管理対象のmacOSデバイスのSSO拡張機能を構成する

管理対象デバイスで、Safariやアプリ内ブラウザーで認証する最もセキュアでシームレスな方法は、Appleのシングルサインオン(SSO)拡張機能です。SSO拡張機能は[Open Okta Verify(Okta Verifyを開く)]ブラウザープロンプトを非表示にし、フィッシング耐性プロパティを認証フローに導入します。

SSO拡張機能は、ChromeFirefoxではサポートされません。これらのブラウザーはローカルWebサーバーを使用してOkta Verifyと通信するため、[Open Okta Verify(Okta Verifyを開く)]プロンプトを非表示にしたり、フィッシング耐性を有効にしたりするのにSSO拡張機能は必要ありません。

開始する前に

下記の条件を満たしていることを確認してください。

SSO拡張機能はJamf ProまたはMicrosoft Endpoint Managerで作成できます。

別のMDMソフトウェアを使用している場合は、「Appleデバイスの拡張シングルサインオンMDMペイロードの設定」を参照してください。この手順に示される構成値を使用します。

Jamf ProでSSO機能拡張プロファイルを作成する

  1. Jamf Pro[Computers(コンピューター)][Configuration Profiles(構成プロファイル)]に移動します。

  2. [+ New(新規作成)]をクリックします。

  3. [Options(オプション)]タブをクリックします。

  4. 下にスクロールして、[Single Sign-On Extensions(シングルサインオン機能拡張)]をクリックします。

  5. [+Add(+追加)]をクリックします。

  6. [シングルサインオン機能拡張]ページで次のフィールドを構成します。

    • [Extension Identifier(機能拡張の識別子)]com.okta.mobile.auth-service-extension

    • [Team Identifier(チームの識別子)]B7F62B65BN

    • [Sign-On Type(サインオンのタイプ)][Credential(資格情報)]

    • [Realm(領域)]Okta Device

    • [Hosts(ホスト)]Okta orgドメイン(例:acme.okta.com

    • orgにカスタムURLドメインを使用する場合は、[+ Add(+ 追加)]をクリックし、カスタムURLドメインを入力します。https://や他のプロトコルプレフィックスを含めないでください。

      このステップが完了すると、ドメインは2つになります(例:acme.okta.comid.acmecorp.biz)。

  7. [Save(保存)]をクリックします。

Microsoft Endpoint ManagerでSSO機能拡張プロファイルを作成する

別のMDMソフトウェアを使用している場合は、「Appleデバイスの拡張シングルサインオンMDMペイロードの設定」を参照してください。この手順に示される構成値を使用します。

  1. Microsoft Endpoint Manager管理センターで、[Devices(デバイス)]に移動します。

  2. [Configuration Profiles(構成プロファイル)]をクリックします。

  3. [+ Create profile(+プロファイルの作成)]をクリックします。

  4. [Basics(基本)]ページで次のように入力します。

    • [Platform(プラットフォーム)]:[macOS]

    • [Profile Type(プロファイルの種類)][Settings catalog(設定カタログ)]を選択し、[Create(作成)]をクリックします。

  5. [+Add(追加)]をクリックします。

  6. [Basics(基本)]ページで次のように入力します。

    • [Name(名前)]:プロファイルの名前(例:macOS seamless SSO)を入力します。

    • [Description(説明)]:必要に応じてプロファイルの説明を入力します。

    • [Platform(プラットフォーム)][macOS]に事前設定されています。

  7. [Configuration settings(構成設定)] ページで、[+Add settings(+ 設定追加)]をクリックし、[Settings picker(設定ピッカー)]で次の情報を入力します。

    • [Authentication(認証)][Extensible Single Sign On (SSO)(拡張シングルサインオン(SSO))]を選択します。

    • 次の設定を選択します:[Extension Identifier(拡張機能の識別子)][Team Identifier(チーム識別子)][Sign-On Type(サインオンのタイプ)][Realm(レルム)][Hosts(ホスト)]

    [Settings picker(設定ピッカー)]を閉じます。

  8. [シングルサインオン機能拡張]ページで次のフィールドを構成します。

    • [Extension Identifier(機能拡張の識別子)]com.okta.mobile.auth-service-extension

    • [Team Identifier(チームの識別子)]B7F62B65BN

    • [Sign-On Type(サインオンのタイプ)][Credential(資格情報)]

    • [Realm(領域)]Okta Device

    • [Hosts(ホスト)]Okta orgドメイン(例:acme.okta.com

    • orgにカスタムURLドメインを使用する場合は、[+ Add(+ 追加)]をクリックし、カスタムURLドメインを入力します。https://や他のプロトコルプレフィックスを含めないでください。

      このステップが完了すると、ドメインは2つになります(例:acme.okta.comid.acmecorp.biz)。

  9. [Next(次へ)]をクリックします。

  10. [Scope Tags(スコープタグ)]ページで、必要なタグを追加して[Next(次へ)]をクリックします。

  11. [Create device configuration policy(デバイス構成ポリシーを作成する)]ページの[Assignments(割り当て)]タブで、アプリをグループに割り当てます。[Next(次へ)]をクリックします。

  12. 同じページの[Review + create(確認して作成)]タブで、アプリ構成を確認し、[Create(作成)]をクリックします。

SSO機能拡張のエラー

SSO機能拡張に障害が発生した場合、認証フローはサインインページにフォールバックします。SSO拡張機能のエラーは以下の状況で発生する可能性があります。

  • SSO機能拡張MDMプロファイルがインストールされていない。

  • Oktaが動的SCEPのある認証局として構成されていない。

  • Jamf ProのSSO機能拡張プロファイルが正しく構成されていない。

  • ユーザーが、Chrome(サイレントアクセスなし)またはFirefoxを使用してOktaが保護するリソースへのアクセスを試行した。

  • ユーザーが、管理対象外のデバイスからSafariまたはアプリ内ブラウザーを介してOktaが保護するリソースへのアクセスを試行した。

  • 機能拡張の識別子が正しくない。

  • ユーザーが、[Hosts(ホスト)]に構成されていないorgからのリソースへのアクセスを試行する。

関連項目

Jamf ProでmacOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する

iOSデバイスのSSO拡張機能を構成する