エンドユーザーアカウントを macOSにリンクする
Okta Desktop MFAのmacOSでのアカウントリンクは、ユーザーのローカルmacOSユーザーアカウントとOkta IDを接続します。
これにより、ユーザーは自分のOkta MFA要素を使用してmacOSコンピューターにサインインできます。デバイスのOktaパスワードもリンクする場合は、macOS向けのデスクトップパスワード 同期を使用します。
要件
-
Okta Identity Engine org:ユーザーID、アプリ(Desktop MFAを含む)、ポリシーが管理されるOktaテナント。
-
Okta Verify for macOS: macOSデバイスにインストールする必要があるデスクトップアプリです。 macOSのサインインプロセスとOktaの間のブリッジとして機能し、デバイス登録とユーザー認証を処理します。Okta Admin Consoleからダウンロードしたバージョンを使用してください。Apple App StoreバージョンはOkta Device Access機能をサポートしていません。
-
モバイルデバイス管理(MDM)ソリューション: Jamf Pro、Kandji、Microsoft IntuneなどのMDMソリューションは、macOSデバイスにOkta Verify パッケージと必要な構成プロファイルをデプロイするために不可欠です。これらのプロファイルには、Desktop MFAを有効にし、その動作を定義する設定が含まれます。
-
OktaのDesktop MFAアプリ: Desktop MFA用に構成されたAdmin Console内の特定のアプリ統合です。このアプリには、デプロイメントで使用される一意のクライアントIDとシークレットがあります。
エンドユーザーの手順
-
Okta Desktop MFAがmacOSデバイスにデプロイされた後、ユーザーがコンピューターに初めてサインインするとき、システムによってデバイスアクセス用のOktaアカウントにサインインするよう求められます。
-
ユーザーがOktaユーザー名を入力します。
-
Okta は、org用に構成された方法を使用してMFAチャレンジを発行します。
-
Okta Verify Pushが最も一般的であり、Okta Verify がインストールされたユーザーのモバイルデバイスにプッシュ通知が送信されます。ユーザーが電話でリクエストを承認する。orgの構成によっては、セキュリティ強化のための番号チャレンジが含まれる場合があります。
-
Okta Verify TOTPメソッドの場合、ユーザーはモバイルデバイスのOkta Verifyアプリによって生成されたコードを入力します。
-
FIDO2セキュリティキー方式を使用すると、ユーザーは認証用に構成されたセキュリティキー(YubiKeyなど)を使用してサインインできます。「Desktop MFA for macOsにFIDO2キーの使用を構成する」を参照してください。
-
-
MFAチャレンジが正常に完了すると、ユーザーのローカルmacOSアカウントがOkta IDにリンクされます。このプロセスの一環として、ユーザーはオフライン認証要素をセットアップするよう求められます。これにより、システムがオフラインの場合やプライマリOkta Verifyデバイスにアクセスできない場合でもコンピューターにサインインできるようになります。macOSでサポートされるプライマリオフライン要素は、オフラインのワンタイムパスワードです。
-
最初のリンク後、ユーザーはOkta資格情報と構成済みのMFA要素を使用してコンピューターへのサインインを続けられます。