macOSのジャストインタイムローカルアカウント作成

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

ジャストインタイムローカルアカウント作成は、ユーザーがmacOSのログインウィンドウでOktaのユーザー名とパスワードを使用して、macOSコンピューターにアカウントを作成できるようにします。管理者は、テナントにいるOktaユーザーのアカウント作成プロセスを素早く処理することができます。これは、複数のユーザーに対応する共有のデバイスやワークステーションでは特に便利です。この機能は、Appleのアイデンティティプラットフォームであるプラットフォームシングルサインオンを使用しています。

タスク

次に示すタスクは、構成の問題を避けるために、示される順に実行してください。

  1. Admin Consoleでジャストインタイムローカルアカウント作成を有効にします。
  2. デバイスアクセスSCEP証明書を構成します。SCEP証明書はJITアカウント作成の使用に必須です。
  3. ジャストインタイムローカルアカウント作成に管理プロファイルを構成します。これらの値は、JITアカウント作成を使用する前に、PlatformSSOプロファイルに追加する必要があります。
  4. JITローカルアカウント作成を使用してmacOSデバイスを構成し、ユーザーに提供します。

開始する前に

  1. Oktaユーザー名がメール形式であることを確認します。「Oktaユーザー名のカスタム文字制限を作成する」を参照してください。「+」など、macOSが対応していない文字はユーザー名に表示されません。

  2. Oktaユーザーの氏名が入力されていることを確認してください。macOSアカウントの詳細は、この情報を使用して生成されます。

  3. Orgがユーザー名に異なる形式を使用している場合には、ユーザー名をマッピングするためにカスタム属性を作成する必要があります。VariableNamemacOSAccountUsernameまたはmacOSAccountFullNameを設定します。「アプリ、ディレクトリ、IDプロバイダーにカスタム属性を追加する」と「Profile EditorでOkta属性をアプリの属性にマッピングする」を参照してください。

デバイスアクセスSCEP証明書を構成する

macOSのジャストインタイムローカルアカウント作成には、macOSにSCEP(Simple Certificate Enrollment Protocol)証明書を構成する必要があります。これらの証明書は、モバイルデバイス管理(MDM:Mobile Device Management)ソフトウェアによってデプロイされます。APIエンドポイントへのアクセス権を付与し、APIエンドポイントを呼び出す際にデバイスの正体をOktaに明かすために使用されます。「デバイスアクセスSCEP証明書をセットアップする」を参照して手順を完了し、こちらに戻ってJITアカウント作成の有効化を続けます。

ジャストインタイムローカルアカウント作成に管理プロファイルを構成する

JITアカウント作成を使用するには、既存のMDMプロファイルで一部の構成を変更する必要があります。これらの手順は、デバイス管理にJamf Proを使用していることを前提としています。異なるMDMソリューションを使用している場合には、フィールドの名称が異なるかもしれません。

  1. MDMでPlatformSSOプロファイルを見つけます。

  2. プロファイルを[Edit(編集)]して次を有効にします。

    • Create New User at Login(ログイン時に新規ユーザーを作成) EnableCreateUserAtLogin

    • New User Authorization Mode(新規ユーザー認証モード):この値は、作成されたアカウントの権限タイプを決定します。アカウントをAdmin(管理者)またはStandard(標準)に設定します。

    • Use Shared Device Keys(共有デバイスキーを使用) UseSharedDeviceKeys

    • User Mapping(ユーザーマッピング)

      • macOSAccountUsernameAccountNameを設定します。

      • macOSAccountFullNameFullNameを使用します。

    • Registration Token(登録トークン)には必ずランダム値を設定します。SCEP証明書が登録トークンの代わりに使用されるため、このフィールドは使用されませんが、必ず入力する必要があります。

  3. com.okta.mobile.auth-service-extensionドメインのデバイス管理プロファイルを見つけます。

  4. プロファイルを[Edit(編集)]して次の内容を追加します。

    コピー 
    <key>PlatformSSO.ProtocolVersion</key>
    <string>2.0</string>

  5. プロファイルを保存します。

  6. 更新されたプロファイルをユーザーにプッシュするオプションが示されるときは、ここで行います。

参考のために、Jamf PlatformSSOプロファイルのサンプルにあるJITアカウント作成パラメーターを確認してください。

JITアカウント作成に新しいデバイスをセットアップします。

デバイス要件

JITアカウント作成を使用してデバイスまたは仮想マシンをプロビジョニングするには、以下の要件が満たされなけれなりません。

  • コンピューターがmacOS 14.0(Sonoma)以降で動作している。

  • ブートストラップトークン対応のMDMソリューションでデバイスが登録されている。詳細については、「Manually Leveraging Apple's Bootstrap Token Functionality(Appleのブートストラップトークン機能を手動で活用する)」 を参照してください。

