Workspace ONEでのmacOSの静的SCEP

認証局（CA）を構成すると、モバイルデバイス管理（MDM）ソフトウェアを通じて対象のデバイスにクライアント証明書を発行できます。これらの証明書は、Okta VerifyがデバイスIDを確立するために使用する特定のAPIエンドポイントへのアクセスを許可します。

目的（Purpose）	Okta Device Access証明書
プラットフォーム	macOS
MDM	Omnissa Workspace ONE
SCEP URL	静的

開始する前の確認事項

以下にアクセスできることを確認してください：

Okta Admin Console
Workspace ONE UEM Admin Console

注:

CAとしてのOktaは、証明書更新リクエストをサポートしません。

MDM SCEPポリシーを構成してプロファイルを再配布できるようにします。次に、証明書の有効期限が切れる前に、プロファイルを再配布して期限切れの証明書を置き換えます。

このタスクを開始する

SCEP URLと秘密鍵を生成する
x509証明書をダウンロードする
で静的SCEP認証局を作成するWorkspace ONE
証明書テンプレートを追加する
デバイスプロファイルを定義して中間CA証明書をデプロイする
デバイスプロファイルを定義してクライアント証明書をデプロイする
証明書のインストールを確認する

SCEP URLと秘密鍵を生成する

Admin Consoleでセキュリティ（Security） > デバイス統合（Device integrations）に移動します。
デバイスアクセス（Device Access）タブで、SCEP構成を追加（Add SCEP configuration）をクリックします。
SCEP構成を追加（Add SCEP configuration）ページで、次のオプションを選択します。

SCEP URLチャレンジタイプ（SCEP URL challenge type）：静的SCEP URL（Static SCEP URL）
生成（Generate）をクリックします。
SCEP URLと秘密鍵（Secret key）をコピーして、安全な場所に保存します。

注:
Okta Admin Consoleに秘密鍵（Secret key）が表示されるのは、このときだけです。新しい秘密鍵を生成する必要がある場合は、デバイスアクセス（Device Access）ページでアクション（Actions）メニューを開き、秘密鍵をリセット（Reset secret key）を選択します。
保存（Save）をクリックします。

x509証明書をダウンロードする

Admin Consoleでセキュリティ（Security） > デバイス統合（Device integrations）に移動します。
認証局（Certificate authority）タブを選択します。
Okta CA 認証局の場合は、アクション（Actions）列にあるx509証明書のダウンロード（Download x509 certificate）アイコンをクリックします。
ダウンロードした証明書ファイルを保存します。必要に応じて、ファイル名を.cer拡張子に変更します。

Oktaからダウンロードした証明書は、Organizationの中間証明書です。Workspace ONEでデバイスプロファイルを定義する際には、この証明書が必要です。

Workspace ONEで静的SCEP認証局を作成する

Workspace ONE UEM管理コンソールにサインインします。
デバイス（DEVICES） > 証明書（Certificates） > 認証局（Certificate Authorities）に移動します。
+追加（+ADD）（+ ADD）をクリックします。
認証局 - 追加/編集（Certificate Authority - Add/Edit）ページで、次のように入力します。
- 名前（Name）：CAの名前を入力します。
- 説明（Description）：任意。CAの説明を入力します。
- 権限のタイプ（Authority type）：汎用SCEP（Generic SCEP）を選択します。
- SCEPプロバイダー（SCEP Provider）：基本項目（Basic）は自動的に入力され、変更できません。
- SCEPのURL（SCEP URL）：事前に生成したSCEPのURL（SCEP URL）を入力します。
- チャレンジタイプ（Challenge Type）：静的（STATIC）をクリックします。
- 静的チャレンジ（Static Challenge）：事前に生成した秘密鍵（Secret Key）を入力します。
- チャレンジフレーズの確認（Confirm Challenge Phrase）：秘密鍵（Secret Key）を再度入力します。
- 再試行タイムアウト（Retry Timeout）：デフォルト値の30を受け入れます。
- 保留中の最大再試行回数（Max Retries When Pending）：この値は、権限の保留中にシステムが許可する再試行回数を指定します。デフォルト値の5のままにするか、カスタムの数値を指定します。
- プロキシを有効化（Enable Proxy）：デフォルト値の無効（DISABLED）のままにするか、環境にプロキシが必要であれば有効（ENABLED）を選択します。
接続の試験（TEST CONNECTION）をクリックし、保存する前に接続をテストします。

接続の試験（TEST CONNECTION）の前に保存（SAVE）を選択すると、テストが失敗しました（Test is unsuccessful）というエラーが表示されます。
テストが成功しました（Test is successful）というメッセージが表示されたら、テンプレートを保存して追加（SAVE AND ADD TEMPLATE）をクリックします。

テストが失敗した場合は、先ほど生成したSCEPのURL（SCEP URL）にアクセスできることを確認してください。

証明書テンプレートを追加する

Workspace ONEで、リクエストテンプレート（Request Templates）タブを選択します。
+追加（+ADD）（+ ADD）をクリックします。
証明書テンプレート - 追加/編集（Certificate Template - Add/Edit）ページで、次のように入力します。
- 名前（Name）：テンプレートの名前を入力します。
- 説明（Description）：任意。テンプレートの説明を入力します。
- 認証局：前のステップで作成したCAを選択します。
- テンプレートの発行（Issuing Template）：空白のままにするか、実装に応じて構成します。
- サブジェクト名（Subject Name）：サブジェクト名を入力します。例：CN = ODA-{DeviceSerialNumber} {DeviceUid}。
  
