エンドユーザーアカウントを macOSにリンクする
Okta Desktop MFAのmacOSでのアカウントリンクは、ユーザーのローカルmacOSユーザーアカウントとOkta IDを接続します。
これにより、ユーザーは自分のOkta MFA要素を使用してmacOSコンピューターにサインインできます。デバイスのOktaパスワードもリンクする場合は、macOS向けのデスクトップパスワード 同期を使用します。
要件
-
Okta VerifyはmacOSのサインインプロセスとOktaの間のブリッジとして機能し、デバイス登録とユーザー認証を処理します。Apple App StoreバージョンはOkta Device Access機能をサポートしていないため、Okta Admin Consoleからダウンロードしたバージョンを使用してください。
-
macOSデバイスにOkta Verify パッケージと必要な構成プロファイルをデプロイするためのモバイルデバイス管理(MDM)ソリューション(Jamf Pro、Kandji、Microsoft Intuneなど)。これらのプロファイルには、Desktop MFAを有効にし、その動作を定義する設定が含まれます。
-
macOS用に構成されたAdmin Console内のDesktop MFAアプリ統合。このアプリには、デプロイメントで使用される一意のクライアントIDとシークレットがあります。「macOS向けDesktop MFAアプリを作成して構成する」を参照してください。
エンドユーザーの手順
-
Desktop MFAがmacOSデバイスにデプロイされた後、ユーザーがコンピューターに初めてサインインするとき、システムによってOktaアカウントにサインインするよう求められます。
-
ユーザーがOktaユーザー名を入力します。
-
Okta は、org用に構成された方法を使用してMFAチャレンジを発行します。
-
Okta Verify Pushが最も一般的であり、Okta Verify がインストールされたユーザーのモバイルデバイスにプッシュ通知が送信されます。ユーザーが電話でリクエストを承認する。orgの構成によっては、セキュリティ強化のための番号チャレンジが含まれる場合があります。
-
Okta Verify TOTPメソッドの場合、ユーザーはモバイルデバイスのOkta Verifyアプリによって生成されたコードを入力します。
-
FIDO2セキュリティキー方式を使用すると、ユーザーは認証用に構成されたセキュリティキー(YubiKeyなど)を使用してサインインできます。「Desktop MFA for macOsにFIDO2キーの使用を構成する」を参照してください。
-
-
ユーザーがMFAチャレンジを正常に完了させると、ユーザーのローカルmacOSアカウントがOkta IDにリンクされます。
このプロセスの一環として、ユーザーはオフライン認証要素をセットアップするよう求められます。これにより、システムがオフラインの場合やプライマリOkta Verifyデバイスにアクセスできない場合でもコンピューターにサインインできるようになります。macOSでサポートされるプライマリオフライン要素は、オフラインのワンタイムパスワードです。
-
最初のリンク後、ユーザーはOkta資格情報と構成済みのMFA要素を使用してコンピューターへのサインインを続けられます。