管理対象のiOSデバイス向け資格情報SSO拡張機能を構成する

Identity EngineのDevice Trustでは、資格情報SSO拡張機能を使用してリクエストをブラウザーやアプリからOkta Verifyに転送し、管理対象のデバイスでエンド・ユーザーにシームレスなシングル・サインオン・エクスペリエンスを提供します。このトピックでは、VMware Workspace ONE UEM(AirWatch)を使用してSSO拡張機能を構成する方法について説明しますが、iOSでサポートされているほかのMDMでも機能する可能性が高いです。

開始する前に

以下を確認します:

この手順を開始する

  1. OktaをサードパーティーMDMプロバイダーに統合する

  2. VMware Workspace ONE UEMで、[デバイス] > [プロファイル]に移動します。
  3. [追加] > [プロファイルを追加]をクリックします。
  4. 設定を次のように構成します:

    タブ

    設定

    SSO機能拡張拡張機能のタイプ汎用
    拡張機能の識別子com.okta.mobile.auth-service-extension
    タイプ資格情報
    レルムOktaデバイス
    ホストプロトコル・スキームなしでOkta組織ドメインを入力します。たとえば、 https://yourdomain.example.comではなくyourdomain.example.comと入力します。
    追加設定
    • 証明書:[なし]を選択します。
    • カスタムXML: 以下の構文を使用して、Okta管理コンソールで生成した秘密鍵を入力します(モバイル・デバイスのデバイス管理を構成するを参照)。
      <dict><key>managementHint</key><string>enter-Secret-Key-here</string></dict>
    一般名前名前を入力します。
    デプロイ管理対象
    割り当てのタイプ自動
    削除の許可常時
    スマート・グループ

    パスワードなしの認証の対象となるエンド・ユーザーに適用可能な既存のスマート・グループを作成するか、以下を選択します:

    • ユーザー・グループ: 1つ以上のユーザー・グループを作成または選択します。
    • プラットフォームとオペレーティング・システム:Apple iOS 13.0.0以降
    除外なし

  5. 変更内容を保存して公開します。

SSO拡張機能に障害が発生した場合

何らかの理由でSSO拡張機能に障害が発生した場合、認証フローはユニバーサル・リンクにフォール・バックします。SSO拡張機能に障害が発生する原因は次のとおりです:

  • エンド・ユーザーがChromeまたはFirefoxを介して保護されたリソースへのアクセスを試行している
  • エンド・ユーザーが管理対象外のデバイスからSafariを介して保護されたリソースへのアクセスを試行している
  • SSO拡張機能MDMプロファイルがインストールされていない

エンド・ユーザーに「追加の設定が必要です」というメッセージが表示される

Okta Verifyがインストールされていても、まだMDMプロバイダーによって管理されていない場合、エンド・ユーザーに対して、Device Trustで保護されたアプリにアクセスする前に、アプリの管理プロセスに関する案内が表示されます。アプリの管理手順の完了後、エンド・ユーザーはアプリにアクセスする前に、組織からサインアウトして再度サインインする必要があります。

次の手順