de l'extension SSO uniquement. Ajoutez une entrée distincte pour chaque domaine de préférences Okta.
La plupart des solutions MDM vous permettent de charger des fichiers personnalisés .plist qui contiennent ces profils.
Lorsqu‘il vous est demandé de fournir l‘URL de votre organisation dans ce guide, par exemple https://customerorg.okta.com, utilisez votre propre adresse d‘organisation Okta et utilisez à chaque fois la même URL d‘organisation.
Si vous avez configuré un domaine personnalisé, utilisez cette URL de domaine personnalisé.
Configurer un profil d‘extension SSO
L‘extension SSO étend l‘authentification macOS à la session de l‘utilisateur après qu‘il a déverrouillé son appareil. Les utilisateurs peuvent utiliser des identifiants liés à l‘appareil pour déverrouiller leur ordinateur et s‘y connecter.
Créez un profil MDM avec les paramètres suivants :
|
Clé |
Valeur |
|---|---|
|
Type de charge utile |
|
|
Extension Identifier (Identificateur d'extension) |
|
|
Identificateur d'équipe |
|
|
Type |
|
|
Méthode d'authentification |
|
|
Utiliser des clés d'appareil partagées |
|
|
Utiliser SSO de plateforme |
|
|
Activer l'enregistrement lors de l'installation |
Si vous utilisez SSO sur la plateforme dans l‘assistant de configuration pour macOS 26 TAHOE ou une version ultérieure, définissez-la sur |
|
Nom d'affichage du compte |
Le nom d’affichage utilisé dans les notifications et les requêtes d’authentification pour le compte. Elle est définie au niveau du système, et non au niveau d‘un compte utilisateur spécifique. Cette valeur est donc visible par tous les utilisateurs. |
|
URL |
Ajoutez les URL de votre organisation Okta, y compris les chemins :
Par exemple :
|
Exemple de profil d‘extension SSO générique
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PlatformSSO</key>
<dict>
<key>AccountDisplayName</key>
<string>Company Name</string>
<key>AuthenticationMethod</key>
<string>UserSecureEnclaveKey</string>
<key>UseSharedDeviceKeys</key>
<true/>
</dict>
<key>ExtensionIdentifier</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>Hosts</key>
<array/>
<key>TeamIdentifier</key>
<string>B7F62B65BN</string>
<key>Type</key>
<string>Redirect</string>
<key>URLs</key>
<array>
<string>https://customerorg.okta.com/device-access/api/v1/nonce</string>
<string>https://customerorg.okta.com/oauth2/v1/token</string>
<string>https://customerorg.okta.com/v1/auth/device-sign</string>
</array>Configurer les domaines associés
Cette charge utile lie l‘URL de votre organisation Okta à l‘application Okta Verify en toute sécurité.
|
Clé |
Valeur |
|---|---|
|
Charge utile |
|
|
Identificateur de l‘application |
|
|
Domaines associés |
Ajoutez le domaine d‘URL pour votre organisation Okta, par exemple, Chaque identificateur d‘application doit être associé à un domaine. Consultez la documentation sur les domaines associés d‘Apple. |
Exemple de domaines associés génériques
<key>PayloadType</key>
<string>com.apple.associated-domains</string>
<key>AssociatedDomains</key>
<array>
<dict>
<key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile</string>
<key>AssociatedDomains</key>
<array>
<string>authsrv:customerorg.okta.com</string>
</array>
</dict>
<dict>
<key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
<key>AssociatedDomains</key>
<array>
<string>authsrv:customerorg.okta.com</string>
</array>
</dict>
</array>
<!-- Other required payload keys -->Configurer des fichiers de préférences personnalisés
Ces fichiers de charge utile, souvent qualifiés de configuration d‘application gérée, fournissent vos paramètres Okta spécifiques à l‘application Okta Verify pour macOS.
