管理対象のmacOSデバイス向けSSO機能拡張を構成する

管理対象デバイスで、Safariやアプリ内ブラウザーで認証する最もセキュアでシームレスな方法はAppleのSSO拡張機能です。SSO拡張機能は[Okta Verifyを開く]ブラウザープロンプトを非表示にし、フィッシング耐性プロパティを認証フローに導入します。

SSO拡張機能は、ChromeまたはFirefoxではサポートされていません。これらのブラウザーはローカルWebサーバーを使用してOkta Verifyと通信し、[Okta Verifyを開く]プロンプトを非表示にしたり、フィッシング耐性を有効にしたりするのにSSO拡張機能は必要ありません。

はじめに

下記の条件を満たしていることを確認してください。

Jamf ProでSSO機能拡張プロファイルを作成する

別のMDMソフトウェアを使用している場合は、「Appleデバイスの拡張シングルサインオンMDMペイロードの設定」を参照してください。この手順に示される構成値を使用してください。

  1. Jamf Proで、[Computers(コンピューター)][Configuration Profiles(構成プロファイル)]に移動します。
  2. [+New(+新規作成)]をクリックします。
  3. [Options(オプション)]タブをクリックします。
  4. 下にスクロールして、[Single Sign-On Extensions(シングルサインオン機能拡張)]をクリックします。
  5. [+Add(+追加)]をクリックします。
  6. [Single Sign-on Extensions(シングルサインオン機能拡張)]ページで、次のように入力します。
    1. [Extension Identifier(拡張機能の識別子)]com.okta.mobile.auth-service-extensionと入力します。
    2. [Team Identifier(チームの識別子)]B7F62B65BNと入力します。
    3. [Sign-On Type(サインオンのタイプ)][Credential(資格情報)]を選択します。
    4. [Realm(レルム)]Okta Deviceと入力します。
    5. [Hosts(ホスト)]:Okta orgドメインを入力します。例:acme.okta.com
    6. orgにカスタムURLドメインを実装する場合は、[+ Add(+追加)]をクリックして、カスタムURLドメインを入力します。https://や他のプロトコルスキームを含めないでください。このステップが完了すると、ドメインはacme.okta.comid.acmecorp.bizの2つになります。
  1. [Save(保存)]をクリックします。

SSO機能拡張に障害が発生した場合、認証フローはサインインページにフォールバックします。SSO拡張機能のエラーは以下のような状況で発生する可能性があります。

  • SSO機能拡張MDMプロファイルがインストールされていない。
  • Oktaが動的SCEPのある認証局として構成されていない。
  • Jamf ProのSSO機能拡張プロファイルが正しく構成されていない。
  • ユーザーが、Chrome(サイレントアクセスなし)またはFirefoxを介してOktaが保護するリソースへのアクセスを試行する。
  • ユーザーが、管理対象外のデバイスからSafariまたはネイティブアプリWebViewを介してOktaが保護するリソースへのアクセスを試行する。
  • 機能拡張の識別子が正しくない。
  • ユーザーが、[Hosts(ホスト)]に構成されていないorgからのリソースへのアクセスを試行する。

関連項目

Jamf Proを使用して、macOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する

iOSデバイスのSSO拡張機能を構成する