Création d‘un compte local juste-à-temps pour macOS

La création d‘un compte local juste-à-temps permet aux utilisateurs de créer un compte sur un ordinateur macOS en utilisant leur nom d‘utilisateur Okta et mot de passe dans la fenêtre de connexion macOS. Les administrateurs peuvent rationaliser le processus de création de compte pour tout utilisateur Okta dans leur tenant, ce qui est particulièrement utile pour les appareils ou postes de travail partagés par plusieurs utilisateurs.

Cette fonctionnalité utilise Authentification unique sur la plateforme (SSO sur la plateforme), une partie du framework d‘identité de Apple.

Avant de commencer

  1. Vérifiez que le nom d'utilisateur Okta est au format e-mail. Consultez Créer une restriction de caractères personnalisée pour le nom d'utilisateur Okta. Les caractères non pris en charge par macOS, tels que le signe +, n'apparaissent pas dans le nom d'utilisateur.

  2. Assurez-vous que le prénom et nom de famille de l'utilisateur Okta sont renseignés. Les détails du compte macOS sont générés à partir de ces informations.

  3. Si votre org utilise un autre format pour les noms d'utilisateur, vous devez créer un attribut personnalisé pour le mappage du nom d'utilisateur.

    Par défaut, Okta username est utilisé en tant que nom d'utilisateur macOS. De même, la valeur Okta First name + Family name combinée est utilisée pour le nom d'affichage de l'utilisateur macOS.

    Toutefois, si votre org utilise un autre format pour le nom de compte et le nom d'affichage macOS, vous devez créer des attributs personnalisés pour ces mappages.

    Pour remplacer les valeurs par défaut, utilisez le Éditeur de profil pour ajouter et mapper des attributs personnalisés pour l'application.

    1. Si vous ne l'avez pas encore fait, ajoutez l'app SSO de plateforme pour macOS via l'Admin Console.

    2. Dans l'Admin Console, accédez à Directory > Éditeur de profil .

    3. Recherchez et ouvrez l'app SSO de plateforme de macOS.

    4. Cliquez sur Ajouter un attribut.

    5. Ajoutez un attribut de chaîne à utiliser comme nom d'utilisateur macOS  :

      1. Définissez les champs Nom d'affichage et Nom de variable à macOSAccountUsername.

      2. Définissez le champ Attribut requis sur Oui.

      3. Cliquez sur Enregistrer et Ajouter un autre.

    6. Ajoutez un autre attribut de chaîne appelé macOSAccountFullName. Okta utilise cet attribut en tant que nom d'affichage macOS.

    7. Cliquez sur Enregistrer.

    8. Cliquez sur Mappages et sélectionnez Configurer les mappages d'utilisateurs.

    9. Dans la boîte de dialogue Mappages du profil utilisateur, sélectionnez l'onglet Utilisateur Okta vers l'authentification unique de la plateforme pour macOS .

    10. Saisissez les mappages d'attributs suivants :

      • user.login : macOSAccountUsername

      • user.displayName : macOSAccountFullName

    11. Cliquez sur Enregistrer les mappages.

    Si vous souhaitez modifier davantage ces champs, vous pouvez choisir un autre attribut Okta ou ajouter une expression aux champs à l'aide de Langage d'expression Okta. Consultez Ajouter des attributs personnalisés aux applications, aux répertoires et aux fournisseurs d'identité et Mapper les attributs Okta aux attributs des applications dans Profile Editor.

Commencer cette tâche

Suivez ces étapes dans l'ordre pour éviter tout problème de configuration :

  1. Configurez les certificats d'accès à l'appareil. La création d‘un compte local JIT nécessite des certificats enrôlés à l‘aide du Simple Certificate Enrollment Protocol (SCEP).
  2. Configurez les profils de gestion des appareils pour la création de compte local juste-à-temps. Ajoutez ces valeurs à votre profil SSO sur la plateforme avant d‘utiliser la création de compte local JIT.
  3. Configurez l'appareil macOS à l'aide de la création de compte local JIT et transmettez-le à l'utilisateur.

