macOSのプラットフォームSSO
Oktaはプラットフォームシングルサインオン(プラットフォームSSO)を使用して、ユーザーが1組の資格情報だけでシームレスにサインインできるようにすることで、macOSの認証を簡素化します。これらの機能により、パスワードの負担が軽減され、デバイスのプロビジョニングが合理化され、セキュリティが強化され、組織全体にスムーズなユーザーエクスペリエンスが提供されます。
プラットフォームSSOはmacOSと密接に統合し、macOSログインウィンドウから直接パスワードレスまたはパスワード同期された認証を提供することで、企業のセキュリティおよび使いやすさの向上をサポートします。
PSSOでどのような問題を解決できますか?
PSSOは、現代のエンタープライズにおけるセキュリティとユーザーエクスペリエンスのさまざまな課題に対応できるように設計されています。
-
デバイスプロビジョニング:macOSの初期セットアップ中にデバイスを登録し、Oktaアカウントをリンクします(Okta FastPassを含む)。これにより、ITのオーバーヘッドとデプロイ時間が削減されます。
-
ユーザーエクスペリエンス:コンテキストを切り替えることなく、macOSログインウィンドウから直接、スムーズな認証を可能にします。
-
柔軟なセキュリティオプション:組織のセキュリティ要件に基づいて、パスワード同期またはパスワードレス認証のいずれかを選択できます。
-
セキュリティポスチャの強化:Secure Enclaveにより保護されたキーまたはデスクトップパスワード同期を使用して、ハードウェア保護されたセッションを可能にします。
プラットフォームSSO認証方法を選択する
デバイスの構成を開始する前に、Secure Enclaveにより保護されたキーまたはデスクトップパスワード同期という2つの異なる認証方法について、戦略的な決定を下す必要があります。この選択により、macOSデバイスでのセキュリティポスチャとユーザーエクスペリエンスが定義されます。
戦略を決定したら、適切な認証方法の設定方法が記載された、特定のMDMの実装ガイドに従います。
次の表では、各認証方法で使用可能な機能の概要を示します。
| 機能 | Secure Enclave | デスクトップパスワード同期 |
|---|---|---|
|
macOS 14 Sonoma以降でサポート |
● |
● |
|
ロック解除でのTouch IDのサポート |
● |
● |
|
プラットフォームSSOセットアップにはMFAが必要 |
● |
● |
|
Appleセットアップアシスタントを介したプラットフォームSSO登録のサポート |
● |
● |
|
Okta FastPassでユーザーを自動的に登録 |
● |
● |
|
Okta FastPassを使用してデバイスバウンドSSOセッションを作成し、ユーザー検証をクレーム |
● |
|
|
パスワードクレームを使用してデバイスバウンドSSOセッションを作成 |
● |
|
|
ローカルのmacOSパスワードをOktaと同期 |
● |
|
|
Okta資格情報を使用したセルフサービスのデバイスアカウント作成 |
● |
Secure Enclaveにより保護されたキー
プラットフォームSSOがSecure Enclaveにより保護されたキーを使用するように構成されている場合、OktaはユーザーがmacOSデバイスにサインインした後に、パスワードレスの認証を提供します。ユーザーは生体認証またはデバイスに紐づいた資格情報を使用して、シームレスに認証できるため、エンタープライズグレードのセキュリティを維持しながら、パスワードの同期は不要になります。
Secure Enclaveにより保護されたキーの主なメリット
-
パスワードレス認証により、アプリのサインインプロセスからパスワードが完全に排除され、資格情報の公開と攻撃対象領域が削減されます。
-
ハードウェア格納型セキュリティは、AppleのSecure Enclaveを使用して、エンタープライズレベルの保護で資格情報を保存および管理します。
-
生体認証を優先したエクスペリエンスにより、Touch IDやその他の生体認証方法を使用でき、直感的でスムーズなサインインフロー が可能になります。
-
資格情報管理の簡素化により、パスワード同期が不要になります。
-
合理化されたデバイスプロビジョニングにより、初期デバイスセットアップ中にAppleセットアップアシスタントを介した登録をサポートします。
-
標準コンプライアンスは、パスワードレスのハードウェア格納型の認証に関する規制の要件を満たす上で役立ちます。
Secure Enclaveにより保護されたキーを使用したユーザーエクスペリエンス
Secure Enclaveにより保護されたキーを使用すると、ユーザーは最初の認証後に、Touch IDまたはローカルのデバイスに紐づいた知識要素を使用してデバイスに認証できます。
ユーザーがmacOSデバイスにサインインすると、プラットフォームSSOはデバイスのSecure Enclaveに保存されているハードウェアに紐づいた暗号化キーにアクセスします。PSSOは、このキーを使用してデバイスバウンドSSOセッションを作成します。このセッションは、デバイスパスコードまたは生体認証によるユーザー検証とともに、Okta FastPassを必要とする後続の認証ポリシー評価を満たします。
デスクトップパスワード同期
この方法では、プラットフォームシングルサインオン(プラットフォームSSO)を使用して、ユーザーのローカルmacOSアカウントのパスワードをOktaパスワードに同期します。ユーザーのパスワードは、デバイスとOktaにより保護されたアプリの両方に対して1つだけです。
デスクトップパスワード同期の主なメリット
-
