管理対象のmacOSデバイス向けSSO機能拡張を構成する

管理対象デバイスで、Safariやアプリ内ブラウザーで認証する最もセキュアでシームレスな方法はAppleのSSO拡張機能です。SSO拡張機能は［Okta Verifyを開く］ブラウザープロンプトを非表示にし、フィッシング耐性プロパティを認証フローに導入します。

はじめに

下記の条件を満たしていることを確認してください。

• デバイスが管理対象になっている。
• デバイスがサポートされているオペレーティングシステム上にある。詳細については、「サポートされているプラットフォーム、ブラウザ、オペレーティングシステム」を参照してください。
• Oktaは動的SCEPチャレンジのある認証局として構成されています。「Jamf Proを使用して、macOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する」を参照してください。
• 以下のリソースに精通している：
  • Jamf Pro：コンピューター構成プロファイル
  • Apple：Appleデバイスの拡張シングルサインオンMDMペイロードの設定、Extensible Enterprise SSOの紹介

Jamf ProでSSO機能拡張プロファイルを作成する

別のMDMソフトウェアを使用している場合は、「Appleデバイスの拡張シングルサインオンMDMペイロードの設定」を参照してください。この手順に示される構成値を使用してください。

1. Jamf Proで、［Computers（コンピューター）］>［Configuration Profiles（構成プロファイル）］に移動します。
2. ［+New（+新規作成）］をクリックします。
3. ［Options（オプション）］タブをクリックします。
4. 下にスクロールして、［Single Sign-On Extensions（シングルサインオン機能拡張）］をクリックします。
5. [+Add（+追加）]をクリックします。
6. ［Single Sign-on Extensions（シングルサインオン機能拡張）］ページで、次のように入力します。
   1. ［Extension Identifier（拡張機能の識別子）］：com.okta.mobile.auth-service-extensionと入力します。
   2. ［Team Identifier（チームの識別子）］：B7F62B65BNと入力します。
   3. ［Sign-On Type（サインオンのタイプ）］：［Credential（資格情報）］を選択します。
   4. ［Realm（レルム）］：Okta Deviceと入力します。
   5. ［Hosts（ホスト）］：Okta orgドメインを入力します。例：acme.okta.com
   6. orgにカスタムURLドメインを実装する場合は、［+ Add（+追加）］をクリックして、カスタムURLドメインを入力します。https://や他のプロトコルスキームを含めないでください。このステップが完了すると、ドメインはacme.okta.comとid.acmecorp.bizの2つになります。

7. ［Save（保存）］をクリックします。

SSO機能拡張に障害が発生した場合、認証フローはサインインページにフォールバックします。SSO拡張機能のエラーは以下のような状況で発生する可能性があります。

• SSO機能拡張MDMプロファイルがインストールされていない。
• Oktaが動的SCEPのある認証局として構成されていない。
• Jamf ProのSSO機能拡張プロファイルが正しく構成されていない。
• ユーザーが、Chrome（サイレントアクセスなし）またはFirefoxを介してOktaが保護するリソースへのアクセスを試行する。
• ユーザーが、管理対象外のデバイスからSafariまたはネイティブアプリWebViewを介してOktaが保護するリソースへのアクセスを試行する。
• 機能拡張の識別子が正しくない。
• ユーザーが、［Hosts（ホスト）］に構成されていないorgからのリソースへのアクセスを試行する。

関連項目

Jamf Proを使用して、macOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する

iOSデバイスのSSO拡張機能を構成する