デバイスバウンドSSOに関する問題のトラブルシューティング

早期アクセスリリース

デバイスバウンドシングルサインオン機能の導入時や使用時によく発生する問題を解決するために、このガイドをご使用ください。

サインインしたユーザーにMFAのプロンプトが表示される

ユーザーがデバイスでサインインしても、Oktaで保護されたアプリをブラウザーで開くときにMFAプロンプトが表示されます。

考えられる原因と解決策は次のとおりです。

1. ユーザーがアプリサインインポリシーの要件を満たすAuthenticatorを提供していない。

   この問題を解決するには、ユーザーのDesktop MFAフローから提供される要素を必須にするようにアプリサインインポリシーを変更します。

2. システムがオフライン中にユーザーがデバイスにサインインした。デバイスバウンドSSOはオンライン専用の機能なので、デバイスセッションにはOktaへの接続が必要です。

   デバイスセッションを開始するには、ユーザーがオンライン状態であり、ブラウザー内のOkta FastPassなどのオンライン認証を実行することを確認します。

3. ユーザーがその特定デバイスのOkta FastPassに登録されていない。

   この問題を解決するには、ユーザーがOkta Verifyアプリを開いてOkta FastPass登録ステータスを確認します。

macOSでOkta Verifyを開くプロンプトが繰り返し表示される

デバイスバウンドSSOの早期アクセスリリースでは、Secure Enclaveに保存された プラットフォームSSOキーにアクセスするために、ループバックメカニズムを使用する必要があります。

macOSの資格情報シングルサインオン機能拡張は使用されないため、デバイスバウンドSSOを正しく機能させるには、Okta Verifyが実行されている必要があります。

この問題を解決するには、次のオプションを試してください。

• Okta Verifyアプリが実行されていることを確認します。

• MDMでOkta Verifyを［Managed Login Item（管理対象ログイン項目）］として追加します。

デバイスがOkta-joinedと認識されない

認証ポリシーにdevice.provider.deviceAccess.joined == trueというステートメントが含まれているのに、デバイスがUniversal Directoryに表示されません。

この問題を解決するには、次のオプションを試してください。

1. オペレーティングシステムのクライアント構成を検証します。

   • Windows：デバイスバウンドSSOをユーザーのデバイスにデプロイする

   • macOS：デバイスバウンドSSOをユーザーのデバイスにデプロイする

2. Device Access証明書がデバイスに正常に発行されたことを確認します。

制限事項

• デバイスがオフラインの場合、Oktaはデバイスセッションの作成や維持を行いません。

• Windowsとは異なり、macOSのデスクトップにサインインしてもデバイスセッションは自動的に作成されません。セッションを確立するには、ユーザーはオンライン認証方式を使って、Oktaで保護されたアプリにサインインする必要があります。

• デバイスバウンドシングルサインオンは、macOS 14 Sonomaの標準ユーザーではサポートされません。