macOSデバイスでシームレスなSSO Okta FastPassエクスペリエンスを構成する

構成に応じて、エンドユーザーはシームレスまたは非シームレスのOkta FastPassエクスペリエンスを利用できます。

  • シームレス:エンドユーザーに追加のOkta Verifyブラウザープロンプトが表示されることはありません。Okta Verifyは、ユーザーがアクセスを必要とするorgまたはアプリケーションにアクセスすると、ユーザーに自動でサインインするか、Touch IDの入力を求めます。

  • 非シームレス(デフォルト):エンドユーザーは、Okta Verifyでサインインする前に追加のブラウザープロンプトをクリックする必要があります。例:

  • この画像は、Okta Verifyのブラウザープロンプトの例を示しています。

    この画像は、Okta Verifyのブラウザープロンプトの例を示しています。

ブラウザーまたはアプリからOkta Verifyにリクエストを自動的に転送するSSO機能拡張プロファイルを作成することで、管理対象デバイスのエンドユーザーにシームレスなシングルサインオン(SSO)エクスペリエンスを提供できます。

ChromeやFirefoxなどのSafari以外のブラウザーでは、管理対象または非管理対象のmacOSデバイスでシームレスなSSO Okta FastPassエクスペリエンスをサポートするために追加の構成は必要ありません。

開始する前に

下記の条件を満たしていることを確認してください。

この手順を開始する

  1. モバイルデバイス管理(MDM)ソフトウェアでSSO機能拡張プロファイルを作成して、Safariおよびネイティブアプリでのエンドユーザーエクスペリエンスを最適化します。

  2. 「Jamf ProでSSO機能拡張プロファイルを作成する」を参照してください。

  3. 任意。Okta FastPassを構成して、Chromeでのエンドユーザーのパスワードなしの認証エクスペリエンスを最適化します。

    「Okta FastPassを構成する」を参照してください。

    次の表は、Okta FastPassエクスペリエンスがサポートされるケースの詳細を示しています。

    ブラウザーまたはアプリ

    管理対象のデバイス + SSO機能拡張が構成されている

    管理対象のデバイス + SSOが構成されていない

    非管理対象のデバイス

    Safari

    はい

    いいえ

    いいえ

    ChromeとFirefox

    はい*

    注:Okta FastPassは、自動的にトリガーすることも、エンドユーザーがブラウザープロンプトをクリックするように要求することもできます。エンドユーザーが[Open Okta Verify(Okta Verifyを開きますか)]プロンプトを表示できないようにする方法については、「ユーザーが[Open Okta Verify(Okta Verifyを開きますか)]プロンプトをスキップできるようにする」を参照してください。

    認証のためにデフォルトのブラウザーにリダイレクトするネイティブアプリ(Slack、Zoom、Boxなど)

    はい。デバイスのデフォルトのブラウザーによって異なります(前の表の行を参照)。

    埋め込みWebViewを使用するネイティブアプリ(Apple WKWebViewやOffice 365など)

    はい

    いいえ

    いいえ

    * シームレスなエンドユーザーエクスペリエンスを実現するには、Okta Verifyがバックグラウンドで実行されている必要があります。

Jamf ProでSSO機能拡張プロファイルを作成する

OktaではJamf Proを使用してこの構成をテストしましたが、macOSでサポートされているほかのモバイルデバイス管理(MDM)ソフトウェアも機能するはずです。

異なるMDMソフトウェアを使用している場合は、「Extensible Single Sign-On MDM payload settings for Apple devices」で構成のサポートを確認し、この手順で説明する構成値を使用してください。

  1. Jamf Proで、[Computers(コンピューター)]>[Configuration Profiles(構成プロファイル)]に移動します。
  2. [+New(+新規作成)]をクリックします。
  3. [Options(オプション)]タブをクリックします。
  4. 下にスクロールして、[Single Sign-On Extensions(シングルサインオン機能拡張)]をクリックします。
  5. [+Add(+追加)]をクリックします。
  6. [Single Sign-on Extensions(シングルサインオン機能拡張)]ページで、次のように入力します。
    1. [Extension Identifier(拡張機能の識別子)]com.okta.mobile.auth-service-extensionと入力します。
    2. [Team Identifier(チームの識別子)]B7F62B65BNと入力します。
    3. [Sign-On Type(サインオンのタイプ)][Credential(資格情報)]を選択します。
    4. [Realm(レルム)]Okta Deviceと入力します。
    5. [Hosts(ホスト)]:Okta orgドメインを入力します。例:acme.okta.com
    6. orgにカスタムURLドメインを実装する場合は、[+ Add(+追加)]をクリックして、カスタムURLドメインを入力します。プロトコルスキームを含めないでください(例:https://を含めないでください)。完了すると、次の2つのドメインが作成されます。

      • org.example.com
      • id.example.com

  1. [Save(保存)]をクリックします。

SSO機能拡張に障害が発生した場合、認証フローはサインインページにフォールバックします。SSO機能拡張が失敗する原因は次のとおりです。

  • SSO機能拡張MDMプロファイルがインストールされていない
  • Jamf ProのSSO機能拡張プロファイルが正しく構成されていない
  • エンドユーザーがChrome(サイレントアクセスなし)またはFirefoxを介して保護されたリソースへのアクセスを試行した
  • エンドユーザーが管理対象外のデバイスからSafariを介して保護されたリソースへのアクセスを試行した
  • 機能拡張の識別子が正しくない
  • エンドユーザーがアクセスしようとしているorgが[Hosts(ホスト)]で構成されていない

関連項目