Pour que SSO sur la plateforme fonctionne, vous devez créer et déployer un fichier de préférences pour chacun des domaines de préférences suivants :
-
com.okta.mobile -
com.okta.mobile.auth-service-extension -
com.okta.deviceaccess.servicedaemon: Facultatif. Requis uniquement pour Device-Bound SSO. -
com.apple.preference.security: Facultatif. Requis uniquement pour bloquer la réinitialisation du mot de passe.
com.okta.mobile
Créez et sauvegardez un fichier texte appelé com.okta.mobile avec le contenu suivant.
Si ce fichier a déjà été configuré pour Okta Verify ou Okta FastPass, vous n‘avez pas besoin de le recréer pour SSO sur la plateforme. Vous pouvez utiliser la même configuration pour les clés sauvegardées sur Enclave sécurisée.
<plist version="1.0">
<dict>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>Remplacez les éléments suivants en fonction de la configuration spécifique à votre organisation :
-
https://customerorg.okta.comest l‘URL de votre organisation Okta. -
$USERNAMEest une valeur facultative qui est remplie avec le nom d‘utilisateur Okta lorsque l‘utilisateur s‘enregistre avec PSSO. Si vous n‘indiquez pas de valeur, les utilisateurs doivent saisir leur nom d‘utilisateur lorsqu‘ils se connectent.
com.okta.mobile.auth-service-extension
Créez et sauvegardez un fichier texte appelé com.okta.mobile.auth-service-extension avec le contenu suivant.
<plist version="1.0">
<dict>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>your-client-ID</string>
<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>
</dict>
</plist>Remplacez les éléments suivants en fonction de la configuration spécifique à votre organisation :
-
https://customerorg.okta.comest l‘URL de votre organisation Okta. -
$USERNAMEest une valeur facultative qui est remplie avec le nom d‘utilisateur Okta lorsque l‘utilisateur s‘enregistre avec PSSO. Si vous n‘indiquez pas de valeur, les utilisateurs doivent saisir leur nom d‘utilisateur lorsqu‘ils se connectent. -
your-client-IDest l‘ID client que vous avez copié lors de la création de l‘application SSO sur la plateforme.Vous pouvez récupérer cette valeur dans l‘onglet Authentification de l‘application d‘authentification unique de plateforme configurée pour macOS .
com.okta.deviceaccess.servicedaemon
Créez et sauvegardez un fichier texte appelé com.okta.deviceaccess.servicedaemon avec le contenu suivant.
<plist version="1.0">
<dict>
<key>OktaJoinEnabled</key>
<true/>
</dict>
</plist>Cela permet à l‘appareil d‘être joint à Okta et d‘utiliser Device-Bound SSO. Consultez Déployer Device-Bound SSO sur les appareils de l‘utilisateur.
Déployer et vérifier le profil
Utilisez votre logiciel MDM pour distribuer le profil à tous les ordinateurs concernés, ou pour le distribuer uniquement aux appareils nouvellement attribués.
Après avoir créé et distribué le profil de gestion des appareils, les utilisateurs reçoivent un message de notification système indiquant que l‘enregistrement est nécessaire.
SSO sur la plateforme avec une clé sauvegardée Enclave sécurisée, configure également Okta FastPass dans le cadre du processus d‘enrôlement. Les utilisateurs ont peut-être déjà activé Okta FastPass. Si la biométrie pour Okta FastPass est activée, le flux d'enrôlement de SSO sur la plateforme invite les utilisateurs à utiliser leur Touch ID pour configurer Okta FastPass.
Pour vérifier le déploiement du profil sur un appareil macOS :
-
Ouvrez l‘application Paramètres système.
-
Allez à .
-
Vérifiez que vous voyez les profils de gestion des appareils pour chacun de vos domaines de préférences.
Déployer Okta Verify
Enfin, utilisez votre logiciel MDM pour déployer l‘application Okta Verify sur vos appareils macOS inscrits.
Étape suivante