Jamf Proを使用して、macOSの静的SCEPチャレンジを使用するCAとしてOktaを構成する
認証局(CA)を構成すると、対象のmacOSデバイスにクライアント証明書を発行できます。このトピックでは、Jamf ProでSimple Certificate Enrollment Protocol(SCEP)プロファイルを作成し、Oktaで証明書のURLを生成する方法について説明します。
Apple SCEP MDMペイロードのデプロイメントをサポートするデバイス管理ソリューションならどれでも使用できますが、この手順ではJamf Proを使用してデバイスを管理し、静的SCEPプロファイルを構成することを前提としています。
開始する前に
以下にアクセスできることを確認してください。
- Okta Admin Console
- SCEPペイロードのデプロイメントをサポートする任意のデバイス管理ソリューション。OktaはJamf Proを使ってテストを行いました。
この手順を開始する
SCEP URLと秘密鍵を生成する
- Admin Consoleで、 に移動します。
- [Endpoint management(エンドポイント管理)]タブで[Add Platform(プラットフォームを追加)]をクリックします。
- [Desktop (Windows and macOS only)(デスクトップ(WindowsおよびmacOSのみ))]を選択して、[Next(次へ)]をクリックします。
- [Add device management platform(デバイス管理プラットフォームを追加)]ページで、次のオプションを選択します。
- [Certificate authority(認証局)]:[Use Okta as certificate authority(Oktaを認証局として使用する)]
- [SCEP URL challenge type(SCEP URLチャレンジタイプ)]:[Static SCEP URL(静的SCEP URL)]
- [Generate(生成)]をクリックします。
- Okta SCEPのURLと秘密鍵をコピーして保存します。これらの値はJamf Proで必要になります。SCEP URLと秘密鍵は安全な場所に保存してください。Okta Admin Consoleに表示されるのは今回だけです。
- [Save(保存)]をクリックします。
静的SCEPプロファイルを作成する
SCEPプロファイルでは、デバイスがSimple Certificate Enrollment Protocol(SCEP)を使用して認証局(CA)から証明書を取得できるようにする設定を指定します。SCEPをサポートする任意のデバイス管理ソリューションを使用して、プロファイルを構成できます。OktaではJamf Proを使用してSCEPプロファイルのデプロイメントをテストしたため、次の手順ではJamf Proを使用してプロファイルを作成する方法を説明します。
CAとしてのOktaは、更新リクエストをサポートしません。その代わりに、証明書の有効期限が切れる前にプロファイルを再配布して期限切れ証明書を交換します。すべてのMDM SCEPポリシーを構成してプロファイルを再配布できるようにします。
Jamf ProでSCEPプロファイルを作成するには、次の操作を行います。
- Jamf Proで に移動します。
- [New(新規)]をクリックします。
- [General(一般)]ページで、次の情報を入力します。
- [Name(名前)]:プロファイルの名前を入力します。
- [Description(説明)]:オプションです。プロファイルの説明を入力します。
- [Level(レベル)]:証明書の適切なレベルを選択します。Okta Verifyはこの証明書を使用して、管理対象デバイスと管理対象ユーザーを識別します。デバイスのすべてのユーザーが確実に管理されるようにするには、[Computer Level(コンピューターレベル)]を選択します。デバイスの特定のユーザーのみを管理対象として識別するときは、[User Level(ユーザーレベル)]を選択します。
- [SCEP]をクリックし、次に[Configure(構成)]をクリックします。
- [SCEP profile(SCEPプロファイル)]に次の情報を入力します。
- [URL]:ステップ1で保存したSCEP URLを貼り付けます。
- [Name(名前)]:SCEPプロファイルの名前を入力します。
- [プロファイルの再配布]:SCEP発行の証明書の有効期限が切れる何日前にプロファイルを再配布するか、時間枠を選択します。Oktaは、証明書の自動更新をサポートしません。プロファイルを再配布して期限切れ証明書を交換する必要があります。
- [Subject(件名)]:適切なサブジェクト名を入力します。たとえば、[Computer Level(コンピューターレベル)]を選択した場合、デバイス名を示すサブジェクト名を設定します:CN=$COMPUTERNAME managementAttestation $UDID。
[User Level(ユーザーレベル)]を選択した場合は、ユーザーを示す件名を設定します:CN=$EMAIL managementAttestation $UDID。
Oktaでは、件名を特定の形式にする必要はありません。証明書がOktaへのデバイス管理シグナルとして使用されることを示す名前を選択してください。ベストプラクティスとして、Jamf Proが提供するプロファイル変数を含めることで、デバイスID(UDID)とユーザー識別子を含めることもできます。サポートされている変数のリストについては、Jamf Proのドキュメント「Payload Variables for Computer Configuration Profiles」を参照してください。
- [Challenge type(チャレンジタイプ)]:[Static(静的)]を選択します。
- [Challenge(チャレンジ)]:ステップ1で保存した秘密鍵を貼り付けます。
- [Verify Challenge(チャレンジの確認)]:秘密鍵を再度貼り付けます。
- [Key Size(キーサイズ)]:2048を選択します。
- [Use as digital signature(デジタル署名として使用する)]:このオプションを選択します。
- [キーチェーンからのエクスポートを許可する]:このオプションの選択を解除します。
- [すべてのアプリのアクセスを許可する]:このオプションを選択します。
- [Save(保存)]をクリックします。