デスクトップパスワード同期のデバイス管理プロファイルを構成する

macOS向けのデスクトップパスワード同期をセットアップし、管理対象プロファイルを作成してデバイスのパスワード同期ワークフローを有効にします。プラットフォームSSO認証が有効な、拡張可能なSSOペイロードデプロイメントをサポートするデバイス管理ソリューションであれば、どのようなものでも使用できます。これらの手順は、デバイス管理にJamf Proを使用していることを前提としています。

macOS向けのデスクトップパスワード同期が完全に機能するには、次の3種類のペイロードが必要です。

  1. コンピューターレベルでデプロイされた、拡張可能なシングルサインオンプロファイル。

  2. AssociatedDomainペイロード。これは、拡張可能なシングルサインオン機能拡張と同じプロファイルに存在する可能性があります。

  3. orgのURL、ユーザー名、クライアントIDが含まれる管理対象アプリ構成。ユーザー名とクライアントIDはデスクトップパスワード同期に固有であり、SSO拡張ドメインのみにスコープされている必要があります。Okta優先ドメインごとに個別のエントリを追加する必要があります。

セットアップ中に、orgのURLが何回か求められます(例:https://customerorg.okta.com)。org URLが求められるたびに、同じorg URLを使用してください。カスタムドメインが構成されているときは、カスタムドメインのURLを使用します。

タスク

シングルサインオン機能拡張プロファイルを作成する

SSO機能拡張はmacOSサインインウィンドウに拡張され、ユーザーが自分のOkta資格情報を使ってコンピューターをロック解除できるようにします。ローカルアカウントのパスワードは自動的に同期されるため、ローカルパスワードとOktaパスワードは一致します。次のパラメーターを使ってデバイス管理ソフトウェアでプロファイルを作成します。

  • ペイロードタイプ:SSO

  • 機能拡張の識別子com.okta.mobile.auth-service-extension

  • チームの識別子B7F62B65BN

  • サインオンタイプ:リダイレクト

  • URL:Okta orgのURLに/device-access/api/v1/nonce/oauth2/v1/tokenというパスを追加します。次の例を参照してください。

    • https://customerorg.okta.com/device-access/api/v1/nonce

    • https://customerorg.okta.com/oauth2/v1/token

  • プラットフォームSSOの使用:有効

  • 認証方法:パスワード

  • アプリの識別子B7F62B65BN.com.okta.mobile.auth-service-extension

  • 関連ドメイン:orgのURLの直前にauthsrv:を加えたものとなります(例:authsrv:customerorg.okta.com)。詳細については、AppleのAssociatedDomainsのドキュメントを参照してください。

  • アカウント表示名:通知と認証リクエストのアカウントの表示名。これは、ユーザー固有のレベルではなく、システムレベルで設定されます。ここで設定した値はすべてのユーザーに表示されます。

デバイス管理プロファイルを作成する

管理対象アプリの構成により、macOS Okta Verifyデスクトップパスワード同期の内蔵機能を有効にすることができます。

macOSデバイス向けに管理対象アプリの構成を新たに作成します。新しいプロファイルで2つのOkta優先ドメインのそれぞれにペイロードエントリを個別に作成します。どちらのエントリにも同じプロパティリストを使用できます。

優先ドメイン コメント
com.okta.mobile <plist version="1.0"> <dict> <key>OktaVerify.OrgUrl</key> <string>https://customerorg.okta.com</string> <key>OktaVerify.UserPrincipalName</key> <string>$USERNAME</string> </dict> </plist>

