Workspace ONEでのWindowsの静的SCEP
認証局(CA)を構成すると、モバイルデバイス管理(MDM)ソフトウェアを通じて対象のデバイスにクライアント証明書を発行できます。これらの証明書は、Okta VerifyがデバイスIDを確立するために使用する特定のAPIエンドポイントへのアクセスを許可します。
|
目的(Purpose) |
Okta Device Access証明書 |
|
プラットフォーム |
Windows |
|
MDM |
Omnissa Workspace ONE |
|
SCEP URL |
静的 |
開始する前の確認事項
以下にアクセスできることを確認してください:
-
Okta Admin Console
-
Workspace ONE UEM Admin Console
CAとしてのOktaは、証明書更新リクエストをサポートしません。
MDM SCEPポリシーを構成してプロファイルを再配布できるようにします。次に、証明書の有効期限が切れる前に、プロファイルを再配布して期限切れの証明書を置き換えます。
このタスクを開始する
SCEP URLと秘密鍵を生成する
-
Admin Consoleでに移動します。
-
デバイスアクセス(Device Access)タブで、SCEP構成を追加(Add SCEP configuration)をクリックします。
-
SCEP構成を追加(Add SCEP configuration)ページで、次のオプションを選択します。
SCEP URLチャレンジタイプ(SCEP URL challenge type):静的SCEP URL(Static SCEP URL)
-
生成(Generate)をクリックします。
-
SCEP URLと秘密鍵(Secret key)をコピーして、安全な場所に保存します。
注:Okta Admin Consoleに秘密鍵(Secret key)が表示されるのは、このときだけです。新しい秘密鍵を生成する必要がある場合は、デバイスアクセス(Device Access)ページで アクション(Actions)メニューを開き、秘密鍵をリセット(Reset secret key)を選択します。
-
保存(Save)をクリックします。
x509証明書をダウンロードする
-
Admin Consoleでに移動します。
-
認証局(Certificate authority)タブを選択します。
-
Okta CA 認証局の場合は、アクション(Actions)列にあるx509証明書のダウンロード(Download x509 certificate)アイコンをクリックします。
-
ダウンロードした証明書ファイルを保存します。必要に応じて、ファイル名を
.cer拡張子に変更します。
Oktaからダウンロードした証明書は、Organizationの中間証明書です。Workspace ONEでデバイスプロファイルを定義する際には、この証明書が必要です。
Workspace ONEで静的SCEP認証局を作成する
-
Workspace ONE UEM管理コンソールにサインインします。
-
に移動します。
-
+追加(+ADD)(+ ADD)をクリックします。
-
認証局 - 追加/編集(Certificate Authority - Add/Edit)ページで、次のように入力します。
-
名前(Name):CAの名前を入力します。
-
説明(Description):任意。CAの説明を入力します。
-
権限のタイプ(Authority type):汎用SCEP(Generic SCEP)を選択します。
-
SCEPプロバイダー(SCEP Provider):基本項目(Basic)は自動的に入力され、変更できません。
-
SCEPのURL(SCEP URL):事前に生成したSCEPのURL(SCEP URL)を入力します。
-
チャレンジタイプ(Challenge Type):静的(STATIC)をクリックします。
-
静的チャレンジ(Static Challenge):事前に生成した秘密鍵(Secret Key)を入力します。
-
チャレンジフレーズの確認(Confirm Challenge Phrase):秘密鍵(Secret Key)を再度入力します。
-
再試行タイムアウト(Retry Timeout):デフォルト値の30を受け入れます。
-
保留中の最大再試行回数(Max Retries When Pending):この値は、権限の保留中にシステムが許可する再試行回数を指定します。デフォルト値の5のままにするか、カスタムの数値を指定します。
-
プロキシを有効化(Enable Proxy):デフォルト値の無効(DISABLED)のままにするか、環境にプロキシが必要であれば有効(ENABLED)を選択します。
-
-
接続の試験(TEST CONNECTION)をクリックし、保存する前に接続をテストします。
接続の試験(TEST CONNECTION)の前に保存(SAVE)を選択すると、テストが失敗しました(Test is unsuccessful)というエラーが表示されます。
-
テストが成功しました(Test is successful)というメッセージが表示されたら、テンプレートを保存して追加(SAVE AND ADD TEMPLATE)をクリックします。
テストが失敗した場合は、先ほど生成したSCEPのURL(SCEP URL)にアクセスできることを確認してください。
証明書テンプレートを追加する
-
Workspace ONEで、リクエストテンプレート(Request Templates)タブを選択します。
-
+追加(+ADD)(+ ADD)をクリックします。
-
証明書テンプレート - 追加/編集(Certificate Template - Add/Edit)ページで、次のように入力します。
-
名前(Name):テンプレートの名前を入力します。
-
説明(Description):任意。テンプレートの説明を入力します。
-
認証局 :前のステップで作成したCAを選択します。
-
テンプレートの発行(Issuing Template):空白のままにするか、実装に応じて構成します。
-
サブジェクト名(Subject Name):サブジェクト名を入力します。例:
CN = ODA-{DeviceSerialNumber} {DeviceUid}。注:Oktaでは、このフィールドに特定の形式要件はありません。証明書の目的と関連するデバイスの識別に役立つ、わかりやすい形式を選択します。
サポートされている変数のリストについては、「Workspace ONE Lookupの値」を参照してください。
-
秘密鍵の長さ(Private Key Length):2048を選択します。
-
秘密鍵のタイプ(Private Key Type):署名(Signing)を選択します。
