Identity EngineのDevice Trustの前提条件
これらは、Identity EngineのDevice Trust向けの前提条件です。
一般
- Okta Identity Engineに精通していること。
Okta Identity Engineを参照してください。 - 関連した機能が有効になっているIdentity Engine組織。詳しくはOktaチャンネルに問い合わせてください。
デバイス管理
デバイス管理の状態に基づいてアプリのアクセスを制御するには、対象のデバイスをデバイス管理ソリューションで管理する必要があります。注:エンド・ユーザーがOkta Verifyでアカウントを追加し、デバイスを[ディレクトリー] > [デバイス]に表示するためにデバイスを管理する必要はありません。
モバイル・デバイス
モバイル・デバイスの管理には、キーと値のペアの構成を行う管理対象アプリの構成をサポートするサードパーティーのモバイル・デバイス管理(MDM)ソリューションが必要です。最良の成果を得るには、ご使用のMDMソリューションにユーザーが登録する際に、エンド・ユーザーのデバイスにサイレントかつ自動的にインストールできるようにOkta Verifyを設定できるMDMソリューションと統合してください。
Oktaでは以下のMDMソリューションを使用してテストを行いましたが、プラットフォームでサポートされるほかのソリューションでも機能する可能性が高いです。
- Android:VMware Workspace ONE統合エンドポイント管理、Microsoft Intune
- iOS: VMware Workspace ONE統合エンドポイント管理
デスクトップ・デバイス
デスクトップ・デバイスの管理には、対象のデバイスにクライアント証明書を発行し、デバイスが管理されていることをOktaで確認するための認証局(CA)が必要です。OktaをCAとして使用することも、独自のCAを提供することもできます。
OktaをCAとして使用する
- macOS:Apple SCEP MDMペイロードのプッシュをサポートしているどのデバイス管理ソリューションも使用できます。このドキュメント内の手順は、Jamf Proを使用してデバイスを管理し、Static SCEPプロファイルを構成することを前提としています。
Jamf Proを使用して、macOSの静的SCEPチャレンジを使用するCAとしてOktaを構成するを参照してください。 - Windows:Oktaでは次の2つの構成をテストしました。
- Microsoft Intuneと統合したAD CSとNDESを使用した委任(動的)SCEPメソッド
- Workspace ONE UEMを使用した静的SCEPメソッド
このドキュメントでは、両方の方法の手順を説明します。
Microsoft Intuneを使用して、Windowsの委任済みSCEPチャレンジを使用するCAとしてOktaを構成するとWorkspace ONEを使用して、Windowsの静的SCEPチャレンジを使用するCAとしてOktaを構成するを参照してください。
独自のCAを提供する
OktaをCAとして使用していない場合、ご使用のMDMソリューションと統合された独自の公開鍵インフラストラクチャ(PKI)またはCAインフラストラクチャを提供する必要があります。Oktaでは、Microsoft Intune(Windows向け)とJamf Pro(macOS向け)でこの機能をテストしました。デバイスが組織によって管理されていることを証明するには、組織の認証局によって署名された証明書を登録済みのWindowsおよびmacOSデバイスにデプロイできるように、CAインフラストラクチャやMDMソリューションを構成する必要があります。デジタル署名用に証明書をデプロイしますが、ほかの目的(暗号化など)でデプロイすることはありません。
デバイスの登録およびDevice Trust向けに独自の認証局を提供するを参照してください。
アプリ
SAML、OIDCおよびWS-Fedアプリ。OktaではOffice 365とSalesforceでテストを行いましたが、ほかのアプリでも機能する可能性が高いです。
ブラウザー
- Android:Chrome
- iOS:Safari
- MacOS:Safari(資格情報SSO拡張機能に必要)、Chrome
- Windows:Internet Explorer、Edge、Edge Chromium、Chrome
オペレーティング・システム
- Android 7.0以降
- iOS 13、iOS 14
- macOS 10.15.x(Catalina)および11(Big Sur)
- Windows 10、32ビットおよび64ビット