macOSでデバイスバウンドSSOを構成する

デバイスバウンドシングルサインオンは、ユーザーをセッションハイジャックから保護し、能率的なサインインエクスペリエンスを提供します。Oktaで保護されたアプリにユーザーがアクセスする際の認証プロンプトを少なくできます。

開始する前に

org向けのデスクトップパスワード同期を構成すること。プラットフォームSSOについては、「macOS 」を参照してください。
デバイスがmacOS 14 Sonoma以降で動作しており、Secure Enclaveハードウェアを備えていること。
デバイスにmacOS用のOkta Verifyバージョン9.56.0以降がインストールされて動作していること。
Simple Certificate Enrollment Protocolを使用して、デバイスアクセス証明書をデバイスにインストールします。デバイスアクセス証明書を参照してください。
ユーザーがOkta FastPassに登録されていること。

デバイスバウンドSSOをユーザーデバイスにデプロイする

macOSでOkta-joinedの状態を有効にするには、特定の構成キーを適切なドメインにプッシュ必要があります。

デバイスバウンドSSOに登録するデバイスを特定します。
シングルサインオン機能拡張プロファイルのURLs（URL）パラメーターに次のURLを追加します： https://customerorg.okta.com/v1/auth/device-sign。

com.okta.deviceaccess.servicedaemonドメインのプロパティリストファイルにOktaJoinEnabledキーを追加します。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>OktaJoinEnabled</key>
    <true/>
</dict>
</plist>

特定したデバイスについては、デバイス管理ソリューション（MDM）を使用して構成プロファイルを更新します。

認証ポリシールールを構成する

デバイスバウンドSSOのために認証ポリシーを作成する必要はありません。ただし、既存のルールを追加または編集してデバイスバウンドSSOを含めと、 Okta-joinedのデバイスとアプリとのやり取りを制御できます。

たとえば、暗号で紐づけたデバイスの方がセッションのセキュリティが確実なので、 Okta-joinedのデバイスで認証リクエストの間の期間を長くできます。

注:

デバイス状態（Device State）が登録済み（Registered）に設定されたルール条件でユーザーがアプリへのアクセスを試みると、Oktaを使ってハードウェアバウンドセッションが確立されます。このルールは、ポリシー内の任意の優先度レベルにできます。

ユーザーがデバイスにサインインするときに一般的に最初にアクセスするアプリに対しても、このルールが設定されていることを確認します。これには、たとえばOkta End-User Dashboard、VPNクライアント、生産性向上アプリが含まれます。

アプリサインオンポリシーでデバイスバウンドSSOを適用するには、次の手順に従います。

Admin Consoleでセキュリティ（Security） > 認証ポリシーに移動します。
アプリサインインポリシー（App sign-in policies）を開きます。
デバイスバウンドSSOで有効にするアプリに既存のポリシーがある場合は、そのポリシーのアクション（Actions）（Edit）メニューにある編集（Edit）（Actions）をクリックします。ポリシーがない場合は、ポリシーを作成（Create policy）をクリックします。

注意:
Windows： Desktop MFA アプリにこのポリシールールを追加しないでください。

macOS： Desktop MFA またはプラットフォームシングルサインオン（Platform Single Sign-on）アプリにこのポリシールールを追加しないでください。
Okta-joinedのデバイス用にルールを作成します。このルールの下で、Oktaはリソース認証のためのデバイスセッションの使用を許可します。
1. ルールを追加（Add Rule）（Add rule）をクリックします。
2. ルールに適切な名前を付けます（例：Devices that are Okta-joined）。
3. デバイスの状態（Device State）を登録済み（Registered）に設定します。
4. カスタム式フィールドには、Okta式言語ステートメントでdevice.provider.deviceAccess.joined == trueと入力します。
  
  こうすると、Okta-joinedでありデバイスバウンドSSOに適したデバイスがすべて記録されます。
5. 認証のためのプロンプト（Prompt for authentication）を以下のいずれかに設定します。
  - アクティブなOktaグローバルセッションによって保護されるリソースにユーザーがアクセスしてから指定の時間が経過したとき（When it's been over a specified length of time since the user accessed any resource protected by the active Okta global session）。指定された期間中にユーザーがサイレントにアプリにアクセスできるようにするには、このオプションを選択します。
  - Oktaグローバルセッションが存在しないとき（When an Okta global session doesn't exist）。デバイスセッション全体でユーザーがサイレントにアプリにアクセスできるようにするには、このオプションを選択します。

デバイスの状態を確認する

Okta FastPass登録中に、デバイスはOkta Okta Universal Directoryに一意のオブジェクトとして登録されます。

Admin Consoleで、ディレクトリ（Directory） > デバイス（Devices）に移動します。
デバイスのステータスを確認します。
- デバイスを一時停止または非アクティブ化すると、ユーザーはデバイスバウンドSSOで認証できなくなります。ただし、デバイスを再度アクティブにした後（アクティブ化（Activate）または一時停止を解除（Unsuspend）を使用）は、デバイスバウンドSSOを再度使用できます。
- 非アクティブ化したデバイスを削除した場合は、デバイスアクセス証明書を再デプロイする必要があります。ユーザーは、デバイスバウンドSSOで再度認証を行う前に、Okta FastPassに登録する必要があります。
デバイスのステータスにアクティブ（Active）と表示されていることを確認します。