-
SANのタイプ(SAN Type):任意。環境で必要な場合に構成します。
-
証明書の自動更新(Automatic Certificate Renewal):有効(ENABLED)をクリックします。
-
秘密鍵の公開(Publish Private Key):無効(DISABLED)をクリックします。
-
-
保存(SAVE)をクリックします。
デバイスプロファイルを定義して中間CA証明書をデプロイする
このプロファイルは、Okta 認証局で発行されたクライアント証明書が信頼されるように、Okta中間CA証明書をデバイスにデプロイします。
-
Workspace ONEで、に移動します。
-
追加(ADD)をクリックし、プロファイルを追加(Add Profile)を選択します。
-
を選択します。
-
一般(General)ページで、次のように入力します。
-
名前(Name):デバイスプロファイルの名前を入力します。
-
説明(Description):任意。デバイスプロファイルの説明を入力します。
-
デプロイ(Deployment):管理対象(Managed)を選択します。
-
割り当てのタイプ(Assignment Type):デフォルトのままにするか、実装に応じて構成します。
-
削除を許可(Allow Removal):デフォルトのままにするか、実装に応じて構成します。
-
管理者(Managed By):プロファイルへの管理アクセス権を持つ個人またはグループを入力します。
-
[Smart Groups(スマートグループ)]:対象となるデバイスが含まれるグループを選択します。グループの名前の入力を始め、リストからグループを選択します。
-
除外(Exclusions):プロファイルからグループを除外します。デフォルトのままにするか、実装に応じて構成します。
-
追加の割り当て基準(Additional Assignment Criteria):デプロイのスケジュールを作成できます。
-
削除日(Removal Date):プロファイルをデバイスから削除する日付を指定します。
-
-
左側のペインの資格情報(Credentials)をクリックします。
-
構成(CONFIGURE)をクリックします。
-
資格情報(Credentials)ページで、次のように入力します。
-
資格情報ソース(Credential Source):アップロード(Upload)を選択します。
-
証明書(Certificate):アップロード(Upload)をクリックして、前にダウンロードしたx509証明書を参照します。
-
キーの場所(Key Location):デフォルトのままにするか、実装に応じて構成します。
-
証明書ストア(Certificate Store):中間(Intermediate)を選択します。
-
-
保存して公開(SAVE AND PUBLISH)をクリックします。
デバイスプロファイルを定義してクライアント証明書をデプロイする
このプロファイルは、Okta CAによって発行されたクライアント証明書をデプロイします。Windows上のOkta Verifyアプリは、この証明書を使用してデバイスIDを確立します。
-
Workspace ONEで、に移動します。
-
追加(ADD)をクリックし、プロファイルを追加(Add Profile)を選択します。
-
を選択します。
-
一般(General)ページで、次のように入力します。
-
名前(Name):プロファイルの名前(例:
Okta Device Access Client Certificate)を入力します。 -
説明(Description):任意。プロファイルの説明を入力します。
-
デプロイ(Deployment):管理対象(Managed)を選択します。
-
割り当てのタイプ(Assignment Type):自動(Auto)を選択します。
-
削除の許可(Allow Removal):常に(Always)を選択します。
-
管理者(Managed By):任意。その他の管理者名を入力します。
-
スマートグループ(Smart Groups):前のタスクで指定したものと同じグループを入力します。
-
除外(Exclusions):プロファイルからグループを除外します。デフォルトのままにするか、実装に応じて構成します。
-
追加の割り当て基準(Additional Assignment Criteria):デプロイのスケジュールを作成できます。
-
削除日(Removal Date):プロファイルをデバイスから削除する日付を指定します。
-
-
左側のペインの資格情報(Credentials)をクリックします。
-
構成(CONFIGURE)をクリックします。
-
資格情報(Credentials)ページで、次のように入力します。
-
資格情報ソース(Credential Source):定義済みの認証局(Defined Certificate Authority)を選択します。
-
認証局 :で静的SCEP認証局を作成Workspace ONE で構成したCAを選択します。
-
キーの場所(Key Location):TPMの有無にかかわらず、存在する場合はTPM(TPM If Present)を選択してデバイスをサポートします。
-
証明書ストア(Certificate Store):個人(Personal)を選択します。
-
-
保存して公開(SAVE AND PUBLISH)をクリックします。
証明書のインストールを確認する
プロファイルをデプロイしたら、証明書がWindowsデバイスにインストールされていることを確認します。
-
スタート(Start)をクリックし、
certと入力します。 -
コンピューター証明書の管理(Manage computer certificates)をクリックします。
-
証明書 - ローカルコンピューター(Certificates - Local Computer)で、を開きます。
-
クライアント証明書が存在することを確認します。
認証局(CA)を確認します。
-
証明書 - ローカルコンピューター(Certificates - Local Computer)で、を開きます。
-
発行先(Issued To)列で、Organization中間機関(Organization Intermediate Authority)を探します。
-
発行者(Issued By)列で、組織中間機関(Organization Intermediate Authority)(Organization Root Authority)に組織ルート機関(Organization Root Authority)(Organization Intermediate Authority)が指定されていることを確認します。