macOS 14向けにPlatform Single Sign-onを構成する

orgがOkta Device Accessを使用しており、macOS Sonoma（14.0）以降を実行するmacOSコンピューターがあるときは、既存インストールを移行して、Platform Single Sign-On 2.0を使用できます。移行後、ユーザーにはデスクトップパスワード同期への再登録が求められます。

Platform SSO 2.0を使用するには、macOSコンピューターがmacOS Sonoma（14.0）以降を実行している必要があります。オペレーティングシステムが異なるmacOSコンピューターが混在するorgであれば、macOS Ventura（13.0）を使用するユーザーとmacOS Sonoma（14.0）を使用するユーザーのOkta Device Accessのインスタンスを個別に構成する必要があります。

タスク

次に示す手順は、構成の問題を避けるために、示される順に実行してください。

• Okta Verify for macOSを更新する

• デバイスアクセスSCEP証明書を構成する

• デバイス管理プロファイルを更新する

• シングルサインオン機能拡張プロファイルを更新する

Okta Verify for macOSを更新する

Okta Verifyの更新が完了したら、次の手順に進みます。

デバイスアクセスSCEP証明書を構成する

AppleのPlatform Single Sign-On 2.0は、macOS向けのSCEP（Simple Certificate Enrollment Protocol）証明書の構成を必要とします。これらの証明書は、モバイルデバイス管理（MDM）ソフトウェアを使用してデプロイします。証明書は、APIエンドポイントにアクセスを付与し、APIエンドポイントを呼び出したときにOktaへのデバイスを特定するために使用されます。orgがPlatform SSO 2.0を使用していなければ、SCEP証明書は必要ありません。

「デバイスアクセスSCEP証明書をセットアップする」を参照して手順を完了し、こちらに戻ってデスクトップパスワード同期の更新を続けます。

デバイス管理プロファイルを更新する

Platform Single Sign-On 2.0とOktaデスクトップパスワード同期を使用するには、既存のデバイス管理プロファイルの構成にいくつか変更を加える必要があります。

1. MDMでcom.okta.mobile.auth-service-extensionドメインのデバイス管理プロファイルを特定します。

2. プロファイルを［Edit（編集）］して次の内容を追加します。

   コピー

   <key>PlatformSSO.ProtocolVersion</key>
   <string>2.0</string>

3. プロファイルを保存します。

4. 更新されたプロファイルをユーザーにプッシュするオプションが示されるときは、ここで行います。

シングルサインオン機能拡張プロファイルを更新する

Platform Single Sign-On 2.0とOktaデスクトップパスワード同期を使用するには、既存のシングルサインオン機能拡張プロファイルの構成にいくつか変更を加える必要があります。

1. MDMで、シングルサインオン機能拡張プロファイルを特定します。

2. プロファイルを［Edit（編集）］します。［Use Shared Device Keys（共有デバイスキーを使用）］を［Enabled（有効）］に設定します。

3. その他すべての既存プロパティはそのまま残します。

4. プロファイルを保存します。

5. 更新されたプロファイルをユーザーにプッシュするオプションが示されるときは、ここで行います。

共有デバイスキーが有効になると、登録の更新を求める通知がユーザーに送られます。これにより、ユーザーはデスクトップパスワード同期の登録プロセスを実行し、OktaパスワードをmacOSアカウントと同期させます。

どのユーザーが登録更新を完了したかは、管理者ダッシュボードにあるSystem Logレポートで次のクエリを実行することで追跡できます。

eventType eq "device.password_sync.enrollment.create" and target.detailEntry.PlatformSsoProtocol eq "2.0"

関連項目

デスクトップパスワード同期ユーザーをサポートする

macOSのジャストインタイムローカルアカウント作成

デバイスアクセスSCEP証明書をセットアップする