デスクトップパスワード同期のデバイス管理プロファイルを構成する
早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。
macOS向けのデスクトップパスワード同期をセットアップし、管理対象プロファイルを作成してデバイスのパスワード同期ワークフローを有効にします。プラットフォームSSO認証が有効な、拡張可能なSSOペイロードデプロイメントをサポートするデバイス管理ソリューションであれば、どのようなものでも使用できます。これらの手順は、デバイス管理にJamf Proを使用していることを前提としています。
macOS向けのデスクトップパスワード同期が完全に機能するには、次の3種類のペイロードが必要です。
-
コンピューターレベルでデプロイされた、拡張可能なシングルサインオンプロファイル。
-
AssociatedDomainペイロード。これは、拡張可能なシングルサインオン機能拡張と同じプロファイルに存在する可能性があります。
-
orgのURL、ユーザー名、クライアントIDが含まれる管理対象アプリ構成。ユーザー名とクライアントIDはデスクトップパスワード同期に固有であり、SSO拡張ドメインのみにスコープされている必要があります。Okta優先ドメインごとに個別のエントリを追加する必要があります。
セットアップ中に、orgのURLが何回か求められます(例:https://customerorg.okta.com)。org URLが求められるたびに、同じorg URLを使用してください。カスタムドメインが構成されているときは、カスタムドメインのURLを使用します。
タスク
シングルサインオン機能拡張プロファイルを作成する
SSO機能拡張はmacOSサインインウィンドウに拡張され、ユーザーが自分のOkta資格情報を使ってコンピューターをロック解除できるようにします。ローカルアカウントのパスワードは自動的に同期されるため、ローカルパスワードとOktaパスワードは一致します。
Okta Verify向けのシングルサインオン機能拡張(SSOE)プロファイルがすでにセットアップされているかもしれません。デスクトップパスワード同期向けの第2のSSOEプロファイルが必要です。次のパラメーターを使ってデバイス管理ソフトウェアでプロファイルを作成します。
-
ペイロードタイプ:SSO
-
機能拡張の識別子:com.okta.mobile.auth-service-extension
-
チームの識別子:B7F62B65BN
-
サインオンタイプ:リダイレクト
-
URL:Okta orgのURLに/device-access/api/v1/nonceと/oauth2/v1/tokenというパスを追加します。次の例を参照してください。
-
https://customerorg.okta.com/device-access/api/v1/nonce
-
https://customerorg.okta.com/oauth2/v1/token
-
-
プラットフォームSSOの使用:有効
-
認証方法:パスワード
同じプロファイルに関連ドメインフィールドを構成します。アプリの識別子にはB7F62B65BN.com.okta.mobile.auth-service-extensionを使用します。関連ドメインの形式は、orgのURLの直前にauthsrv:を加えたものとなります(例:authsrv:customerorg.okta.com)。詳細については、AppleのAssociatedDomainsのドキュメントを参照してください。
デバイス管理プロファイルを作成する
管理対象アプリの構成により、macOS Okta Verifyとデスクトップパスワード同期の内蔵機能を有効にすることができます。
macOSデバイス向けに管理対象アプリの構成を新たに作成します。新しいプロファイルで をクリックし、2つのOkta優先ドメインのそれぞれにペイロードエントリを個別に作成します。どちらのエントリにも同じプロパティリストを使用できます。
優先ドメイン | 例 | コメント |
---|---|---|
com.okta.mobile | <plist version="1.0"> <dict> <key>OktaVerify.OrgUrl</key> <string>https://customerorg.okta.com</string> <key>OktaVerify.UserPrincipalName</key> <string>$USERNAME</string> </dict> </plist> |
Okta VerifyまたはOkta FastPass向けにこれがすでに作成されているときは、再作成の必要はありません。デスクトップパスワード同期にも同じ構成を使用できます。 |
com.okta.mobile.auth-service-extension | <plist version="1.0"> <dict> <key>OktaVerify.OrgUrl</key> <string>https://customerorg.okta.com</string> <key>OktaVerify.UserPrincipalName</key> <string>$USERNAME</string> <key>OktaVerify.PasswordSyncClientID</key> <string>your-client-ID</string> </dict> </plist> |
orgのURLとクライアントIDは、適切なものに置き換えてください。デスクトップパスワード同期のセットアッププロセス全体で、同じorg URL(https://customerorg.okta.com)を使用します。 OktaVerify.UserPrincipalNameは$USERNAMEのオプション値であり、サインインウィジェットでは自動的にユーザー名が取り込まれます。値が指定されていないときは、サインイン時にユーザーが自分のユーザー名を入力する必要があります。 |
スコープ内のすべてのコンピューターにプロファイルを配布するか、新たに関連付けられたデバイスのみに配布します。
デバイス管理プロファイルを作成して配布したら、今後のサインインエクスペリエンスの変更についてエンドユーザーに通知します。ユーザーには、ローカルmacOSパスワードとOktaパスワードを同期させるには登録が必要になることを知らせるシステム通知が表示されます。デスクトップパスワード同期は、登録プロセスの一部としてOkta FastPassのセットアップも行います。Okta FastPassの生体認証が必須またはオプションに設定されている場合、デスクトップパスワード同期の登録フローは、Okta FastPassの正常なセットアップのためにTouch IDをユーザーに要求します。
汎用MDMのセットアップ
モバイルデバイスマネージャーにJamf Proを使用していないときは、これらの汎用プロファイルの例を使ってデスクトップパスワード同期に必要なペイロード構成します。
ペイロード | 例 |
---|---|
com.apple.com.associated-domain | <key>PayloadType</key> <string>com.apple.associated-domains</string> <key>Configuration</key> <array> <dict> <key>ApplicationIdentifier</key> <string>B7F62B65BN.com.okta.mobile.auth-service-extension</string> <key>AssociatedDomains</key> <array> <string>authsrv:customerorg.okta.com</string> </array> </dict> </array> |
com.apple.extensiblesso | <key>PayloadType</key> <string>com.apple.extensiblesso</string> <key>AuthenticationMethod</key> <string>Password</string> <key>ExtensionIdentifier</key> <string>com.okta.mobile.auth-service-extension</string> <key>Hosts</key> <array/> <key>TeamIdentifier</key> <string>B7F62B65BN</string> <key>Type</key> <string>Redirect</string> <key>URLs</key> <array> <string>https://customerorg.okta.com/device-access/api/v1/nonce</string> <string>https://customerorg.okta.com/oauth2/v1/token</string> </array> |
com.okta.mobile | <key>PayloadType</key> <string>com.okta.mobile</string> <key>OktaVerify.OrgUrl</key> <string>https://customerorg.okta.com</string> <key>OktaVerify.UserPrincipalName</key> <string>username@domain.com</string> |
com.okta.mobile.auth-service-extension | <key>PayloadType</key> <string>com.okta.mobile</string> <key>OktaVerify.OrgUrl</key> <string>https://customerorg.okta.com</string> <key>OktaVerify.PasswordSyncClientID</key> <string>your-client-ID</string> <key>OktaVerify.UserPrincipalName</key> <string>username@domain.com</string> |