Okta VerifyまたはOkta FastPass向けにこれがすでに作成されているときは、再作成の必要はありません。デスクトップパスワード同期にも同じ構成を使用できます。

com.okta.mobile.auth-service-extension <plist version="1.0"> <dict> <key>OktaVerify.OrgUrl</key> <string>https://replace-with-your-org-URL</string> <key>OktaVerify.UserPrincipalName</key> <string>$USERNAME</string> <key>OktaVerify.PasswordSyncClientID</key> <string>replace-with-your-client-ID</string> </dict> </plist>

orgのURLとクライアントIDは、適切なものに置き換えてください。デスクトップパスワード同期のセットアッププロセス全体で、同じorg URL(https://customerorg.okta.com)を使用します。クライアントIDについては、「macOS向けのデスクトップパスワード同期を構成する」を参照してください。

OktaVerify.UserPrincipalName$USERNAMEのオプション値であり、Sign-In Widgetでは自動的にユーザー名が取り込まれます。値が指定されていないときは、サインイン時にユーザーが自分のユーザー名を入力する必要があります。

スコープ内のすべてのコンピューターにプロファイルを配布するか、新たに関連付けられたデバイスのみに配布します。

デバイス管理プロファイルを作成して配布すると、管理対象ユーザーは自分のローカルmacOSパスワードとOktaパスワードを同期できるようになります。ローカルmacOSパスワードとOktaパスワードを同期させるには登録が必要であることは、ユーザーへのシステム通知メッセージで示されます。デスクトップパスワード同期は、登録プロセスの一部としてOkta FastPassのセットアップも行います。ユーザーは、すでにOkta FastPassを有効にしているかもしれません。Okta FastPassの生体認証が有効な場合、デスクトップパスワード同期の登録フローでは、Okta FastPassの正しいセットアップのためにTouch IDがユーザーに求められます。

MDMセットアップの例

MDMの適切な形式を選択します。

汎用MDM

com.apple.com.associated-domainペイロード:

コピー
<key>PayloadType</key>
<string>com.apple.associated-domains</string>
<key>Configuration</key>
<array>
<dict>
<key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
<key>AssociatedDomains</key>
<array>
<string>authsrv:customerorg.okta.com</string>
</array>
</dict>
</array>

com.apple.extensiblessoペイロード:

コピー
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>ExtensionIdentifier</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>Hosts</key>
<array/>
<key>TeamIdentifier</key>
<string>B7F62B65BN</string>
<key>Type</key>
<string>Redirect</string>
<key>URLs</key>
<array>
<string>https://customerorg.okta.com/device-access/api/v1/nonce</string>
<string>https://customerorg.okta.com/oauth2/v1/token</string>
</array>

com.okta.mobileペイロード:

コピー
<key>PayloadType</key>
<string>com.okta.mobile</string>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.UserPrincipalName</key>
<string>username@domain.com</string>

com.okta.mobile.auth-service-extensionペイロード:

コピー
<key>PayloadType</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>your-client-ID</string>
<key>OktaVerify.UserPrincipalName</key>
<string>username@domain.com</string>

Jamf Proの例

com.okta.mobile優先ドメイン:

コピー
<plist version="1.0">
<dict>
<key>OktaVerify.OrgUrl</key>
<string>https://customerorg.okta.com</string>
</dict>
</plist>

com.okta.mobile.auth-service-extension優先ドメイン:

コピー
<plist version="1.0">
<dict>
<key>OktaVerify.OrgUrl</key>
<string>https://replace-with-your-org-URL</string>
<key>OktaVerify.UserPrincipalName</key>
<string>$USERNAME</string>
<key>OktaVerify.PasswordSyncClientID</key>
<string>replace-with-your-client-ID</string>
</dict>
</plist>

Kandjiの例

デスクトップパスワード同期の構成:

