デバイスの信頼からOkta FastPassへ
デバイスの信頼からOkta FastPassに自動的に移行する方法はありますか?
いいえ。まずOkta Classic Engineからアップグレードします。次に、Okta Identity Engineで新しいデバイスの信頼およびOkta FastPass設定を構成します。
Okta Identity Engineにアップグレードするときに、なぜモバイル向けデバイスの信頼をオフにする必要があるのですか?
デバイスの信頼(Okta Classic Engine)はOkta Mobileを使用して、モバイルデバイスが信頼され、管理されていることを証明します。Okta Identity EngineはOkta Mobileをサポートしていないため、エンドユーザーはそれを使用してアプリにアクセスできなくなりました。代わりに、モバイルブラウザーのOkta End-User Dashboardからアプリにアクセスできます。
Okta FastPassにはOkta デバイスの信頼が必要ですか?
デバイスの信頼は、デバイス管理を有効にします。Okta Classic Engineでは、デバイスの信頼は証明書の存在によって確立され、Jamf(macOSの場合)およびActive Directory(Windowsの場合)に強い依存関係があります。Okta Identity Engineでは、デバイスの信頼は引き続き証明書と連携しますが、Okta Verifyを使用し、すべてのMDMで動作します。エンドユーザーがOkta管理対象アプリにアクセスできるようになる前は、エンドポイント管理ツール(Jamf Pro Workspace ONEなど)がデバイスを管理します。Okta FastPassは、パスワードなし認証を有効化します。デバイスの信頼とOkta FastPassを組み合わせて、管理対象の準拠デバイスで強力なパスワードなし認証を入手します。
エンドユーザーに最新バージョンのOkta Verifyが必要なのはなぜですか?
Okta Verifyは、Okta Universal Directoryにデバイスを登録します。Okta Verifyは、デバイス上の管理証明書の存在を検出して、デバイスが管理されている、または信頼されていることを証明します。Okta FastPassには最新バージョンが必要です。
Okta Classic Engineのデバイスの信頼に関する詳細はどこで確認できますか?
「Okta Classic orgでのOkta デバイスの信頼ソリューション」を参照してください。
Okta Identity Engineにアップグレードした後、Okta Classic Engineに戻すことはできますか?
Oktaアカウントチームに依頼して、Okta Identity Engine orgをOkta Classic Engine orgに戻すことができます。アップグレード前にOkta Classic Engine orgでプッシュとTOTPが有効になっていなかった場合でも、Okta Classic Engine orgに戻した後、これらの要素は有効なままになります。orgでOkta Verifyを無効化できます。[Security(セキュリティ)] [Multifactor(多要素)]>[Factor Types(要素タイプ)]に移動し、[Okta Verify]を選択してから[Deactivate(非アクティブ化)]を選択します。
デスクトップ向けデバイスの信頼がOkta Classic Engineで設定されている場合、Okta Identity Engineでも設定するにはどうすればよいですか?
IWAはOkta Classic Engineのデバイスの信頼に使用されていたため、新しいプラットフォームから証明書が発行されるまでIWAエージェントはそのままです。
- Okta Identity Engineで、[Security(セキュリティ)]>[Device Integrations(デバイス統合)]に移動し、プラットフォームを構成します。
- 認証局(CA)を構成します。
- デバイス管理ソフトウェアに移動して、新しい証明書をすべてのデバイスにデプロイします。
- Okta Verifyをすべてのデバイスにデプロイします。
- IWAエージェントを削除します。
- Okta Classic Engineプラットフォームを削除します。
- Okta Classic Engine証明書をエンドユーザーデバイスから失効しないでください。
新しい証明書をデプロイした後、既存の証明書はどうなりますか?
Okta Verifyをエンドユーザーデバイスにインストールし、ユーザーがOkta Verifyデスクトップアプリケーションを使用してアカウントを登録するまで、証明書は引き続き機能します。ユーザーがOkta Verifyアカウントを作成すると、認証局は新しい証明書を要求します。
新しい証明書を管理対象デバイスにロールアウトしないとどうなりますか?
既存の証明書は、ユーザーがデバイスにOkta Verifyをインストールして登録するまで引き続き機能します。信頼できるデバイスを使用する必要があるが、新しい証明書を持っていない場合、ユーザーはアプリにアクセスできません。
新しいデバイスを持っている場合、デバイス登録タスクでIWAから証明書をプッシュできますか?
はい、できます。ただし、Oktaでは、IWAから離れて、新しい機能を使用する代わりにデバイス統合を使用することをお勧めします。
これにより、お客様は新しいプラットフォームへの移行中も機能を継続できます。
Okta Verifyがデバイスにプッシュされると、Okta Classic Engine デバイスの信頼は停止しますか?
いいえ。ただし、Okta Verifyをデバイスにプッシュする前に、Oktaは新しい証明書のプッシュを要求します。この順序に従わない場合、ユーザーはデバイスの信頼で保護されたアプリケーションにアクセスできなくなります。
macOSデバイス用Jamf Connect
古い証明書と新しい証明書の両方をデバイスに保存できますか?
はい、デバイスにOkta Verifyをインストールして登録するまで、Oktaは古い証明書を使用します。
Jamfで構成されたOkta Classic Engine デバイスの信頼は、アップグレード後も同じように機能しますか?
はい。アップグレード後にOkta Identity Engine デバイスの信頼をデプロイするには、次の手順を実行します。
- SCEP URLをセットアップします。
- エンドポイント管理ソリューションを使用して、証明書がデバイスにプッシュされるようにします。
- デバイスにOkta Verifyがあることを確認します。
- アプリポリシーを適用します。
- Okta Identity Engine デバイスの信頼を検証します。
- Okta Classic Engine デバイスの信頼を廃止します。
アップグレード中またはアップグレード後にJamf Connectの再構成は必要ですか?
Jamfでは再構成は必要ありません。
MFAは引き続きJamf Connectと連携しますか?
Okta Verifyは引き続き想定どおりに動作します。これは、再起動などの特定のアクションに対して再認証を促すようにJamf Connectを構成した場合に関連します。
Okta Identity Engineにアップグレードした後、Jamf ConnectでYubiKeyとWebAuthは機能しません。これは、Jamf Connectがこれらのオーセンティケーターをサポートしていないためです。
YubiKeyまたはWebAuthNを構成していた場合は、アップグレード後にOkta Verifyを構成してください。
Okta Identity Engine デバイスの信頼にはPythonスクリプトが必要ですか?
いいえ。Oktaデバイス登録タスクとも呼ばれるPythonスクリプトは、Okta Identity Engineでは不要になりました。
Okta Identity Engine デバイスの信頼に関連付けられたキーチェーンはありますか?
Okta Identity Engineデバイスの信頼はキーチェーンを使用します。クリアされた場合は、キーチェーンを再登録してください。
Okta Verifyをインストールする前に、プッシュされた証明書を確認するにはどうすればよいですか?
エンドポイント管理ソリューションを使用して、証明書をプッシュして検証できます。
デバイスの信頼用のCAを構成した後、それを変更できますか?
新しいCAを構成し、その新しいCAを使用して証明書を発行します。Okta Identity Engineプラットフォームは、複数のCAおよびエンドポイント管理ソリューションの構成をサポートしています。既存のCAは再構成を必要としません。