管理証明に関するよくある質問

管理者がOkta Verifyを使用してクライアント証明書をデスクトップデバイスにプッシュする必要があるのはなぜですか?

クライアント証明書がモバイルデバイス管理(MDM)ソフトウェアを介してプッシュされ、別のチャネルで取得できない場合は、クライアント証明書を使用してデバイスが管理されていることを証明できます。

Oktaではクライアント証明書をどのように使用しますか?

クライアント証明書は、管理を証明する追加のペイロードに署名するためにのみ使用されます。認証やユーザーの認証には使用されません。

サードパーティーの認証局(CA)から証明書を取得できますか?

はい。ただし、セキュリティ上の理由から、CAは管理対象デバイスに対してのみ証明書を発行することが重要です。

たとえば、ユーザーのセルフサービス登録を許可するCAを使用する場合、ユーザーは、管理されていないデバイスでこれらの証明書を取得して使用し、管理証明を偽装することができます。これにより、ユーザーは認証ポリシーで必要とされる保証を提供しなくてもリソースにアクセスできます。

クライアントはどのようにクライアント証明書を選択しますか?

認証のたびに、サーバーは管理者が構成した発行者のリストをクライアントに送信します。クライアントはリストを調べて、それらの発行者によって発行されたすべてのクライアント証明書を読み込みます。ユーザーストアが優先されますが、ユーザーストアに発行者に対応する証明書がない場合はマシンストアも確認します。Oktaはクライアント証明書が署名に使用できるかどうか(秘密鍵にアクセスできるかどうか)を確認した後、デバイスが管理されていることを証明するために最後に発行されたクライアント証明書を選択します。クライアントは取り消しチェックを適切に行わないため、取り消された証明書はクライアントから削除することをお勧めします。

マシンストアのクライアント証明書を管理証明に使用できますか?

Windowsの場合、クライアント証明書はマシンストアではなく、現在のユーザーの証明書ストアにあります。ローカルのマシン証明書ストアを使用せざるを得ない場合は、ユーザーが秘密鍵にアクセスするために昇格が必要ないことを確認してください。

macOSの場合は、クライアント証明書をデプロイするための適切なレベルを選択します。

  • デバイスのすべてのユーザーが確実に管理されるようにするには、[Computer Level(コンピューターレベル)]を選択します。

  • デバイスのMDMマネージドユーザーのみを管理対象として識別したい場合は、[User Level(ユーザーレベル)]を選択します。

すべてのアプリケーションでクライアント証明書が利用できることを確認します。「管理対象デバイス向けに独自の認証局を使用する」「Appleデバイス向けのSCEP MDMペイロード設定」を参照してください。

Oktaはサーバー上の管理証明をどのように検証しますか?

Oktaは次の検証を行います。

  • ペイロードがクライアント証明書で署名されている
  • クライアント証明書が有効である(取り消しチェックが含まれている)
  • 管理者がアップロードした信頼できる発行者によってクライアント証明書が発行されている

Oktaはチェーン全体を検証せず、信頼されなくなった発行者を管理者がOktaから削除することを想定しています。

MDMソフトウェアでSCEPプロファイルを作成する際には、どのような証明書のプロパティーが必要ですか?

モバイルデバイス管理(MDM)ソフトウェアでSimple Certificate Enrollment Protocol(SCEP)プロファイルを作成するには、次の設定が必要です。

  • [URL]Okta Admin ConsoleからSCEPのURLを入力します。
  • [Name(名前)]:SCEPプロファイルの名前を入力します。
  • [Subject(件名)]:件名を入力します。

    • 例:CN = {EmailUserName} managementAttestation {DeviceUid}

    Oktaでは、件名を特定の形式にする必要はありません。証明書がOktaへのデバイス管理シグナルとして使用されることを示す名前を選択してください。Jamf Proを使用している場合は、プロファイル変数を含めてデバイスID(UDID)を含めることもできます。

    「Jamf Pro Administrator's Guide - Computer Configuration Profiles」を参照してください。

  • [Challenge type(チャレンジタイプ)]:静的、動的、または委任URLが必要かどうかを指定します。
    • [URL To SCEP Admin(SCEP管理者へのURL)]Okta Admin Consoleから[Challenge URL(チャレンジURL)]を入力します。
    • [Username(ユーザー名)]Okta Admin Consoleから[UserName(ユーザー名)]を入力します。
    • [Password(パスワード)]Okta Admin Consoleから[Password(パスワード)]を入力します。
  • [Key Size(キーサイズ)]:2048
  • [Key usage(キー使用法)]:デジタル署名
  • [Allow export from keychain(キーチェーンからのエクスポートを許可する)]:選択しないままにします。セキュリティプラクティスとして、証明書にエクスポート不可のマークを付けることをお勧めします。
  • [Allow all apps access(すべてのアプリのアクセスを許可する)]:macOSデバイス用のSCEPプロファイルの場合に選択します。

SCEP証明書のデプロイメント後、「Organization中間機関証明書が信頼されていません」というメッセージが表示されます。

これは予想される動作です。クライアント証明書の発行には、Organization中間機関証明書が使用されます。Oktaサービスでクライアント証明書を検証できるため、OIA証明書自体が信頼されている必要はありません。

Oktaでは、複数のデスクトップデバイスへの証明書のコピーをどのように防止していますか?

Oktaは、最初の認証でdeviceIdとクライアント証明書の間にバインディングを作成します。その後、別のデバイスがクライアント証明書を管理証明に使用すると、管理証明は失敗します。

デスクトップデバイスの管理構成を削除するとどうなりますか?

デスクトップデバイスの管理構成を削除すると、新しいデバイスはOkta CAサービスからクライアント証明書をリクエストしなくなります。

デバイス管理ソリューションで、削除したデバイス管理構成に関連付けられているSCEPポリシーをすべて削除します。

Oktaによって発行されたクライアント証明書をすでに持っているデバイスは、管理証明を送信し続けます。デバイス管理ソリューションで、管理対象デバイスからクライアント証明書を削除します。一部のデバイスにクライアント証明書がデプロイされたままになっている場合、管理対象外のデバイス条件を含む認証ポリシーにより、ユーザーがそれらのデバイス上のアプリにアクセスできない可能性があります。

デバイスを再利用したい場合、デプロイ済みのクライアント証明書を再利用するにはどうすればよいですか?

新しいユーザー用にデバイスを再利用したいが、そのデバイスにはすでにクライアント証明書がインストールされている場合は、次の手順を実行します。

  1. デバイスで、Okta Verifyアカウントを削除します。

    1. デバイスのOkta Verifyで、アカウントをタップまたはクリックし、[Account details (アカウントの詳細)]にアクセスします。

    2. [Delete Account(アカウントを削除)]をタップまたはクリックし、[Delete(削除)]をタップして操作を確認します。

  2. Admin Consoleで、[Directory(ディレクトリ)] [Devices(デバイス)]に移動し、再利用するデバイスを見つけます。

  3. [X]をクリックしてデバイスを非アクティブ化します。これにより、証明書とデバイスのリンクが一時停止されます。

  4. Admin Consoleで、「 Devices(デバイス)」サイドバーの「Deactivated(非アクティブ)」をクリックし、非アクティブ化されたデバイスを見つけます。再利用したいデバイスを見つけて、再アクティブ化します。

新しいユーザーは、Okta Verifyを使用してアカウントの追加フローを実行します。最初のOkta FastPass認証の成功後、デバイスは新しい登録の管理証明を提供します。