macOSデバイスバウンドSSOを構成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

デバイスバウンドシングルサインオンの機能は、ユーザーをセッションハイジャックから保護し、能率的なサインインエクスペリエンスを提供します。Oktaで保護されたアプリにユーザーがアクセスする際の認証プロンプトを少なくできます。

開始する前に

  • org向けのデスクトップパスワード同期を構成すること。「macOS向けのデスクトップパスワード同期」を参照してください。
  • デバイスがmacOS 14 Sonoma以降で動作しており、Secure Enclaveハードウェアを備えていること。
  • デバイスにmacOS用のOkta Verifyバージョン9.56.0以降がインストールされて動作していること。
  • SCEP(Simple Certificate Enrollment Protocol)を使用して、Device Access証明書をデバイスにインストールすること。「デバイスアクセス証明書」を参照してください。
  • ユーザーがOkta FastPassに登録されていること。

デバイスバウンドSSOをユーザーのデバイスにデプロイする

macOSOkta-joinedの状態を有効にするには、特定の構成キーを適切なドメインにプッシュ必要があります。

  1. デバイスバウンドSSOに登録するデバイスを特定します。

  2. シングルサインオン機能拡張プロファイルの[URLs(URL)]パラメーターに次のURLを追加します: https://customerorg.okta.com/v1/auth/device-sign

    SSO機能拡張プロファイルを作成する」を参照してください。

  3. com.okta.deviceaccess.servicedaemonドメインの構成plistファイルにOktaJoinEnabledキーを追加します。

    コピー 
    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
    <dict>
        <key>OktaJoinEnabled</key>
        <true/>
    </dict>
    </plist>

  4. 特定したデバイスについては、デバイス管理ソリューション(MDM)を使用して構成プロファイルを更新します。

認証ポリシールールを構成する

デバイスバウンドSSOのために認証ポリシーを作成する必要はありません。ただし、既存のルールを追加または編集してデバイスバウンドSSOを含めと、Okta-joinedのデバイスとアプリとのやり取りを制御できます。

たとえば、暗号で紐づけたデバイスの方がセッションのセキュリティが確実なので、Okta-joinedのデバイスで認証リクエストの間の期間を長くできます。

アプリサインオンポリシーでデバイスバウンドSSOを適用するには、次の手順に従います。

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. [App sign-in policies(アプリサインインポリシー)]を開きます。

  3. デバイスバウンドSSOで有効にするアプリに既存のポリシーがある場合は、そのポリシーの[Actions(アクション)]メニューにある[Edit(編集)]をクリックします。ポリシーがない場合は、[Create policy(ポリシーを作成)]をクリックします。

  4. Okta-joinedのデバイス用にルールを作成します。このルールの下で、Oktaはリソース認証のためのデバイスセッションの使用を許可します。

    1. [Add Rule(ルールを追加)]をクリックします。

    2. ルールに適切な名前を付けます(例:Devices that are Okta-joied)。

    3. [Device State(デバイスの状態)][Registered(登録済み)]に設定します。

    4. カスタム式フィールドには、Okta Expression Languageステートメントでdevice.provider.deviceAccess.joined == trueと入力します。

      こうすると、Okta-joinedでありデバイスバウンドSSOに適したデバイスがすべて記録されます。

    5. [Prompt for authentication(認証のためのプロンプト)]を以下のいずれかに設定します。

      • [When it's been over a specified length of time since the user accessed any resource protected by the active Okta global session(アクティブなOktaグローバルセッションによって保護されるリソースにユーザーがアクセスしてから指定の時間が経過したとき)]。指定された期間中にユーザーがサイレントにアプリにアクセスできるようにするには、このオプションを選択します。

      • [When an Okta global session doesn't exist(Oktaグローバルセッションが存在しないとき)]。デバイスセッション全体でユーザーがサイレントにアプリにアクセスできるようにするには、このオプションを選択します。

デバイスの状態を確認する

Okta FastPass登録中に、デバイスはOkta Universal Directoryに一意のオブジェクトとして登録されます。

  1. Admin Consoleで、[Directory(ディレクトリ)] [Devices(デバイス)]に移動します。

  2. デバイスのステータスを確認します。

    • デバイスを一時停止または非アクティブ化すると、ユーザーはデバイスバウンドSSOで認証できなくなります。ただし、デバイスを再度アクティブにした後([Activate(アクティブ化)]または[Unsuspend(一時停止を解除)]を使用)は、デバイスバウンドSSOを再度使用できます。

    • 非アクティブ化したデバイスを削除した場合は、Device Access証明書を再デプロイする必要があります。ユーザーは、デバイスバウンドSSOで再度認証を行う前に、Okta FastPassに登録する必要があります。

  3. デバイスのステータスに[Active(アクティブ)]と表示されていることを確認します。