コピー
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>Configuration</key>
<array>
<dict>
<key>ApplicationIdentifier</key>
<string>B7F62B65BN.com.okta.mobile.auth-service-extension</string>
<key>AssociatedDomains</key>
<array>
<!-- replace accuhive.okta.com with your tenant address -->
<string>authsrv:accuhive.okta.com</string>
</array>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Associated Domains for Okta Verify</string>
<key>PayloadIdentifier</key>
<string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.apple.associated-domains</string>
<key>PayloadUUID</key>
<string>F65C9B21-13AD-4F46-86E5-C3352E7D97B6</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
<dict>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>ExtensionIdentifier</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>Hosts</key>
<array/>
<key>TeamIdentifier</key>
<string>B7F62B65BN</string>
<key>Type</key>
<string>Redirect</string>
<key>URLs</key>
<array>
<!-- replace accuhive.okta.com with your tenant address -->
<string>https://accuhive.okta.com/device-access/api/v1/nonce</string>
<string>https://accuhive.okta.com/oauth2/v1/token</string>
</array>
<key>PayloadDisplayName</key>
<string>Okta Verify Sign-On Extensions Payload</string>
<key>PayloadIdentifier</key>
<string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.apple.extensiblesso</string>
<key>PayloadUUID</key>
<string>77058B08-6943-4DEC-899A-721F55B4EEE8</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDescription</key>
<string>Okta PSSO extension configuration</string>
<key>PayloadDisplayName</key>
<string>Okta PSSO extension</string>
<key>PayloadIdentifier</key>
<string>com.customer-name.profiles.ssoextension</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>D78FE406-0C61-4007-8C51-FFA5FDE5F54B</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>

Okta Verifyの構成:

コピー
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<!-- replace accuhive.okta.com with your tenant -->
<key>OktaVerify.OrgUrl</key>
<string>https://accuhive.okta.com</string>
<!-- replace YOUR_CLIENT_ID with your Desktop Password Sync app Client ID -->
<key>OktaVerify.PasswordSyncClientID</key>
<string>YOUR_CLIENT_ID</string>
<!-- optional keys-->
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.ReportDiagnostics</key>
<true/>
<key>OktaVerify.UserPrincipalName</key>
<string>username@domain.com</string>
<!-- optional keys-->
<key>PayloadDescription</key>
<string>Configures Okta Verify settings</string>
<key>PayloadDisplayName</key>
<string>Okta Verify configuration</string>
<key>PayloadIdentifier</key>
<string>DEB5863A-E503-468C-A3DE-D90479F1E10A</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.okta.mobile</string>
<key>PayloadUUID</key>
<string>1D89FEA8-BAFE-42F5-9393-634BE23009D8</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
<dict>
<!-- replace accuhive.okta.com with your tenant -->
<key>OktaVerify.OrgUrl</key>
<string>https://accuhive.okta.com</string>
<!-- replace YOUR_CLIENT_ID with your Desktop Password Sync app Client ID -->
<key>OktaVerify.PasswordSyncClientID</key>
<string>YOUR_CLIENT_ID</string>
<!-- optional keys-->
<key>OktaVerify.EnrollmentOptions</key>
<string>SilentEnrollmentEnabled</string>
<key>OktaVerify.ReportDiagnostics</key>
<true/>
<key>OktaVerify.UserPrincipalName</key>
<string>username@domain.com</string>
<!-- optional keys-->
<key>PayloadDescription</key>
<string>Configures Okta Verify settings</string>
<key>PayloadDisplayName</key>
<string>Okta Verify (auth service) configuration</string>
<key>PayloadIdentifier</key>
<string>E5F1356E-3B04-43F7-8E8C-2213F7D74B13</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadType</key>
<string>com.okta.mobile.auth-service-extension</string>
<key>PayloadUUID</key>
<string>6764E8E4-0A37-4206-96E2-A73B2DFA5673</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDescription</key>
<string>Configures settings</string>
<key>PayloadDisplayName</key>
<string>Okta Verify Configuration</string>
<key>PayloadIdentifier</key>
<string>com.customer-name.profiles.oktaverify</string>
<key>PayloadOrganization</key>
<string>CUSTOMER NAME</string>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>9A641D93-471C-44D7-8B54-264E842A12C8</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>

次の手順

デスクトップパスワード同期ユーザーをサポートする