管理対象のmacOSデバイス向けSSO機能拡張を構成する
管理対象デバイスで、Safariやアプリ内ブラウザーで認証する最もセキュアでシームレスな方法はAppleのSSO拡張機能です。SSO拡張機能は[Open Okta Verify(Okta Verifyを開く)]ブラウザープロンプトを非表示にし、フィッシング耐性プロパティを認証フローに導入します。
SSO拡張機能は、ChromeまたはFirefoxではサポートされていません。これらのブラウザーはローカルWebサーバーを使用してOkta Verifyと通信し、[Open Okta Verify(Okta Verifyを開く)]プロンプトを非表示にしたり、フィッシング耐性を有効にしたりするのにSSO拡張機能は必要ありません。
はじめに
下記の条件を満たしていることを確認してください。
- デバイスが管理対象になっている。
- デバイスがサポートされているオペレーティングシステム上にある。詳細については、「サポートされているプラットフォーム、ブラウザ、オペレーティングシステム」を参照してください。
- Oktaは動的SCEPチャレンジのある認証局として構成されています。「Jamf Proを使用して、macOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する」を参照してください。
- 以下のリソースに精通している:
Jamf ProでSSO機能拡張プロファイルを作成する
別のMDMソフトウェアを使用している場合は、「Appleデバイスの拡張シングルサインオンMDMペイロードの設定」を参照してください。この手順に示される構成値を使用してください。
- Jamf Proで、に移動します。
- [+New(+新規作成)]をクリックします。
- [Options(オプション)]タブをクリックします。
- 下にスクロールして、[Single Sign-On Extensions(シングルサインオン機能拡張)]をクリックします。
- [+Add(+追加)]をクリックします。
- [Single Sign-on Extensions(シングルサインオン機能拡張)]ページで、次のように入力します。
- [Extension Identifier(拡張機能の識別子)]:com.okta.mobile.auth-service-extensionと入力します。
- [Team Identifier(チームの識別子)]:B7F62B65BNと入力します。
- [Sign-On Type(サインオンのタイプ)]:[Credential(資格情報)]を選択します。
- [Realm(レルム)]:Okta Deviceと入力します。
- [Hosts(ホスト)]:Okta orgドメインを入力します。例:acme.okta.com
- orgにカスタムURLドメインを実装する場合は、[+ Add(+追加)]をクリックして、カスタムURLドメインを入力します。https://や他のプロトコルスキームを含めないでください。このステップが完了すると、ドメインはacme.okta.comとid.acmecorp.bizの2つになります。
-
[Save(保存)]をクリックします。
SSO機能拡張に障害が発生した場合、認証フローはサインインページにフォールバックします。SSO拡張機能のエラーは以下のような状況で発生する可能性があります。
- SSO機能拡張MDMプロファイルがインストールされていない。
- Oktaが動的SCEPのある認証局として構成されていない。
- Jamf ProのSSO機能拡張プロファイルが正しく構成されていない。
- ユーザーが、Chrome(サイレントアクセスなし)またはFirefoxを介してOktaが保護するリソースへのアクセスを試行する。
- ユーザーが、管理対象外のデバイスからSafariまたはネイティブアプリWebViewを介してOktaが保護するリソースへのアクセスを試行する。
- 機能拡張の識別子が正しくない。
- ユーザーが、[Hosts(ホスト)]に構成されていないorgからのリソースへのアクセスを試行する。