  注:
  Oktaでは、このフィールドに特定の形式要件はありません。証明書の目的と関連するデバイスの識別に役立つ、わかりやすい形式を選択します。
  
  サポートされている変数のリストについては、「Workspace ONE Lookupの値」を参照してください。
- 秘密鍵の長さ（Private Key Length）：2048を選択します。
- 秘密鍵のタイプ（Private Key Type）：署名（Signing）を選択します。
- SANのタイプ（SAN Type）：任意。環境で必要な場合に構成します。
- 証明書の自動更新（Automatic Certificate Renewal）：有効（ENABLED）をクリックします。
- 秘密鍵の公開（Publish Private Key）：無効（DISABLED）をクリックします。
保存（SAVE）をクリックします。

デバイスプロファイルを定義して中間CA証明書をデプロイする

このプロファイルは、Okta 認証局で発行されたクライアント証明書が信頼されるように、Okta中間CA証明書をデバイスにデプロイします。

Workspace ONEで、リソース（RESOURCES） > プロファイルとベースライン（Profiles & Baselines） > プロファイル（Profiles）に移動します。
追加（ADD）をクリックし、プロファイルを追加（Add Profile）を選択します。
macOS > デバイスプロファイル（Device Profiles）を選択します。
一般（General）ページで、次のように入力します。
- 名前（Name）：デバイスプロファイルの名前を入力します。
- 説明（Description）：任意。デバイスプロファイルの説明を入力します。
- デプロイ（Deployment）：管理対象（Managed）を選択します。
- 割り当てのタイプ（Assignment Type）：デフォルトのままにするか、実装に応じて構成します。
- スマートグループ（Smart Groups）：対象となるデバイスが含まれるグループを選択します。グループの名前の入力を始め、リストからグループを選択します。
左側のペインの資格情報（Credentials）をクリックします。
構成（CONFIGURE）をクリックします。
資格情報（Credentials）ページで、次のように入力します。
- 資格情報ソース（Credential Source）：アップロード（Upload）を選択します。
- 証明書（Certificate）：アップロード（Upload）をクリックして、前にダウンロードしたx509証明書を参照します。
保存して公開（SAVE AND PUBLISH）をクリックします。

デバイスプロファイルを定義してクライアント証明書をデプロイする

このプロファイルは、Okta CAによって発行されたクライアント証明書をデプロイします。macOS上のOkta Verifyアプリは、この証明書を使用してデバイスIDを確立します。

Workspace ONEで、リソース（RESOURCES） > プロファイルとベースライン（Profiles & Baselines） > プロファイル（Profiles）に移動します。
追加（ADD）をクリックし、プロファイルを追加（Add Profile）を選択します。
macOS > デバイスプロファイル（Device Profiles）を選択します。
一般（General）ページで、次のように入力します。
- 名前（Name）：プロファイルの名前（例：Okta Device Access Client Certificate）を入力します。
- 説明（Description）：任意。プロファイルの説明を入力します。
- デプロイ（Deployment）：管理対象（Managed）を選択します。
- 割り当てのタイプ（Assignment Type）：デフォルトのままにするか、実装に応じて構成します。
- スマートグループ（Smart Groups）：前のタスクで指定したものと同じグループを入力します。
左側のペインの資格情報（Credentials）をクリックします。
構成（CONFIGURE）をクリックします。
資格情報（Credentials）ページで、次のように入力します。
- 資格情報ソース（Credential Source）：定義済みの認証局（Defined Certificate Authority）を選択します。
- 認証局：「で静的SCEP認証局を作成Workspace ONE 」で構成したCAを選択します。
- 証明書テンプレート（Certificate Template）：証明書テンプレートを追加で作成したテンプレートを選択します。
- すべてのアプリケーションへのアクセスを許可（Allow access to all applications）：有効（ENABLED）を選択します。
保存して公開（SAVE AND PUBLISH）をクリックします。

証明書のインストールを確認する

プロファイルをデプロイしたら、証明書がmacOSデバイスにインストールされていることを確認します。

キーチェーンアクセス（Keychain Access）を開きます。これは、Spotlightを使用して検索するか、アプリケーション（Applications） > Utilities（ユーティリティ） > キーチェーンアクセス（Keychain Access）に移動します。
デフォルトのキーチェーン（Default Keychains）セクションで、システム（System）を選択します。
カテゴリーリストで証明書（Certificates）でフィルタリングします。
次の証明書が存在することを確認します。
- クライアント証明書：証明書テンプレートを追加するで定義したサブジェクト名の形式と一致する証明書。
  
  クライアント証明書では、拡張機能（Extension）の値が1.3.6.1.4.1.51150.13.1、データ（Data）の値が02 01 01である必要があります。
- 中間CA証明書：組織中間機関（Organization Intermediate Authority）証明書の発行者（Issued By）フィールドはOrganization Root Authorityです。

ヒント:

プロファイルのデプロイメントは、Workspace ONE UEM Admin Consoleから確認することもできます。

デバイス（DEVICES）> リストビュー（List View）に移動し、デバイスを選択して、プロファイル（Profiles）タブを確認し、両方のプロファイルのステータスがインストール済み（Installed）であることを確認します。