Jamf ProでmacOSの動的SCEPチャレンジを使用するCAとしてOktaを構成する
認証局(CA)を構成すると、対象のmacOSデバイスにクライアント証明書を発行できます。このトピックでは、OktaでSCEP(Simple Certificate Enrollment Protocol)URLを生成し、Jamf Proで動的SCEPプロファイルを作成する方法を説明します。
Okta Device AccessまたはDesktop Password Syncの使用のためSCEPを構成している場合、「デバイスアクセスSCEP証明書」を参照してください。
開始する前に
以下にアクセスできることを確認してください:
-
デジタル署名用としてデプロイされるが、他の用途(暗号化など)には使用されない証明書
-
Okta Admin Console
-
Jamf Proダッシュボード
Airwatchを使用している場合は、静的SCEPを使用します。Airwatchには、動的SCEPに関する既知の問題があります。
この手順を開始する
タスク1:SCEP URLを生成する
-
Admin Consoleでに移動します。
-
[Endpoint management(エンドポイント管理)]タブで[Add Platform(プラットフォームを追加)]をクリックします。
-
[Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))]を選択して、[Next(次へ)]をクリックします。
-
[Add device management platform(デバイス管理プラットフォームを追加)]ページで、次のオプションを選択します。
目的 選択 認証局 [Use Okta as Certificate Authority(認証局としてOktaを使用します)]。 SCEP URLチャレンジタイプ [Dynamic SCEP URL(動的SCEP URL)]の[Generic(汎用)]が選択されていることを確認します。 -
[Generate(生成)]をクリックします。
-
次の値をコピーして保存します。
-
SCEP URL
-
チャレンジURL
-
ユーザー名
-
パスワード
パスワードを表示するには、目のアイコン
をクリックし、表示された[Password(パスワード)]を安全な場所に保管してください。Admin Consoleでパスワードが表示されるのはこのときだけです。Jamf Proでは、これらすべての値が必要です。
-
-
[Save(保存)]をクリックします。
タスク2:Jamf Proで動的SCEPプロファイルを作成する
SCEPプロファイルでは、デバイスがSimple Certificate Enrollment Protocol(SCEP)を使用して認証局(CA)から証明書を取得できるようにする設定を指定します。SCEPをサポートする任意のデバイス管理ソリューションを使用して、プロファイルを構成できます。OktaではJamf Proを使用してSCEPプロファイルのデプロイメントをテストしたため、次の手順ではJamf Proを使用してプロファイルを作成する方法を説明します。
CAとしてのOktaは、更新リクエストをサポートしません。その代わりに、証明書の有効期限が切れる前にプロファイルを再配布して期限切れ証明書を交換します。すべてのMDM SCEPポリシーを構成してプロファイルを再配布できるようにします。
Jamf ProでSCEPプロファイルを作成するには、次の操作を行います。
-
Jamf Proで、に移動します。
-
[New(新規)]をクリックします。
-
[General(一般)]ページで、次の情報を入力します。
目的 以下を実施 [Name(名前)] このプロファイルの名前を入力します。 [Description(説明)] 任意。プロファイルの説明を入力します。 [Level(レベル)] 証明書の適切なレベルを選択します。Okta Verifyはこの証明書を使用して、管理対象デバイスと管理対象ユーザーを識別します。デバイスのすべてのユーザーが確実に管理されるようにするには、[Computer Level(コンピューターレベル)]を選択する必要があります。 デバイスの特定のユーザーのみを管理対象として識別したい場合は、[User Level(ユーザーレベル)]を選択する必要があります。
-
[SCEP]をクリックしてから、[Configure(構成)]をクリックします。
-
[SCEP profile(SCEPプロファイル)]に次の情報を入力します。
目的 以下を実施 URL タスク1で保存したSCEP URLを貼り付けます。 Name(名前) このSCEPプロファイルの名前を入力します。 Redistribute Profile(プロファイルの再配布) SCEP発行の証明書の有効期限が切れる何日前にプロファイルを再配布するか、時間枠を選択します。 Oktaは、証明書の自動更新をサポートしません。プロファイルを再配布して期限切れの証明書を置き換えます。
Subject(件名) 証明書を識別するための名前を入力します。
このフィールドの文字数制限は64文字です。
Jamf Proでは、プロファイルの再配布時に$PROFILE_IDENTIFIERが自動的に追加され、これも64文字の制限に含まれます。この制限を超えると、プロファイルの再配布や証明書の更新が失敗します。
Oktaでは、このフィールドに特定の形式要件はありません。このフィールドを使用して、証明書の目的をOktaにおけるデバイス管理シグナルとして示すことができます。必要に応じてJamf Proの変数($UDIDや$EMAILなど)を含めることもできます。
例(maは管理証明を示します):
-
[Computer Level(コンピュータレベル)]:CN=$COMPUTERNAME ma $UDID
-
[User Level(ユーザーレベル)]:CN=$EMAIL ma $UDID
SCEP構成は、証明書が正常に発行・更新されることを確認するために、必ず本番環境以外でテストしてください。
[Challenge type(チャレンジタイプ)] [Dynamic-Microsoft CA(動的-Microsoft CA)]を選択します。 [URL To SCEP Admin(SCEP管理者へのURL)] タスク1で保存したチャレンジURLを入力します。 Username(ユーザー名) タスク1で保存したユーザー名を入力します。 [Password(パスワード)] タスク1で保存したパスワードを入力します。 [Verify Password(パスワードの確認)] タスク1で保存したパスワードを再入力します。 [Key Size(キーサイズ)] [2048]を選択します。 [Use as digital signature(デジタル署名として使用する)] このオプションを選択します。 [Allow export from keychain(キーチェーンからのエクスポートを許可する)] このオプションの選択を解除します。証明書をエクスポート不可としてマークするのは、セキュリティ上のベストプラクティスです。 [Allow all apps access(すべてのアプリのアクセスを許可する)] このオプションを選択します。 -
-
[Save(保存)]をクリックします。
タスク3:Jamf ProでSCEPプロファイルのターゲットを構成する
Jamf Proでデバイスを管理している場合、次のステップはプロファイルのデプロイ先となるターゲットの構成です。
Jamf Proでターゲットを構成するには、次の操作を行います。
-
Jamf Proで、に移動します。
-
「タスク2:Jamf Proで動的SCEPプロファイルを作成する」で作成したSCEP構成プロファイル名を選択します。
-
[Scope(スコープ)]をクリックします。
-
[Edit(編集)]をクリックします。
-
[Add(追加)]をクリックします。
-
デプロイメントターゲットを選択し、[Add(追加)]をクリックします。必要なすべてのターゲットに対して、この手順を繰り返します。
-
[Save(保存)]をクリックします。
タスク4:Okta CAがデバイスにインストールされていることを確認する
-
Jamf Proによって管理されているmacOSデバイスで、に移動します。
-
を開きます。
-
クライアント証明書と、それに関連付けられた秘密鍵の両方があることを確認します。