macOSデバイスのSSO拡張機能を構成する

Okta FastPassへのサインイン時に、一部のユーザーにはOkta Verifyを開くように求めるメッセージが表示されます。macOSが管理するデバイスでSafariブラウザーからアプリにアクセスする場合に、認証フローでこのメッセージを省略するには、シングルサインオン（SSO）拡張機能プロファイルを作成する必要があります。SSO拡張機能は、ブラウザーまたはアプリからのリクエストをOkta Verifyに転送するため、Okta Verifyを開くように求めるブラウザープロンプトは表示されません。

ユーザーがmacOSデバイスでSSO拡張機能を構成せずにSafariブラウザーまたはネイティブアプリでOkta FastPassを使ってサインインする場合は、このメッセージは表示されます。

デバイスが管理対象であるかどうかに関係なく、ChromeやFirefoxなどのブラウザーを使用する場合は、SSO拡張機能を構成しなくてもOkta Verifyを開くように求めるプロンプトを省略できます。

開始する前に

• デバイスが管理対象であることを確認します。
• デバイスにmacOS Catalina以降が搭載されている必要があります。
• SSO拡張機能は、ChromeまたはFirefoxではサポートされません。
• 次のリソースを確認します。
  • Jamf Pro：コンピューター構成プロファイル
  • Apple：Appleデバイスの拡張シングルサインオンMDMペイロードの設定、Extensible Enterprise SSOの紹介

このタスクを開始する

1. モバイルデバイス管理（MDM）ソフトウェアでSSO拡張機能プロファイルを作成します。「Jamf ProでSSO機能拡張プロファイルを作成する」を参照してください。

2. Okta FastPassにパスワードなしの認証エクスペリエンスを構成します。「Okta FastPassを構成する」を参照してください。

   次の表は、Okta FastPassエクスペリエンスがサポートされるケースの詳細を示しています。

   ブラウザーまたはアプリ	管理対象のデバイス + SSO機能拡張が構成されている	管理対象のデバイス + SSOが構成されていない	管理対象外のデバイス
   Safari	はい	いいえ	いいえ
   ChromeとFirefox	はい* 注：Okta FastPassはサイレントトリガーできます。トリガーされないときは、ユーザーがブラウザープロンプトをクリックする必要があります。ユーザーは、Okta Verifyを開くように求めるプロンプトが表示されないようにすることができます。「［Open Okta Verify（Okta Verifyを開く）］プロンプトをスキップさせる」を参照してください。
   認証のためにデフォルトブラウザーにリダイレクトするネイティブアプリ（Slack、Zoom、Boxなど）。	はい。デバイスのデフォルトのブラウザーによって異なります（前の表の行を参照）。
   埋め込みWebViewを使用するネイティブアプリ（Apple WKWebViewやOffice 365など）	はい	いいえ	いいえ

   * サイレント認証が機能するには、Okta Verifyがバックグラウンドで稼働している必要があります。

Jamf ProでSSO機能拡張プロファイルを作成する

別のMDMソフトウェアを使用している場合は、「Appleデバイスの拡張シングルサインオンMDMペイロードの設定」を参照してください。この手順に示される構成値を使用してください。

1. Jamf Proで、［Computers（コンピューター）］>［Configuration Profiles（構成プロファイル）］に移動します。
2. ［+New（+新規作成）］をクリックします。
3. ［Options（オプション）］タブをクリックします。
4. 下にスクロールして、［Single Sign-On Extensions（シングルサインオン機能拡張）］をクリックします。
5. [+Add（+追加）]をクリックします。
6. ［Single Sign-on Extensions（シングルサインオン機能拡張）］ページで、次のように入力します。
   1. ［Extension Identifier（拡張機能の識別子）］：com.okta.mobile.auth-service-extensionと入力します。
   2. ［Team Identifier（チームの識別子）］：B7F62B65BNと入力します。
   3. ［Sign-On Type（サインオンのタイプ）］：［Credential（資格情報）］を選択します。
   4. ［Realm（レルム）］：Okta Deviceと入力します。
   5. ［Hosts（ホスト）］：Okta orgドメインを入力します。これは、Oktaアプリダッシュボードへのアクセス時にユーザーが入力するドメインです。例：acme.okta.com
   6. orgにカスタムURLドメインを実装する場合は、［+ Add（+追加）］をクリックして、カスタムURLドメインを入力します。プロトコルスキームを含めないでください。たとえば、https://は不要です。このステップが完了すると、ドメインはorg.example.comとid.example.comの2つになります。
   7. 管理のヒントを構成します。認証ポリシーでは、この構成が求められます。

7. ［Save（保存）］をクリックします。

トラブルシューティング

SSO機能拡張に障害が発生した場合、認証フローはサインインページにフォールバックします。SSO拡張機能のエラーは以下のような状況で発生する可能性があります。

• SSO機能拡張MDMプロファイルがインストールされていない。
• Jamf ProのSSO機能拡張プロファイルが正しく構成されていない。
• ユーザーが、Chrome（サイレントアクセスなし）またはFirefoxを介してOktaが保護するリソースへのアクセスを試行する。
• ユーザーが、管理対象外のデバイスからSafariを介してOktaが保護するリソースへのアクセスを試行する。
• 機能拡張の識別子が正しくない。
• ユーザーが、［Hosts（ホスト）］に構成されていないorgからのリソースへのアクセスを試行する。

関連項目

iOSデバイスのSSO拡張機能を構成する