Device TrustからOkta FastPassへの移行に関するよくある質問

いいえ。まずOkta Classic Engineからアップグレードします。次に、Okta Identity Engineで新しいDevice Trust設定とOkta FastPass設定を構成します。

Workspace ONE SAMLベースのモバイル向けDevice Trustを使ってorgを移行するプロセスは、Okta FastPassへのDevice Trustの移行とは若干異なります。Workspace ONE SAMLベースのモバイル向けDevice TrustをIdentity Engineにアップグレードするには、「Workspace ONE SAMLベースのモバイル向けDevice Trustを移行する」を参照してください。

Device Trust（Okta Classic Engine）はOkta Mobileを使用して、モバイルデバイスが信頼され、管理されていることを証明します。Okta Identity EngineはOkta Mobileをサポートしていないため、エンドユーザーはそれを使用してアプリにアクセスできなくなりました。代わりに、モバイルブラウザーのOkta End-User Dashboardからアプリにアクセスできます。

Device Trustは、デバイス管理を有効にします。Okta Classic Engineでは、Device Trustは証明書の存在によって確立され、Jamf（macOSの場合）およびActive Directory（Windowsの場合）に強い依存関係があります。Okta Identity Engineでは、Device Trustは引き続き証明書と連携しますが、Okta Verifyを使用し、すべてのMDMで動作します。エンドユーザーがOkta管理対象アプリにアクセスできるようになる前は、エンドポイント管理ツール（Jamf Pro Workspace ONEなど）がデバイスを管理します。Okta FastPassは、パスワードレス認証を有効化します。Device TrustとOkta FastPassを組み合わせて、管理対象の準拠デバイスで強力なパスワードレス認証を実現します。

Okta Verifyは、Okta Universal Directoryにデバイスを登録します。Okta Verifyは、デバイス上の管理証明書の存在を検出して、デバイスが管理されている、または信頼されていることを証明します。Okta FastPassには最新バージョンが必要です。

「Okta Classic orgでのOkta Device Trustソリューション」を参照してください。

Oktaアカウントチームに依頼して、Okta Identity Engine orgをOkta Classic Engine orgに戻すことができます。アップグレード前にOkta Classic Engine orgでプッシュとTOTPが有効になっていなかった場合でも、Okta Classic Engine orgに戻した後、これらの要素は有効なままになります。orgでOkta Verifyを無効化できます。［Security（セキュリティ）］［Multifactor（多要素）］［Factor Types（要素タイプ）］に移動し、［Okta Verify］を選択してから［Deactivate（非アクティブ化）］を選択します。

IWAはOkta Classic EngineのDevice Trustに使用されていたため、新しいプラットフォームから証明書が発行されるまでIWAエージェントはそのままです。

1. Okta Identity Engineで、［Security（セキュリティ）］［Device Integrations（デバイス統合）］に移動し、プラットフォームを構成します。
2. 認証局（CA）を構成します。
3. デバイス管理ソフトウェアに移動して、新しい証明書をすべてのデバイスにデプロイします。
4. Okta Verifyをすべてのデバイスにデプロイします。
5. IWAエージェントを削除します。
6. Okta Classic Engineプラットフォームを削除します。
7. Okta Classic Engine証明書をエンドユーザーデバイスから失効しないでください。

Okta Verifyをエンドユーザーデバイスにインストールし、ユーザーがOkta Verifyデスクトップアプリケーションを使用してアカウントを登録するまで、証明書は引き続き機能します。ユーザーがOkta Verifyアカウントを作成すると、認証局は新しい証明書を要求します。

既存の証明書は、ユーザーがデバイスにOkta Verifyをインストールして登録するまで引き続き機能します。信頼できるデバイスを使用する必要があるが、新しい証明書を持っていない場合、ユーザーはアプリにアクセスできません。

はい、できます。ただし、Oktaでは、IWAから離れて、新しい機能を使用する代わりにデバイス統合を使用することをお勧めします。

これにより、お客様は新しいプラットフォームへの移行中も機能を継続できます。

いいえ。ただし、Okta Verifyをデバイスにプッシュする前に、Oktaは新しい証明書のプッシュを要求します。この順序に従わない場合、ユーザーはDevice Trustで保護されたアプリケーションにアクセスできなくなります。

はい、デバイスにOkta Verifyをインストールして登録するまで、Oktaは古い証明書を使用します。

はい。アップグレード後にOkta Identity Engine Device Trustをデプロイするには、次の手順を実行します。

1. SCEP URLをセットアップします。
2. エンドポイント管理ソリューションを使用して、証明書がデバイスにプッシュされるようにします。
3. デバイスにOkta Verifyがあることを確認します。
4. アプリポリシーを適用します。
5. Okta Identity Engine Device Trustを検証します。
6. Okta Classic Engine Device Trustを廃止します。

Jamfでは再構成は必要ありません。

Okta Verifyは引き続き想定どおりに動作します。これは、再起動などの特定のアクションに対して再認証を促すようにJamf Connectを構成した場合に関連します。

Okta Identity Engineにアップグレードした後、Jamf ConnectでYubiKeyとWebAuthは機能しません。これは、Jamf ConnectがこれらのAuthenticatorをサポートしていないためです。

YubiKeyまたはWebAuthNを構成していた場合は、アップグレード後にOkta Verifyを構成してください。

いいえ。Okta Device Registration Taskとも呼ばれるPythonスクリプトは、Okta Identity Engineでは不要になりました。

Okta Identity EngineのDevice Trustはキーチェーンを使用します。クリアされた場合は、キーチェーンを再登録してください。

エンドポイント管理ソリューションを使用して、証明書をプッシュして検証できます。

新しいCAを構成し、その新しいCAを使用して証明書を発行します。Okta Identity Engineプラットフォームは、複数のCAおよびエンドポイント管理ソリューションの構成をサポートしています。既存のCAは再構成を必要としません。