Création d'un compte local juste-à-temps pour macOS

La création d'un compte local juste-à-temps (JIT) permet aux utilisateurs de créer un compte sur un ordinateur macOS en utilisant leur nom d'utilisateur et mot de passe Okta dans la fenêtre de connexion macOS. Les administrateurs peuvent rationaliser le processus de création de compte pour tout utilisateur Okta dans leur tenant, ce qui est particulièrement utile pour les appareils ou postes de travail partagés par plusieurs utilisateurs. Cette fonctionnalité utilise l'Authentification unique de plateforme (SSO de plateforme), le framework d'identité d'Apple.

Tâches

Suivez ces étapes dans l'ordre pour éviter tout problème de configuration :

  1. Configurez les certificats d'accès à l'appareil. La création d'un compte JIT nécessite des certificats enrôlés à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol).
  2. Configurez les profils de gestion des appareils pour la création de compte juste-à-temps. Ajoutez ces valeurs à votre profil SSO de plateforme avant d'utiliser la création de compte JIT.
  3. Configurez l'appareil macOS à l'aide de la création de compte local JIT et transmettez-le à l'utilisateur.

Avant de commencer

  1. Vérifiez que le nom d'utilisateur Okta est au format e-mail. Consultez Créer une restriction de caractères personnalisée pour le nom d'utilisateur Okta. Les caractères non pris en charge par macOS, tels que le signe +, n'apparaissent pas dans le nom d'utilisateur.

  2. Assurez-vous que le prénom et nom de famille de l'utilisateur Okta sont renseignés. Les détails du compte macOS sont générés à partir de ces informations.

  3. Si votre org utilise un autre format pour les noms d'utilisateur, vous devez créer un attribut personnalisé pour le mappage du nom d'utilisateur.

    Par défaut, le nom d'utilisateur Okta est utilisé comme nom d'utilisateur macOS et la valeur de Prénom + Nom de famille Okta est utilisée comme nom d'affichage de l'utilisateur macOS.

    Pour remplacer ces valeurs, vous pouvez ajouter des attributs personnalisés à l'app dans Profile Editor et les mapper selon vos besoins :

    1. Si vous ne l'avez pas encore fait, ajoutez l'app SSO de plateforme pour macOS via l'Admin Console.

    2. Dans l'Admin Console, accédez à RépertoiresProfile Editor.

    3. Recherchez et ouvrez l'app SSO de plateforme de macOS.

    4. Cliquez sur Ajouter un attribut.

    5. Ajoutez un attribut de chaîne à utiliser comme nom d'utilisateur macOS  :

      1. Définissez les champs Nom d'affichage et Nom de variable à macOSAccountUsername.

      2. Définissez le champ Attribut requis sur Oui.

      3. Cliquez sur Enregistrer.

    6. Répétez l'opération pour ajouter un attribut macOSAccountFullName. Okta utilise cet attribut comme nom d'affichage macOS.

    7. Cliquez sur Mappages et sélectionnez Configurer les mappages d'utilisateurs.

    8. Dans la boîte de dialogue Mappages de profils d'utilisateurs, sélectionnez l'onglet Utilisateur Okta vers SSO de plateforme pour macOS.

      Les attributs Okta user.login et user.display. sont mappés aux attributs macOSAccountUsername et macOSAccountFullName. Si vous souhaitez modifier ces champs, choisissez un autre attribut Okta ou ajoutez une expression (en utilisant Okta Expression Language) dans les champs.

    9. Cliquez sur Enregistrer les mappages.

    Consultez Ajouter des attributs personnalisés aux applications, aux répertoires et aux fournisseurs d'identité et Mapper les attributs Okta aux attributs des applications dans Profile Editor.

Configurer les certificats d'accès à l'appareil

Pour créer un compte local juste-à-temps pour macOS, vous devez enrôler des certificats client à l'aide de SCEP. Votre logiciel de gestion des appareils mobiles (MDM) déploie ces certificats. Ils sont utilisés pour accorder l'accès aux points de terminaison API et pour identifier l'appareil pour Okta lors des appels vers les points de terminaison API.

Passez en revue et terminez les étapes de la section Certificats d'accès aux appareils, puis revenez ici pour continuer à activer la création de compte JIT.

Configurer les profils de gestion des appareils pour la création de compte juste-à-temps

Pour utiliser la création de compte JIT, vous devez apporter certaines modifications à la configuration de vos profils MDM existants. Dans ces instructions, nous partons du principe que vous utilisez Jamf Pro pour la gestion des appareils. Si vous utilisez une autre solution MDM, les noms des champs peuvent être différents.

  1. Dans votre MDM, repérez l'emplacement du profil PlatformSSO.

  2. Modifiez le profil et activez les éléments suivants :

    • Créer un nouvel utilisateur à la connexion : EnableCreateUserAtLogin

    • Mode d'autorisation des nouveaux utilisateurs : cette valeur détermine le type de privilège du compte en cours de création. Définissez le compte comme Administrateur ou Standard.

    • Utiliser des clés d'appareil partagées : UseSharedDeviceKeys

    • Mappage de l'utilisateur :

      • Définissez macOSAccountUsername comme AccountName

      • Utilisez macOSAccountFullName comme FullName

    • Jeton d'enregistrement : saisissez une valeur aléatoire. Cette valeur n'est pas utilisée car le profil utilise le certificat au lieu d'un jeton, mais vous devez remplir le champ.

  3. Localisez le profil de gestion des appareils pour le domaine com.okta.mobile.auth-service-extension.

  4. Modifiez le profil et ajoutez ce qui suit :

    Copier 
    <key> PlatformSSO.ProtocolVersion</key>
    <string> 2.0</string>

  5. Enregistrez le profil.

  6. Si une option vous propose d'appliquer le profil mis à jour à vos utilisateurs, faites-le maintenant.

Consultez un exemple de profil Jamf PlatformSSO avec les paramètres de création de compte JIT à titre de référence.

