Device TrustからOkta FastPass

Device TrustからOkta FastPassに自動的に移行する方法はありますか?

いいえ。まずOkta Classic Engineからアップグレードします。次に、Okta Identity Engineで新しいDevice TrustおよびOkta FastPass設定を構成します。

Okta Identity Engineにアップグレードするときに、なぜモバイル向けDevice Trustをオフにする必要があるのですか?

Device TrustOkta Classic Engine)はOkta Mobileを使用して、モバイルデバイスが信頼され、管理されていることを証明します。Okta Identity EngineOkta Mobileをサポートしていないため、エンドユーザーはそれを使用してアプリにアクセスできなくなりました。代わりに、モバイルブラウザーのOkta End-User Dashboardからアプリにアクセスできます。

Okta FastPassにはOkta Device Trustが必要ですか?

Device Trustは、デバイス管理を有効にします。Okta Classic Engineでは、Device Trustは証明書の存在によって確立され、Jamf(macOSの場合)およびActive Directory(Windowsの場合)に強い依存関係があります。Okta Identity Engineでは、Device Trustは引き続き証明書と連携しますが、Okta Verifyを使用し、すべてのMDMで動作します。エンドユーザーがOkta管理対象アプリにアクセスできるようになる前は、エンドポイント管理ツール(Jamf Pro Workspace ONEなど)がデバイスを管理します。Okta FastPassは、パスワードなし認証を有効化します。Device TrustOkta FastPassを組み合わせて、管理対象の準拠デバイスで強力なパスワードなし認証を入手します。

エンドユーザーに最新バージョンのOkta Verifyが必要なのはなぜですか?

Okta Verifyは、Okta Universal Directoryにデバイスを登録します。Okta Verifyは、デバイス上の管理証明書の存在を検出して、デバイスが管理されている、または信頼されていることを証明します。Okta FastPassには最新バージョンが必要です。

Okta Classic EngineDevice Trustに関する詳細はどこで確認できますか?

Okta Identity Engineにアップグレードした後、Okta Classic Engineに戻すことはできますか?

Oktaアカウントチームに依頼して、Okta Identity Engine orgをOkta Classic Engine orgに戻すことができます。アップグレード前にOkta Classic Engine orgでプッシュとTOTPが有効になっていなかった場合でも、Okta Classic Engine orgに戻した後、これらの要素は有効なままになります。orgでOkta Verifyを無効化できます。[Security(セキュリティ)] [Multifactor(多要素)]>[Factor Types(要素タイプ)]に移動し、[Okta Verify]を選択してから[Deactivate(非アクティブ化)]を選択します。

デスクトップ向けDevice TrustOkta Classic Engineで設定されている場合、Okta Identity Engineでも設定するにはどうすればよいですか?

IWAはOkta Classic EngineDevice Trustに使用されていたため、新しいプラットフォームから証明書が発行されるまでIWAエージェントはそのままです。

  1. Okta Identity Engineで、[Security(セキュリティ)]>[Device Integrations(デバイス統合)]に移動し、プラットフォームを構成します。
  2. 認証局(CA)を構成します。
  3. デバイス管理ソフトウェアに移動して、新しい証明書をすべてのデバイスにデプロイします。
  4. Okta Verifyをすべてのデバイスにデプロイします。
  5. IWAエージェントを削除します。
  6. Okta Classic Engineプラットフォームを削除します。
  7. Okta Classic Engine証明書をエンドユーザーデバイスから失効しないでください。

新しい証明書をデプロイした後、既存の証明書はどうなりますか?

Okta Verifyをエンドユーザーデバイスにインストールし、ユーザーがOkta Verifyデスクトップアプリケーションを使用してアカウントを登録するまで、証明書は引き続き機能します。ユーザーがOkta Verifyアカウントを作成すると、認証局は新しい証明書を要求します。

新しい証明書を管理対象デバイスにロールアウトしないとどうなりますか?

既存の証明書は、ユーザーがデバイスにOkta Verifyをインストールして登録するまで引き続き機能します。信頼できるデバイスを使用する必要があるが、新しい証明書を持っていない場合、ユーザーはアプリにアクセスできません。

新しいデバイスを持っている場合、デバイス登録タスクでIWAから証明書をプッシュできますか?

はい、できます。ただし、Oktaでは、IWAから離れて、新しい機能を使用する代わりにデバイス統合を使用することをお勧めします。

これにより、お客様は新しいプラットフォームへの移行中も機能を継続できます。

Okta Verifyがデバイスにプッシュされると、Okta Classic Engine Device Trustは停止しますか?

いいえ。ただし、Okta Verifyをデバイスにプッシュする前に、Oktaは新しい証明書のプッシュを要求します。この順序に従わない場合、ユーザーはDevice Trustで保護されたアプリケーションにアクセスできなくなります。

macOSデバイス用Jamf Connect

古い証明書と新しい証明書の両方をデバイスに保存できますか?

はい、デバイスにOkta Verifyをインストールして登録するまで、Oktaは古い証明書を使用します。

Jamfで構成されたOkta Classic Engine Device Trustは、アップグレード後も同じように機能しますか?

はい。アップグレード後にOkta Identity Engine Device Trustをデプロイするには、次の手順を実行します。

  1. SCEP URLをセットアップします。
  2. エンドポイント管理ソリューションを使用して、証明書がデバイスにプッシュされるようにします。
  3. デバイスにOkta Verifyがあることを確認します。
  4. アプリポリシーを適用します。
  5. Okta Identity Engine Device Trustを検証します。
  6. Okta Classic Engine Device Trustを廃止します。

アップグレード中またはアップグレード後にJamf Connectの再構成は必要ですか?

Jamfでは再構成は必要ありません。

MFAは引き続きJamf Connectと連携しますか?

Okta Verifyは引き続き想定どおりに動作します。これは、再起動などの特定のアクションに対して再認証を促すようにJamf Connectを構成した場合に関連します。

Okta Identity Engineにアップグレードした後、Jamf ConnectでYubiKeyとWebAuthは機能しません。これは、Jamf Connectがこれらのオーセンティケーターをサポートしていないためです。

YubiKeyまたはWebAuthNを構成していた場合は、アップグレード後にOkta Verifyを構成してください。

Okta Identity Engine Device TrustにはPythonスクリプトが必要ですか?

いいえ。Okta Device Registration Taskとも呼ばれるPythonスクリプトは、Okta Identity Engineでは不要になりました。

Okta Identity Engine Device Trustに関連付けられたキーチェーンはありますか?

Okta Identity EngineDevice Trustはキーチェーンを使用します。クリアされた場合は、キーチェーンを再登録してください。

Okta Verifyをインストールする前に、プッシュされた証明書を確認するにはどうすればよいですか?

エンドポイント管理ソリューションを使用して、証明書をプッシュして検証できます。

Device Trust用のCAを構成した後、それを変更できますか?

新しいCAを構成し、その新しいCAを使用して証明書を発行します。Okta Identity Engineプラットフォームは、複数のCAおよびエンドポイント管理ソリューションの構成をサポートしています。既存のCAは再構成を必要としません。

関連項目

Okta Device Trust