iOSデバイスのSSO拡張機能を構成する

管理対象のiOSデバイスで、SSO拡張機能プロファイルを作成し、サインインプロンプトを表示しないOkta FastPass認証を有効にする必要があります。

SSO拡張機能は、ブラウザーまたはアプリからOkta Verifyにリクエストを転送するため、ユーザーはOkta Verifyを開くよう求められません。

開始する前に

お使いの環境が以下の条件を満たしていることを確認します。

このタスクを開始する

  1. OktaをMDMソフトウェアと統合します。「OktaとMDMソフトウェアを統合する」を参照してください。

  2. Workspace ONEで、[RESOURCES(リソース)][Profiles & Baselines(プロファイルとベースライン)][Profiles(プロファイル)]をクリックします。

  3. [ADD(追加)]をクリックし、[Add Profile(プロファイルを追加)]を選択します。

  4. [Apple iOS]をクリックします。

  5. Workspace ONE統合エンドポイント管理(UEM)ツールで、[Devices(デバイス)][Profiles(プロファイル)]に移動します。

  6. [Device Profile(デバイスプロファイル)]をクリックします。

  7. 次の設定を構成します。

    タブ

    設定

    SSO Extension(SSO機能拡張) Extension Type(拡張機能のタイプ) 汎用
    Extension Identifier(拡張機能の識別子) com.okta.mobile.auth-service-extension

    Team Identifier(チーム識別子)

    Appleによって生成されたSSOアプリ拡張機能の10文字のチーム識別子を入力します。

    B7F62B65BN

    Type(タイプ) 資格情報
    Realm(領域) Oktaデバイス

    Hosts(ホスト)

    プロトコルスキームなしでOkta orgドメインを入力します。

    たとえば、https://yourdomain.example.comではなくyourdomain.example.comと入力します。

    Additional Settings(追加設定)

    • [Certificate(証明書)]:[None(なし)]を選択します。
    • [Custom XML(カスタムXML)]: 以下の構文を使用して、Okta Admin Consoleで生成した秘密鍵を入力します(「モバイルデバイスのデバイス管理を構成する」を参照)。

      <dict><key>managementHint</key><string>enter-Secret-Key-here</string></dict>

    • その他の構成設定については、「iOSデバイス向けのOkta Verify構成」を参照してください。

    General(一般) Name(名前) プロファイルを識別する名前を入力します。
    Deployment(デプロイ) 管理対象
    Assignment Type(割り当てのタイプ) 自動
    Allow Removal(削除の許可) 常に

    Smart Groups(スマートグループ)

    パスワードレス認証の対象となるユーザーに適用可能な既存のスマートグループを作成するか、以下を選択します:

    • [User Group(ユーザーグループ)]:1つ以上のユーザーグループを作成または選択します。
    • [Platform and Operating System(プラットフォームとオペレーティングシステム)]:Apple iOS 13.0.0以降
    Exclusions(除外) いいえ
  8. 変更内容を保存して公開します。

SSO機能拡張のエラー

SSO拡張機能でエラーが発生する場合は、ディープリンクをクリックしてOkta Verifyを開きます。SSO拡張機能のエラーは以下のような状況で発生する可能性があります。

  • ユーザーがWebViewを使用するブラウザーまたはアプリからOktaによって保護されているリソースにアクセスしようとする。

  • SSO機能拡張MDMプロファイルがインストールされていない。

ユーザーエクスペリエンス

Okta Verifyがインストールされているものの、MDMソフトウェアによって管理されていない場合は、「追加のセットアップが必要です」というメッセージがユーザーに表示されます。ユーザーはウィザードに従ってデバイス管理をセットアップできます。

ユーザーがこの手順を完了したら、Oktaによって保護されているアプリにアクセスする前に、orgからサインアウトし、もう一度サインインする必要があります。

次の手順

モバイル用の認証ポリシールールを追加する