Configurer le nouvel appareil pour la création de compte JIT

Exigences relatives aux appareils

Les appareils ou machines virtuelles approvisionnés à l'aide de la création de compte JIT doivent répondre aux exigences suivantes :

  • L'ordinateur exécute macOS 14 Sonoma ou une version ultérieure.

  • L'appareil est enrôlé dans une solution MDM avec prise en charge des jetons d'amorçage activée. Consultez Exploitation de la fonctionnalité de jeton d'amorçage Apple.

  • L'assistant de configuration est terminé et un compte administrateur local initial est créé.

  • Les profils SSO de plateforme MDM ont été envoyés vers la machine.

  • Des certificats enrôlés avec SCEP sont présents sur l'ordinateur.

  • Okta Verify pour macOS version 9.25.0 ou ultérieure est installé.

  • L'utilisateur existe dans Okta.

Une fois que les exigences de l'appareil sont remplies, un administrateur informatique effectue les étapes suivantes sur l'ordinateur :

  1. Connectez-vous au compte administrateur sur l'appareil. L'appareil est enregistré silencieusement à l'aide du certificat d'accès à l'appareil pour authentifier l'identité de l'appareil et enrôler les clés SSO de plateforme.

  2. Vérifiez que l'appareil a bien été enregistré :

    • La notification Enregistrement requis apparaît et conseille à l'utilisateur de se connecter avec ses identifiants.

    • Exécutez app-sso platform -s dans une fenêtre de terminal macOS. En cas de réussite, cela doit renvoyer Device Configuration.registrationCompleted = true et l'objet Login Configuration n'est pas null.

  3. Si l'appareil n'a pas été enregistré avec succès, consultez les journaux Okta Verify pour trouver la raison de l'échec. Résolvez le problème et relancez le processus d'enregistrement de l'appareil en vous déconnectant et en vous reconnectant.

  4. Facultatif. Finalisez l'enregistrement de la Synchronisation de mot de passe de bureau (le compte de l'administrateur informatique est ainsi enrôlé dans Okta FastPass).

  5. Sur l'appareil macOS, ouvrez Réglages système Utilisateurs et groupes. Vérifiez qu'il n'y a pas de comptes dupliqués portant des noms similaires sur l'ordinateur (par exemple, j.smith and jl.smith). Si des comptes supplémentaires sont trouvés, supprimez les utilisateurs supplémentaires et assurez-vous que les répertoires personnels sont supprimés de /Users/.

  6. Ouvrez Réglages système Écran verrouillé Lors du changement d'utilisateur La fenêtre de connexion affiche Nom et mot de passe. Ce paramètre permet au nom d'utilisateur d'apparaître dans la fenêtre de connexion macOS.

À ce stade, l'ordinateur est prêt à être transmis à l'utilisateur final.

Exemple de profil Jamf PlatformSSO

Copier 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>Configuration</key>
            <array>
                <dict>
                    <key>ApplicationIdentifier</key>
                    <string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
                    <key>AssociatedDomains</key>
                    <array>
                        <!-- replace accuhive.okta.com with your tenant address -->
                        <string>authsrv:accuhive.okta.com</string>
                    </array>
                </dict>
            </array>
            <key>PayloadDisplayName</key>
            <string>Associated Domains for Okta Verify</string>
            <key>PayloadIdentifier</key>
            <string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
            <key>PayloadOrganization</key>
            <string>CUSTOMER NAME</string>
            <key>PayloadType</key>
            <string>com.apple.associated-domains</string>
            <key>PayloadUUID</key>
            <string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
        </dict>
        <dict>
              <key>PlatformSSO</key>
                        <dict>
                            <key>AccountDisplayName</key>
                            <string>Actor</string>
                            <key>AuthenticationMethod</key>
                            <string>Password</string>
                            <key>EnableCreateUserAtLogin</key>
                            <true/>
                            <key>TokenToUserMapping</key>
                            <dict>
                                <key>AccountName</key>
                                <string>macOSAccountUsername</string>
                                <key>FullName</key>
                                <string>macOSAccountFullName</string>
                            </dict>
                            <key>UseSharedDeviceKeys</key>
                            <true/>
                        </dict>
                        <key>RegistrationToken</key>
                        <string>********</string>
            <key>ExtensionIdentifier</key>
            <string>com.okta.mobile.auth-service-extension</string>
            <key>Hosts</key>
            <array/>
            <key>TeamIdentifier</key>
            <string>B7F62B65BN</string>
            <key>Type</key>
            <string>Redirect</string>
            <key>URLs</key>
            <array>
                <!-- replace accuhive.okta.com with your tenant address -->
                <string>https://accuhive.okta.com/device-access/api/v1/nonce</string>
                <string>https://accuhive.okta.com/oauth2/v1/token</string>
            </array>
            <key>PayloadDisplayName</key>
            <string>Okta Verify Sign-On Extensions Payload</string>
            <key>PayloadIdentifier</key>
            <string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
            <key>PayloadOrganization</key>
            <string>CUSTOMER NAME</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string>Okta PSSO extension configuration</string>
    <key>PayloadDisplayName</key>
    <string>Okta PSSO extension</string>
    <key>PayloadIdentifier</key>
    <string>com.customer-name.profiles.ssoextension</string>
    <key>PayloadOrganization</key>
    <string>CUSTOMER NAME</string>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>D78FE406-0C61-4007-8C51-FFA5FDE5F54B</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

Étapes suivantes

Soutenir vos utilisateurs de Desktop MFA macOS

Soutenir vos utilisateurs macOS