管理対象のmacOSデバイスのSSO拡張機能を構成する
管理対象デバイスで、Safariやアプリ内ブラウザーで認証する最もセキュアでシームレスな方法は、Appleのシングルサインオン(SSO)拡張機能です。SSO拡張機能は[Open Okta Verify(Okta Verifyを開く)]ブラウザープロンプトを非表示にし、フィッシング耐性プロパティを認証フローに導入します。
SSO拡張機能は、ChromeとFirefoxではサポートされません。これらのブラウザーはローカルWebサーバーを使用してOkta Verifyと通信するため、[Open Okta Verify(Okta Verifyを開く)]プロンプトを非表示にしたり、フィッシング耐性を有効にしたりするのにSSO拡張機能は必要ありません。
開始する前に
下記の条件を満たしていることを確認してください。
-
デバイスが管理対象になっている。
-
サポートされるオペレーティングシステムにデバイスがある。「サポートされるプラットフォーム・ブラウザー・オペレーティングシステム」を参照してください。
-
Oktaは動的SCEPチャレンジのある認証局として構成されます。「Jamf ProでmacOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する」を参照してください
-
以下のリソースに精通している:
SSO拡張機能はJamf ProまたはMicrosoft Endpoint Managerで作成できます。
別のMDMソフトウェアを使用している場合は、「Appleデバイスの拡張シングルサインオンMDMペイロードの設定」を参照してください。この手順に示される構成値を使用します。
Jamf ProでSSO機能拡張プロファイルを作成する
-
Jamf Proでに移動します。
-
[+ New(新規作成)]をクリックします。
-
[Options(オプション)]タブをクリックします。
-
下にスクロールして、[Single Sign-On Extensions(シングルサインオン機能拡張)]をクリックします。
-
[+Add(+追加)]をクリックします。
-
[シングルサインオン機能拡張]ページで次のフィールドを構成します。
-
[Extension Identifier(機能拡張の識別子)]:com.okta.mobile.auth-service-extension
-
[Team Identifier(チームの識別子)]:B7F62B65BN
-
[Sign-On Type(サインオンのタイプ)]:[Credential(資格情報)]
-
[Realm(領域)]:Okta Device
-
[Hosts(ホスト)]:Okta orgドメイン(例:acme.okta.com)
-
orgにカスタムURLドメインを使用する場合は、[+ Add(+ 追加)]をクリックし、カスタムURLドメインを入力します。https://や他のプロトコルプレフィックスを含めないでください。
このステップが完了すると、ドメインは2つになります(例:acme.okta.comとid.acmecorp.biz)。
-
-
[Save(保存)]をクリックします。
Microsoft Endpoint ManagerでSSO機能拡張プロファイルを作成する
別のMDMソフトウェアを使用している場合は、「Appleデバイスの拡張シングルサインオンMDMペイロードの設定」を参照してください。この手順に示される構成値を使用します。
-
Microsoft Endpoint Manager管理センターで、[Devices(デバイス)]に移動します。
-
[Configuration Profiles(構成プロファイル)]をクリックします。
-
[+ Create profile(+プロファイルの作成)]をクリックします。
-
[Basics(基本)]ページで次のように入力します。
-
[Platform(プラットフォーム)]:[macOS]
-
[Profile Type(プロファイルの種類)]:[Settings catalog(設定カタログ)]を選択し、[Create(作成)]をクリックします。
-
-
[+Add(追加)]をクリックします。
-
[Basics(基本)]ページで次のように入力します。
-
[Name(名前)]:プロファイルの名前(例:macOS seamless SSO)を入力します。
-
[Description(説明)]:必要に応じてプロファイルの説明を入力します。
-
[Platform(プラットフォーム)]:[macOS]に事前設定されています。
-
-
[Configuration settings(構成設定)] ページで、[+Add settings(+ 設定追加)]をクリックし、[Settings picker(設定ピッカー)]で次の情報を入力します。
-
を選択します。
-
次の設定を選択します:[Extension Identifier(拡張機能の識別子)]、[Team Identifier(チーム識別子)]、[Sign-On Type(サインオンのタイプ)]、[Realm(レルム)]、[Hosts(ホスト)]。
[Settings picker(設定ピッカー)]を閉じます。
-
-
[シングルサインオン機能拡張]ページで次のフィールドを構成します。
-
[Extension Identifier(機能拡張の識別子)]:com.okta.mobile.auth-service-extension
-
[Team Identifier(チームの識別子)]:B7F62B65BN
-
[Sign-On Type(サインオンのタイプ)]:[Credential(資格情報)]
-
[Realm(領域)]:Okta Device
-
[Hosts(ホスト)]:Okta orgドメイン(例:acme.okta.com)
-
orgにカスタムURLドメインを使用する場合は、[+ Add(+ 追加)]をクリックし、カスタムURLドメインを入力します。https://や他のプロトコルプレフィックスを含めないでください。
このステップが完了すると、ドメインは2つになります(例:acme.okta.comとid.acmecorp.biz)。
-
-
[Next(次へ)]をクリックします。
-
[Scope Tags(スコープタグ)]ページで、必要なタグを追加して[Next(次へ)]をクリックします。
-
[Create device configuration policy(デバイス構成ポリシーを作成する)]ページの[Assignments(割り当て)]タブで、アプリをグループに割り当てます。[Next(次へ)]をクリックします。
-
同じページの[Review + create(確認して作成)]タブで、アプリ構成を確認し、[Create(作成)]をクリックします。
SSO機能拡張のエラー
SSO機能拡張に障害が発生した場合、認証フローはサインインページにフォールバックします。SSO拡張機能のエラーは以下の状況で発生する可能性があります。
-
SSO機能拡張MDMプロファイルがインストールされていない。
-
Oktaが動的SCEPのある認証局として構成されていない。
-
Jamf ProのSSO機能拡張プロファイルが正しく構成されていない。
-
ユーザーが、Chrome(サイレントアクセスなし)またはFirefoxを使用してOktaが保護するリソースへのアクセスを試行した。
-
ユーザーが、管理対象外のデバイスからSafariまたはアプリ内ブラウザーを介してOktaが保護するリソースへのアクセスを試行した。
-
機能拡張の識別子が正しくない。
-
ユーザーが、[Hosts(ホスト)]に構成されていないorgからのリソースへのアクセスを試行する。