Configurer les certificats Accès à l'appareil

Pour créer un compte local juste-à-temps pour macOS, vous devez enrôler des certificats client à l'aide de SCEP. Votre logiciel Gestion des appareils mobiles (MDM) déploie ces certificats. Ils sont utilisés pour accorder l'accès aux points de terminaison API et pour identifier l'appareil pour Okta lors des appels vers les points de terminaison API.

Passez en revue et terminez les étapes de la section Certificats d‘accès aux appareils, puis revenez ici pour continuer à activer la création de compte local JIT.

Configurez les profils de gestion des appareils pour la création de compte local juste-à-temps.

Pour utiliser la création de compte local JIT, vous devez apporter certaines modifications à la configuration de vos profils MDM existants. Dans ces instructions, nous partons du principe que vous utilisez Jamf Pro pour la gestion des appareils. Si vous utilisez une autre solution MDM, les noms des champs peuvent être différents.

  1. Dans votre MDM, repérez l'emplacement du profil PlatformSSO.

  2. Modifiez le profil et activez les éléments suivants :

    • Créer un nouvel utilisateur à la connexion : EnableCreateUserAtLogin

    • Mode d'autorisation des nouveaux utilisateurs : cette valeur détermine le type de privilège du compte en cours de création. Définissez le compte sur Admin ou Standard.

    • Utiliser des clés d'appareil partagées : UseSharedDeviceKeys

    • Mappage de l'utilisateur :

      • Définissez macOSAccountUsername comme AccountName

      • Utilisez macOSAccountFullName comme FullName

    • Jeton d'enregistrement : saisissez une valeur aléatoire. Cette valeur n'est pas utilisée car le profil utilise le certificat au lieu d'un jeton, mais vous devez remplir le champ.

  3. Localisez le profil de gestion des appareils pour le domaine com.okta.mobile.auth-service-extension.

  4. Modifiez le profil et ajoutez ce qui suit :

    <key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string>

  5. Enregistrez le profil.

  6. Si une option vous propose d'appliquer le profil mis à jour à vos utilisateurs, faites-le maintenant.

Consultez un exemple de profil SSO de plateforme Jamf avec les paramètres de création de compte local JIT à titre de référence.

Configurer le nouvel appareil pour la création de compte local JIT

Les appareils ou machines virtuelles approvisionnés à l‘aide de la création de compte local JIT doivent répondre aux exigences suivantes :

  • L'ordinateur exécute macOS 14 Sonoma ou une version ultérieure.

  • L'appareil est enrôlé dans une solution MDM avec prise en charge des jetons d'amorçage activée. Consultez Exploitation manuelle de la fonctionnalité de jeton d'amorçage Apple.

  • L'assistant de configuration est terminé et un compte administrateur local initial est créé.

  • Les profils SSO sur la plateforme MDM ont été envoyés vers la machine.

  • Des certificats enrôlés avec SCEP sont présents sur l'ordinateur.

  • Okta Verify pour macOS version 9.25.0 ou ultérieure est installé.

  • L'utilisateur existe dans Okta.

Une fois que les exigences de l'appareil sont remplies, un administrateur informatique effectue les étapes suivantes sur l'ordinateur :

  1. Connectez-vous au compte administrateur sur l'appareil. L'appareil est enregistré silencieusement à l'aide du certificat d'Accès à l'appareil pour authentifier l'identité de l'appareil et enrôler les clés SSO sur la plateforme.

  2. Vérifiez que l'appareil a bien été enregistré :

    • La notification Enregistrement requis apparaît et conseille à l'utilisateur de se connecter avec ses identifiants.

    • Exécutez app-sso platform -s dans une fenêtre macOS Terminal. En cas de réussite, cette opération doit renvoyer Device Configuration.registrationCompleted = true et l'objet Login Configuration n'est pas null.

