Device Trust向けに独自の認証局を提供する

デスクトップ・デバイスを管理対象とするように求めるアプリ・サインオン・ポリシーを評価する際、Oktaではクライアント証明書がデバイスにインストールされているかどうかを確認することで、対象のデスクトップ・デバイスの管理ステータスを判別します。Oktaでは、証明書を使用してデジタル署名を作成し、サーバー上で検証することによって、証明書がインストールされていることを証明します。独自の認証局(CA)を構成すると、この操作をサポートするクライアント証明書をデバイスに対して発行できるようになります。

独自の認証局(CA)を提供するには、Oktaから提供されたクライアント証明書を対象デバイスに配布するために、MDMソリューションと統合されたPKIインフラストラクチャをご使用の環境に用意する必要があります。

MDMでは、証明書の配布に加えて、有効期限が切れる前の証明書の更新と、デバイスが管理対象でなくなった際のMDMサーバーおよび管理対象デバイスからの証明書の取り消しも行います。

概要

  • デバイスの管理。 次のいずれかを実行できます:
    • 既存のMDMソリューションを使用する:Oktaではこの機能をMicrosoft Intune(Windows向け)およびJamf Pro(macOS向け)でテストしましたが、ほかのソリューションでも機能する可能性が高いです。
    • 既存のActive Directory証明書サービス(ADCS)インフラストラクチャを使用する:既存のADCSを実装している顧客は、Okta Verifyで当該のインフラストラクチャを活用し、Oktaで管理対象のデバイスを有効にすることができます。Oktaでは、デバイス上のユーザーがOktaで設定された認証局からの証明書を所有している必要があります。
    注

    Oktaは、Microsoft Intuneと統合したMicrosoft Active Directory証明書サービス(AD CS)およびネットワーク・デバイス登録サービス(NDES)を使用して、この構成のテストを行いました。

  • 管理対象デバイスにクライアント証明書をデプロイする: デバイスが組織の管理対象になっていることを証明するには、組織の認証局によって署名された証明書を登録済みのWindowsおよびmacOSデバイスにデプロイできるようにMDMを構成する必要があります。デジタル署名用に証明書をデプロイしますが、ほかの目的(暗号化など)でデプロイすることはありません。デバイスの登録を参照してください。
  • CA証明書をOktaにアップロードする:Okta管理コンソールから、ご使用のMDMでクライアント証明書の発行に使用する中間CAをアップロードします。SSOフローの最中に、Okta Verifyで署名済みトークンをOktaに提示して、クライアント証明書を所有していることを証明します。その後、Oktaで信頼できるCA証明書を使用して、デバイスが組織に属していることを検証します。

この手順を開始する

この手順を完了するには、以下のタスクを実行します:

タスク1:SCEPペイロードを構成する

SCEPプロファイルが[DEVICE]レベルではなく、[USER]レベルをターゲットにしていることを確認してください。 これにより、証明書がログイン・キーチェーンにデプロイされて、Okta Verifyにアクセスできるようになります。SCEPポリシーにはユーザー・コンテキストが必要です。各ユーザーが別々の組織に属している場合に限り、同一のデバイスを使用する複数のユーザーがサポートされます。登録されたユーザーはMDMによって管理され、証明書を所有している必要があります。

SCEPペイロードを次のように構成します:

キー

タイプ

KeyUsage整数[signing]に設定して、Oktaサーバーから送信されたNonceにOkta Verifyで署名できるようにします。
AllowAllAppAccessブーリアン[true]に設定すると、Okta Verifyでユーザーにサインインを求めずにリクエストに署名できるようになります。それ以外の場合、ユーザーはOkta Verifyによるキーへのアクセスを許可するよう求められます。
KeysExtractableブーリアン別のデバイスに簡単にコピーできないように、[false]に設定します。

タスク2:Oktaで管理証明書を構成して、証明書をアップロードする

  1. Okta管理コンソールで、[セキュリティー] > [デバイス統合]に移動します。
  2. [エンドポイント管理]タブをクリックします。
  3. [プラットフォームを追加]をクリックします。
  4. [デスクトップ(WindowsおよびmacOSのみ)]を選択します。
  5. [次へ]をクリックします。
  6. [認証局]で、[独自の認証局を使用する]を選択します。
  7. [保存]をクリックします。
  8. [認証局]タブをクリックします。
  9. [認証局を追加]をクリックします。
  10. [認証局を追加]ダイアログ・ボックスで、クライアント証明書の発行に使用する中間CAを参照します。該当する発行者が複数の場合は、すべてを一度にアップロードしてください。
    注

    Oktaでは、PKCS#7、PKCS#12、PFX証明書の形式がサポートされていません。

    証明書は自動的にアップロードされます。正常にアップロードされるとメッセージが表示されます。詳細を表示するには、[ルート証明書チェーンの詳細を表示]をクリックします。

  11. [閉じる]をクリックします。

次の手順

デスクトップ用のアプリのサインオン・ポリシー・ルールを追加する