macOS 14向けのデスクトップパスワード同期を構成する
orgにOkta Device Accessが使用され、macOSコンピューターがmacOS 14 Sonoma以降で動作している場合は、既存のインストールを移行してシングルサインオン(プラットフォームSSO) 2.0を使用できます。移行後、ユーザーにはデスクトップパスワード同期への再登録が求められます。
プラットフォームSSO 2.0を使用するには、macOSコンピューターがmacOS 14 Sonoma以降で動作していなければなりません。orgでmacOSコンピューターが異なるオペレーティングシステムと混在している場合には、Okta Device AccessのインスタンスをmacOS 13 VenturaとmacOS 14 Sonomaのユーザーで別途に構成する必要があります。
タスク
構成に関する問題を回避するために、次の順でタスクを実行します。
Okta Verify for macOSを更新する
デスクトップパスワード同期は、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。
Admin Consoleでに移動し、Okta Verify for macOSをダウンロードします。Okta VerifyパッケージはApple App Storeからダウンロードしてはいけません。
Okta Device Access製品が有効化されているorgであれば、デスクトップパスワード同期を構成してデプロイできます。詳しくは、アカウント担当者までお問い合わせください。
Okta Verifyの更新が完了したら、次の手順に進みます。
デバイスアクセスSCEP証明書を構成する
AppleのプラットフォームSSO 2.0には、macOS向けのSCEP(Simple Certificate Enrollment Protocol)証明書の構成が必要です。これらの証明書は、モバイルデバイス管理(MDM)ソフトウェアを使用してデプロイします。APIエンドポイントへのアクセス権を付与し、APIエンドポイントを呼び出す際にデバイスの正体をOktaに明かすために使用されます。orgがプラットフォームSSO 2.0を使用していなければ、SCEP証明書は必要ありません。
「デバイスアクセスSCEP証明書」に記載の手順を完了してから、こちらに戻ってデスクトップパスワード同期の更新を続けます。
デバイス管理プロファイルを更新する
プラットフォームSSO 2.0とデスクトップパスワード同期を同時に使用するには、既存のデバイス管理プロファイルの構成にいくつか変更を加える必要があります。
-
MDMでcom.okta.mobile.auth-service-extensionドメインのデバイス管理プロファイルを特定します。
-
プロファイルを[Edit(編集)]して次の内容を追加します。
コピー<key>PlatformSSO.ProtocolVersion</key>
<string>2.0</string> -
プロファイルを保存します。
-
更新されたプロファイルをユーザーにプッシュするオプションがMDMによって提示された場合は、ここで行います。
シングルサインオン機能拡張プロファイルを更新する
プラットフォームSSO 2.0とOktaデスクトップパスワード同期を同時に使用するには、既存のシングルサインオン(SSO)機能拡張プロファイルの構成にいくつか変更を加える必要があります。
-
MDMで、SSO機能拡張プロファイルを特定します。
-
プロファイルを[Edit(編集)]します。[Use Shared Device Keys(共有デバイスキーを使用)]を[Enabled(有効)]に設定します。
-
その他すべての既存プロパティはそのまま残します。
-
プロファイルを保存します。
-
更新されたプロファイルをユーザーにプッシュするオプションがMDMによって提示された場合は、ここで行います。
[Use Shared Device Keys(共有デバイスキーを使用)]を有効にすると、登録の更新を求める通知がユーザーに送られます。これにより、ユーザーはデスクトップパスワード同期の登録プロセスを実行し、OktaパスワードをmacOSアカウントと同期させます。
どのユーザーが登録更新を完了したかは、システムログで次のクエリを実行すれば追跡できます。
eventType eq "device.password_sync.enrollment.create" and target.detailEntry.PlatformSsoProtocol eq "2.0"