管理対象デバイス向けに独自の認証局を使用する
認証ポリシーでデスクトップデバイスを管理対象とすることが求められている場合、Oktaはクライアント証明書が対象のデバイスにインストールされているかどうかを確認します。Oktaは、証明書が正しいことを証明するため、証明書を使用してデジタル署名を作成し、サーバー上で検証します。Oktaによって保護されているデバイスにクライアント証明書を発行する独自の認証局(CA)を構成できます。
独自のCAを提供するには、モバイル・デバイス管理(MDM)ソフトウェアと統合された公開鍵インフラストラクチャ(PKI)がお使いの環境に必要です。MDMソフトウェアは以下のタスクを実行します。
-
クライアント証明書を対象のデバイスに配信する。
-
証明書の有効期限が切れる前に証明書を更新する。
-
デバイスが管理対象でなくなったときにMDMサーバーと管理対象デバイスから証明書を取り消す。
はじめに
- デバイスを管理するには、既存のMDMソフトウェア(Windowsの場合はMicrosoft Intune、macOSの場合はJamf Pro)、またはActive Directory証明書サービス(ADCS)インフラストラクチャを使用できます。ADCSインフラストラクチャとOkta Verifyを併用して管理対象デバイスをOktaに登録できます。デバイスのユーザーは、Oktaで設定されている認証局によって発行された証明書を所有している必要があります。たとえば、Microsoft Intuneと統合したMicrosoft Active Directory証明書サービス・ネットワークデバイス登録サービスを使用できます。
- デバイスがOrganizationの管理対象になっていることを証明するには、登録済みのmacOSおよびWindowsデバイスに証明書をデプロイできるようにMDMソフトウェアを構成します。証明書はOrganizationのCAによって署名される必要があります。「デバイス登録」を参照してください。
- OktaAdmin Consoleを使用して、ご使用のMDMソフトウェアでクライアント証明書の発行に使用する中間認証局をアップロードします。シングルサインオン(SSO)中に、Okta Verifyが署名済みトークンをサーバーに提示し、クライアント証明書を所有していることを証明します。Oktaは信頼できるCA証明書を使用して、デバイスがOrganizationに属していることを検証します。
この手順を開始する
クライアント証明書がデプロイされていることを確認する
CAによって発行されたクライアント証明書がOrganizationのmacOS・Windowsデバイスにデプロイされていることを確認します。
Oktaで証明書をアップロードし、管理証明書を構成する
- Okta Admin Consoleで、に移動します。
- [Certificate authority(認証局)]タブに移動して[Add certificate authority(認証局を追加)]をクリックします。
- [Add certificate authority(認証局を追加)]ダイアログボックスで、クライアント証明書の発行に使用する中間CAを参照します。発行者が複数の場合は、すべてを一度にアップロードしてください。
Oktaでは、PKCS#7、PKCS#12、PFX証明書の形式がサポートされていません。
証明書は自動的にアップロードされます。正常にアップロードされるとメッセージが表示されます。詳細を表示するには、[View root certificate chain details(ルート証明書チェーンの詳細を表示)]をクリックします。
- [Close(閉じる)]をクリックします。
- [Endpoint Management(エンドポイント管理)]タブに移動します。
- [Add Platform(プラットフォームを追加)]をクリックします。
- [Desktop (Windows and macOS only)(デスクトップ(Windows・macOSのみ))]を選択して、[Next(次へ)]をクリックします。
- 管理証明を構成します。[Certificate authority(認証局)]で、[Use my own certificate authority(独自の認証局を使用する)]を選択します。
- [Save(保存)]をクリックします。