  • セットアップアシスタントが完了し、初期のローカル管理者アカウントが作成されている。

  • プラットフォームシングルサインオンのMDMアカウントがコンピューターにプッシュされている。

  • SCEP証明書がコンピューターに存在している。

  • Okta Verify for macOSのバージョン9.25.0以降がインストールされている。

  • ユーザーがOkta内に存在している。

デバイス要件が満たされている場合、IT管理者はコンピューター上で以下の手順を完了させる必要があります。

  1. デバイスの管理者アカウントにサインインします。デバイスがSCEP証明書を使用して暗黙に登録され、デバイスIDの認証とデバイスのプラットフォームSSOキーの登録が行われます。

  2. デバイスが正常に登録されたことを確認します。

    • 登録が必要という通知が表示され、ユーザーに資格情報でのサインインが求められます。または、

    • ターミナルでapp-sso platform -sを実行します。正常に実行されると、Device Configuration.registrationCompleted = truenullではないLogin Configuration(ログイン構成)オブジェクトが返されます。

  3. デバイスが正常に登録されなかった場合には、Okta Verifyログで失敗の原因を確認してください。問題を解消したら、サインアウトしてからもう一度サインインして、デバイスの登録プロセスを実行し直します。

  4. 任意。Desktop Password Syncの登録を完了させます(IT管理者のアカウントがOkta FastPassに登録されます)。

  5. macOSデバイスで[システム環境設定] [ユーザーとグループ]を開いて、コンピューター上に類似した名前でアカウントが重複(j.smithjl.smithなど)していないことを確認します。重複している場合には、余分なユーザーを削除して、ホームディレクトリが/Users/から削除されたことを確認します。

  6. [システム環境設定] [ロック画面] [ログインオプション] [ログイン時の表示] [名前とパスワード]を使用します。この設定は、macOSのログイン画面にユーザー名が表示されるようにします。

これで、エンドユーザーがコンピューターを使用する準備が整いました。

Jamf PlatformSSOプロファイルのサンプル

コピー 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>Configuration</key>
            <array>
                <dict>
                    <key>ApplicationIdentifier</key>
                    <string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
                    <key>AssociatedDomains</key>
                    <array>
                        <!-- replace accuhive.okta.com with your tenant address -->
                        <string>authsrv:accuhive.okta.com</string>
                    </array>
                </dict>
            </array>
            <key>PayloadDisplayName</key>
            <string>Associated Domains for Okta Verify</string>
            <key>PayloadIdentifier</key>
            <string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
            <key>PayloadOrganization</key>
            <string>CUSTOMER NAME</string>
            <key>PayloadType</key>
            <string>com.apple.associated-domains</string>
            <key>PayloadUUID</key>
            <string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
        </dict>
        <dict>
              <key>PlatformSSO</key>
                        <dict>
                            <key>AccountDisplayName</key>
                            <string>Actor</string>
                            <key>AuthenticationMethod</key>
                            <string>Password</string>
                            <key>EnableCreateUserAtLogin</key>
                            <true/>
                            <key>TokenToUserMapping</key>
                            <dict>
                                <key>AccountName</key>
                                <string>macOSAccountUsername</string>
                                <key>FullName</key>
                                <string>macOSAccountFullName</string>
                            </dict>
                            <key>UseSharedDeviceKeys</key>
                            <true/>
                        </dict>
                        <key>RegistrationToken</key>
                        <string>********</string>
            <key>ExtensionIdentifier</key>
            <string>com.okta.mobile.auth-service-extension</string>
            <key>Hosts</key>
            <array/>
            <key>TeamIdentifier</key>
            <string>B7F62B65BN</string>
            <key>Type</key>
            <string>Redirect</string>
            <key>URLs</key>
            <array>
                <!-- replace accuhive.okta.com with your tenant address -->
                <string>https://accuhive.okta.com/device-access/api/v1/nonce</string>
                <string>https://accuhive.okta.com/oauth2/v1/token</string>
            </array>
            <key>PayloadDisplayName</key>
            <string>Okta Verify Sign-On Extensions Payload</string>
            <key>PayloadIdentifier</key>
            <string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
            <key>PayloadOrganization</key>
            <string>CUSTOMER NAME</string>
            <key>PayloadType</key>
            <string>com.apple.extensiblesso</string>
            <key>PayloadUUID</key>
            <string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
        </dict>
    </array>
    <key>PayloadDescription</key>
    <string>Okta PSSO extension configuration</string>
    <key>PayloadDisplayName</key>
    <string>Okta PSSO extension</string>
    <key>PayloadIdentifier</key>
    <string>com.customer-name.profiles.ssoextension</string>
    <key>PayloadOrganization</key>
    <string>CUSTOMER NAME</string>
    <key>PayloadScope</key>
    <string>System</string>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>D78FE406-0C61-4007-8C51-FFA5FDE5F54B</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

次の手順

Desktop MFAユーザーをサポートする

デスクトップパスワード同期ユーザーをサポートする