完全なパスワードレスエクスペリエンスの準備ができていない組織では、デスクトップパスワード同期を使用することで、同期していないローカルパスワードとクラウドパスワードによる混乱やヘルプデスクチケットを排除できます。
-
ユーザーにとって、使い慣れた一貫的なサインインエクスペリエンスを提供できます。
-
合理化されたデバイスプロビジョニングにより、初期デバイスセットアップ中にAppleセットアップアシスタントを介した登録をサポートします。
-
ジャストインタイムのローカルアカウント作成により、IT管理者は新しいローカルアカウントをデプロイできます。
デスクトップパスワード同期を使用したユーザーエクスペリエンス
既存のmacOSアカウントの場合、ユーザーは既存のローカルパスワードを使用してデバイスにサインインします。ユーザーには、デバイスの登録およびローカルアカウントとOktaのリンクを求めるプロンプトが表示されます。登録が完了すると、ローカルアカウントのパスワードがOktaのパスワードと同期され、ユーザーはOktaのパスワードを使ってmacOSにサインインできます。デスクトップパスワード同期は、ユーザーのローカルmacOSパスワードをOktaパスワードに置き換えます。
PSSOの登録フローでユーザーがOkta FastPassに登録され、Touch IDが有効化される場合があります。
新しいmacOSデバイスの場合、ユーザーがシステムをオンにすると、Appleセットアップアシスタントに進みます。ただし、標準のmacOS コンピューターアカウントの作成(Create a Computer Account)ページではなく、Oktaのサインインウィンドウがユーザーに表示されます。
その後、ユーザーはOktaのメール、パスワード、および必要なMFAを使用して認証します。認証が成功すると、ローカルのmacOSアカウントが自動的に作成され、Okta IDにリンクされます。
PSSOでは、ユーザーがパスワードを使用してmacOSデバイスにサインインするときに、デバイスバウンドSSOセッションも作成できます。このセッションは、パスワードによるユーザー検証を必要とする後続の認証ポリシー評価を満たします。
ジャストインタイムのローカルアカウント作成
ジャストインタイム(JIT)ローカルアカウント作成はOktaのデスクトップパスワード同期の機能です。これにより、すでにデプロイされているmacOSデバイスで新しいユーザーアカウントをオンデマンドで作成できます。
JITローカルアカウントの作成は、Appleセットアップアシスタントを介した初期のID優先オンボーディングフローとは別の概念です。この機能では新しいローカルアカウントの作成にパスワードが必要なため、デスクトップパスワード同期を使用するためにPSSOを構成する場合にのみ使用できます。
「のジャストインタイムローカルアカウント作成macOS 」を参照してください。
開始する前の確認事項
PSSOを構成してデプロイするには、環境で以下の要件を満たす必要があります。
-
Okta Device Accessが有効なOkta Identity Engine orgがある。
-
orgおよびモバイルデバイス管理ソリューションでOktaアプリを構成するために必要な管理者権限がある。
-
orgでOkta Verify Authenticatorがセットアップされている。
-
macOSデバイスが、Apple siliconでサポートされるオペレーティングシステムのバージョンを実行している。詳細については、「Okta Verifyでサポートされているプラットフォーム」を参照してください。
-
Okta Admin Consoleを介してmacOS向けのOkta Verifyの最新バージョンをダウンロードします。「向けOkta VerifyのダウンロードmacOS 」を参照してください。
-
Okta orgにプラットフォームSSOアプリを追加して構成します。アプリカタログでアプリが見つからない場合は、アカウント担当者までお問い合わせください。
-
デバイスアクセス証明書を構成します。
-
デバイスはモバイルデバイス管理(MDM)ソリューションを使用して管理されます。
-
macOS 26 Tahoe以降を実行するデバイスのセットアップアシスタントには、Apple 自動デバイス登録(ADE)が必要です。
-
Okta FastPassでorgの構成に基づく生体認証が求められる場合、既存のmacOSアカウントを持つユーザーは、PSSOの登録フローを開始する前にTouch IDをセットアップする必要があります。
デスクトップパスワード同期のその他の要件
-
デプロイする前に、MDMでmacOSパスワードの有効期限を無効にしてください。orgでパスワードのローテーションが必要な場合は、それを必要とするOktaアカウントにパスワードの有効期限を追加してください。
-
ユーザーにパスワードが構成されている。
-
ユーザーはデバイスごとに1つのOktaアカウントのみを登録できます。たとえば、ユーザーが
jane@example.comとしてデスクトップパスワード同期に登録されていて、デバイス上のローカルアカウントを使って同期されるシナリオを考えてみましょう。つまり、jane@example.comユーザーは、デバイスが出荷時の設定に復元されない限り、同じOkta資格情報を持つ2つ目のローカルアカウントを登録できません。
モバイルデバイス管理構成ガイド
macOSデバイスでデスクトップパスワード同期またはSecure Enclaveにより保護されたキーをセットアップするには、プラットフォームSSO認証を使用する拡張可能なシングルサインオン(SSO)ペイロードデプロイメントをサポートした任意のMDMソリューションを使用できます。
MDMは、管理対象プロファイルを作成し、ペイロードをデプロイして、デバイスでPSSOを有効にします。
|
PSSO方式 |
構成ガイド |
|---|---|
|
Secure Enclave |
|
|
デスクトップパスワード同期 |