  3. Si l'appareil n'a pas été enregistré avec succès, consultez les journaux Okta Verify pour trouver la raison de l'échec. Résolvez le problème et relancez le processus d'enregistrement de l'appareil en vous déconnectant et en vous reconnectant.

  4. Facultatif. Finalisez l'enregistrement de la Synchronisation de mots de passe de bureau (le compte de l'administrateur informatique est ainsi enrôlé dans Okta FastPass).

  5. Sur l'appareil macOS, ouvrez Réglages système > Utilisateurs et groupes. Vérifiez qu'il n'y a pas de comptes dupliqués portant des noms similaires sur l'ordinateur (par exemple, j.smith and jl.smith). Si des comptes supplémentaires sont trouvés, supprimez les utilisateurs supplémentaires et assurez-vous que les répertoires personnels sont supprimés de /Users/.

  6. Ouvrez Réglages système > Verrouiller l'écran > Lors du changement d'utilisateur > La fenêtre de connexion affiche > Nom et mot de passe. Ce paramètre permet au nom d'utilisateur d'apparaître dans la fenêtre de connexion macOS.

À ce stade, l'ordinateur est prêt à être transmis à l'utilisateur final.

Exemple de profil Jamf PlatformSSO

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>Configuration</key>
            <array>
                <dict>
                    <key>ApplicationIdentifier</key>
                    <string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
                    <key>AssociatedDomains</key>
                    <array>
                        <!-- replace accuhive.okta.com with your tenant address -->
                        <string>authsrv:accuhive.okta.com</string>
                    </array>
                </dict>
            </array>
            <key>PayloadDisplayName</key>
            <string>Associated Domains for Okta Verify</string>
            <key>PayloadIdentifier</key>
            <string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
            <key>PayloadOrganization</key>
            <string>CUSTOMER NAME</string>
            <key>PayloadType</key>
            <string>com.apple.associated-domains</string>
            <key>PayloadUUID</key>
            <string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
        </dict>
        <dict>
              <key>PlatformSSO</key>
                        <dict>
                            <key>AccountDisplayName</key>
                            <string>Actor</string>
                            <key>AuthenticationMethod</key>
                            <string>Password</string>
                            <key>EnableCreateUserAtLogin</key>
                            <true/>
                            <key>TokenToUserMapping</key>
                            <dict>
                                <key>AccountName</key>
                                <string>macOSAccountUsername</string>
                                <key>FullName</key>
                                <string>macOSAccountFullName</string>
                            </dict>
                            <key>UseSharedDeviceKeys</key>
                            <true/>
                        </dict>
                        <key>RegistrationToken</key>
                        <string>********</string>
            <key>ExtensionIdentifier</key>
            <string>com.okta.mobile.auth-service-extension</string>
            <key>Hosts</key>
            <array/>
            <key>TeamIdentifier</key>
            <string>B7F62B65BN</string>
            <key>Type</key>
            <string>Redirect</string>
            <key>URLs</key>
            <array>
                <!-- replace accuhive.okta.com with your tenant address -->
                <string>https://accuhive.okta.com/device-access/api/v1/nonce</string>
                <string>https://accuhive.okta.com/oauth2/v1/token</string>
            </array>
            <key>PayloadDisplayName</key>
            <string>Okta Verify Sign-On Extensions Payload</string>
            <key>PayloadIdentifier</key>
            <string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
            <key>PayloadOrganization</key>
            <string>CUSTOMER NAME</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string>Okta PSSO extension configuration</string>
    <key>PayloadDisplayName</key>
    <string>Okta PSSO extension</string>
    <key>PayloadIdentifier</key>
    <string>com.customer-name.profiles.ssoextension</string>
    <key>PayloadOrganization</key>
    <string>CUSTOMER NAME</string>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>D78FE406-0C61-4007-8C51-FFA5FDE5F54B</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>