macOSデバイスでシームレスなSSO Okta FastPassエクスペリエンスを構成する
構成に応じて、エンドユーザーはシームレスまたは非シームレスのOkta FastPassエクスペリエンスを利用できます。
-
シームレス:エンドユーザーに追加のOkta Verifyブラウザープロンプトが表示されることはありません。Okta Verifyは、ユーザーがアクセスを必要とするorgまたはアプリケーションにアクセスすると、ユーザーに自動でサインインするか、Touch IDの入力を求めます。
-
非シームレス(デフォルト):エンドユーザーは、Okta Verifyでサインインする前に追加のブラウザープロンプトをクリックする必要があります。例:
ブラウザーまたはアプリからOkta Verifyにリクエストを自動的に転送するSSO機能拡張プロファイルを作成することで、管理対象デバイスのエンドユーザーにシームレスなシングルサインオン(SSO)エクスペリエンスを提供できます。
ChromeやFirefoxなどのSafari以外のブラウザーでは、管理対象または非管理対象のmacOSデバイスでシームレスなSSO Okta FastPassエクスペリエンスをサポートするために追加の構成は必要ありません。
開始する前に
下記の条件を満たしていることを確認してください。
- デバイスが管理対象になっている。
- デバイスでmacOS Catalina以降が実行されている。
- ブラウザーはサファリである。SSO拡張機能は、ChromeまたはFirefoxではサポートされていません。
- 以下のドキュメントに精通している:
この手順を開始する
-
モバイルデバイス管理(MDM)ソフトウェアでSSO機能拡張プロファイルを作成して、Safariおよびネイティブアプリでのエンドユーザーエクスペリエンスを最適化します。
-
任意。Okta FastPassを構成して、Chromeでのエンドユーザーのパスワードなしの認証エクスペリエンスを最適化します。
「Okta FastPassを構成する」を参照してください。
次の表は、Okta FastPassエクスペリエンスがサポートされるケースの詳細を示しています。
ブラウザーまたはアプリ
管理対象のデバイス + SSO機能拡張が構成されている
管理対象のデバイス + SSOが構成されていない
非管理対象のデバイス
Safari
はい
いいえ
いいえ
ChromeとFirefox
はい*
注:Okta FastPassは、自動的にトリガーすることも、エンドユーザーがブラウザープロンプトをクリックするように要求することもできます。エンドユーザーが[Open Okta Verify(Okta Verifyを開きますか)]プロンプトを表示できないようにする方法については、「ユーザーが[Open Okta Verify(Okta Verifyを開きますか)]プロンプトをスキップできるようにする」を参照してください。
認証のためにデフォルトのブラウザーにリダイレクトするネイティブアプリ(Slack、Zoom、Boxなど)
はい。デバイスのデフォルトのブラウザーによって異なります(前の表の行を参照)。
埋め込みWebViewを使用するネイティブアプリ(Apple WKWebViewやOffice 365など)
はい
いいえ
いいえ
* シームレスなエンドユーザーエクスペリエンスを実現するには、Okta Verifyがバックグラウンドで実行されている必要があります。
「Jamf ProでSSO機能拡張プロファイルを作成する」を参照してください。
Jamf ProでSSO機能拡張プロファイルを作成する
OktaではJamf Proを使用してこの構成をテストしましたが、macOSでサポートされているほかのモバイルデバイス管理(MDM)ソフトウェアも機能するはずです。
異なるMDMソフトウェアを使用している場合は、「Extensible Single Sign-On MDM payload settings for Apple devices」で構成のサポートを確認し、この手順で説明する構成値を使用してください。
- Jamf Proで、[Computers(コンピューター)]>[Configuration Profiles(構成プロファイル)]に移動します。
- [+New(+新規作成)]をクリックします。
- [Options(オプション)]タブをクリックします。
- 下にスクロールして、[Single Sign-On Extensions(シングルサインオン機能拡張)]をクリックします。
- [+Add(+追加)]をクリックします。
- [Single Sign-on Extensions(シングルサインオン機能拡張)]ページで、次のように入力します。
- [Extension Identifier(拡張機能の識別子)]:com.okta.mobile.auth-service-extensionと入力します。
- [Team Identifier(チームの識別子)]:B7F62B65BNと入力します。
- [Sign-On Type(サインオンのタイプ)]:[Credential(資格情報)]を選択します。
- [Realm(レルム)]:Okta Deviceと入力します。
- [Hosts(ホスト)]:Okta orgドメインを入力します。例:acme.okta.com
- org.example.com
- id.example.com
orgにカスタムURLドメインを実装する場合は、[+ Add(+追加)]をクリックして、カスタムURLドメインを入力します。プロトコルスキームを含めないでください(例:https://を含めないでください)。完了すると、次の2つのドメインが作成されます。
-
[Save(保存)]をクリックします。
SSO機能拡張に障害が発生した場合、認証フローはサインインページにフォールバックします。SSO機能拡張が失敗する原因は次のとおりです。
- SSO機能拡張MDMプロファイルがインストールされていない
- Jamf ProのSSO機能拡張プロファイルが正しく構成されていない
- エンドユーザーがChrome(サイレントアクセスなし)またはFirefoxを介して保護されたリソースへのアクセスを試行した
- エンドユーザーが管理対象外のデバイスからSafariを介して保護されたリソースへのアクセスを試行した
- 機能拡張の識別子が正しくない
- エンドユーザーがアクセスしようとしているorgが[Hosts(ホスト)]で構成されていない