管理対象のmacOSデバイスのSSO拡張機能を構成する

注意:

Okta FastPassは、Appleシングルサインオン（SSO）拡張機能なしで、macOS上のSafariとネイティブアプリのフィッシング耐性をサポートするようになりました。

Oktaサポートから指示があった場合を除いて、 SSO拡張機能を構成する必要はなくなりました。

管理対象デバイスで、Safariやアプリ内ブラウザーで認証する最もセキュアでシームレスな方法は、AppleのSSO拡張機能です。このSSO拡張機能はOkta Verifyを開く（Open Okta Verify）ブラウザープロンプトを非表示にし、フィッシング耐性プロパティを認証フローに導入します。

注:

SSO拡張機能は、Mozilla FirefoxやChromeリリース146より以前のGoogle Chromeブラウザーではサポートされません。

これらのブラウザーはローカルWebサーバーを使用してOkta Verifyと通信するため、Okta Verifyを開く（Open Okta Verify）プロンプトを非表示にしたり、フィッシング耐性を有効にしたりするのにSSO拡張機能は必要ありません。

macOSのChrome向けSSO拡張機能サポート（SSO extension support for Chrome on macOS）早期アクセス機能を有効にすると、Chrome 146以降でSSO拡張機能がサポートされるようになります。

開始する前に

下記の条件を満たしていることを確認してください。

デバイスが管理対象になっている。
サポートされるオペレーティングシステムにデバイスがある。「サポートされているプラットフォーム、ブラウザー、オペレーティングシステム」を参照してください。
Oktaは動的SCEPチャレンジのある認証局として構成されます。Okta「Jamf Proを使用して、macOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する」を参照してください。
以下のリソースに精通している：
- Jamf Pro：コンピューター構成プロファイル
- Apple：Appleデバイスの拡張シングルサインオンMDMペイロードの設定、Extensible Enterprise SSOの紹介

SSO拡張機能はJamf ProまたはMicrosoft Endpoint Managerで作成できます。

でSSO機能拡張プロファイルを作成するJamf Pro
でSSO機能拡張プロファイルを作成するMicrosoft Endpoint Manager

別のMDMソフトウェアを使用している場合は、「Appleデバイスの拡張シングルサインオンMDMペイロードの設定」を参照してください。この手順に示される構成値を使用します。

Jamf ProでSSO機能拡張プロファイルを作成する

Jamf Proでコンピューター（Computers） > 構成プロファイル（Configuration Profiles）に移動します。
新規作成（+ New）をクリックします。
オプション（Options）タブをクリックします。
下にスクロールして、シングルサインオン機能拡張（Single Sign-On Extensions）をクリックします。
+追加（+Add）をクリックします。
シングルサインオン機能拡張（Single Sign-on Extensions）ページで次のフィールドを構成します。
- 機能拡張の識別子（Extension Identifier）：com.okta.mobile.auth-service-extension
- チームの識別子（Team Identifier）：B7F62B65BN
- サインオンのタイプ（Sign-On Type）：資格情報（Credential）
- レルム（Realm）：Okta Device
- ホスト（Hosts）：Okta orgドメイン（例：acme.okta.com）
- orgにカスタムURLドメインを使用する場合は、+ 追加（+ Add）をクリックし、カスタムURLドメインを入力します。https://や他のプロトコルプレフィックスを含めないでください。
  
  このステップが完了すると、ドメインは2つになります（例：acme.okta.comとid.acmecorp.biz）。
保存（Save）をクリックします。

Microsoft Endpoint ManagerでSSO機能拡張プロファイルを作成する

Microsoft Endpoint Manager管理センターで、デバイス（Devices）に移動します。
構成プロファイル（Configuration Profiles）をクリックします。
+プロファイルの作成（+ Create profile）をクリックします。
基本（Basics）ページで次のように入力します。
- プラットフォーム（Platform）：［macOS］macOS
- プロファイルの種類（Profile Type）：設定カタログ（Settings catalog）を選択し、作成（Create）をクリックします。
追加（+Add）をクリックします。
基本（Basics）ページで次のように入力します。
- 名前（Name）：プロファイルの名前（例：macOS seamless SSO）を入力します。
- 説明（Description）：必要に応じてプロファイルの説明を入力します。
- プラットフォーム（Platform）： macOS に事前設定されています。
構成設定（Configuration settings）ページで、+ 設定追加（+Add settings）をクリックし、設定ピッカー（Settings picker）で次の情報を入力します。
- 認証（Authentication） > 拡張シングルサインオン（SSO）（Extensible Single Sign On (SSO)）を選択します。
- 次の設定を選択します：拡張機能の識別子（Extension Identifier）、チーム識別子（Team Identifier）、サインオンのタイプ（Sign-On Type）、レルム（Realm）、ホスト（Hosts）。
設定ピッカー（Settings picker）を閉じます。
シングルサインオン機能拡張（Single Sign-on Extensions）ページで次のフィールドを構成します。
- 機能拡張の識別子（Extension Identifier）：com.okta.mobile.auth-service-extension
- チームの識別子（Team Identifier）：B7F62B65BN
- サインオンのタイプ（Sign-On Type）：資格情報（Credential）
- レルム（Realm）：Okta Device
- ホスト（Hosts）：Okta orgドメイン（例：acme.okta.com）
- orgにカスタムURLドメインを使用する場合は、+ 追加（+ Add）をクリックし、カスタムURLドメインを入力します。https://や他のプロトコルプレフィックスを含めないでください。
  
  このステップが完了すると、ドメインは2つになります（例：acme.okta.comとid.acmecorp.biz）。
次へ（Next）をクリックします。
スコープタグ（Scope Tags）ページで、必要なタグを追加して次へ（Next）をクリックします。
デバイス構成ポリシーを作成する（Create device configuration policy）ページの割り当て（Assignments）タブで、アプリをグループに割り当てます。次へ（Next）をクリックします。
同じページの確認して作成（Review + create）タブで、アプリ構成を確認し、作成（Create）をクリックします。

SSO機能拡張のエラー

SSO機能拡張に障害が発生した場合、認証フローはサインインページにフォールバックします。SSO拡張機能のエラーは以下の状況で発生する可能性があります。

SSO機能拡張MDMプロファイルがインストールされていない。
Oktaが動的SCEPのある認証局として構成されていない。Okta
Jamf ProのSSO機能拡張プロファイルが正しく構成されていない。Jamf Pro
ユーザーが、Chromeリリース145以前（サイレントアクセスなし）またはMozilla Firefoxを使用してOktaが保護するリソースへのアクセスを試行した。
ユーザーが、管理対象外のデバイスからSafariまたはアプリ内ブラウザーを介してOktaが保護するリソースへのアクセスを試行した。
機能拡張の識別子が正しくない。
ユーザーが、ホスト（Hosts）に構成されていないorgからのリソースへのアクセスを試行する。