macOS向けデスクトップパスワード同期

macOS向けのデスクトップパスワード同期機能は、Appleのプラットフォームシングルサインオン(プラットフォームSSO)機能を使用して、ユーザーが覚えておく必要のあるパスワードの数を減らします。

デスクトップパスワード同期を構成してデプロイすると、ユーザーがデバイスを登録し、ローカルアカウントをOktaとリンクすることが求められます。登録が完了すると、ローカルアカウントのパスワードがOktaのパスワードと同期され、ユーザーはOktaのパスワードを使ってmacOSにサインインできます。デスクトップパスワード同期は、ユーザーのローカルmacOSパスワードをユーザーのOktaパスワードに置き換えます。

Admin Consoleプラットフォームシングルサインオンアプリをセットアップしてから、モバイルデバイス管理(MDM)ソリューションでデバイス管理プロファイルを構成します。プロファイルを特定のユーザーやグループにプッシュして、直ちに登録することができます。

構成によっては、デスクトップパスワード同期の登録フローがユーザーをOkta FastPassに登録し、Touch IDを有効化する場合があります。Okta FastPassで管理者とorgの構成に基づく生体認証が求められる場合、ユーザーはデスクトップパスワード同期の登録フローを開始する前にTouch IDをセットアップする必要があります。

Oktaは、macOS 13 Ventura以降で動作するmacOSコンピューターのプラットフォームSSOをサポートします。プラットフォームSSO 2.0のサポートは、macOS 14 Sonoma以降で動作するmacOSコンピューターに利用できます。プラットフォームSSO 2.0では、ユーザーはmacOSログインウィンドウから直接デスクトップパスワード同期を利用できます。

orgがプラットフォームSSO 2.0を利用している場合、ユーザーは1つのデバイスに1つのOktaアカウントのみを登録できます。たとえば、ユーザーがuser@company.comとしてデスクトップパスワード同期に登録されていて、デバイスのローカルアカウントと同期されている場合、デバイスが工場出荷時の設定に復元されない限り、user@company.comでは同じOktaユーザーに2つ目のローカルアカウントを登録できません。「macOSユーザーをサポートする」を参照してください。

タスク

構成に関する問題を回避するために、次の順でタスクを実行します。

前提条件

次の要件が満たされていることを確認します。

  • Okta Identity Engine orgを利用できる。
  • orgでOkta Verify Authenticatorがセットアップされている。
  • 使用しているmacOSコンピューターがmacOS 13 Ventura以降で動作している。
    • コンピューターがmacOS 14 Sonoma以降で動作している場合は、プラットフォームSSO 2.0プロトコルを使用します。

    • プラットフォームSSO 2.0を使用するには、アプリ統合を構成する前にデバイスアクセスSCEP証明書を使用します。

  • ペイロードのデプロイメントをサポートするモバイルデバイス管理(MDM)ソフトウェアを使ってデバイスが登録されている。
  • ユーザーにパスワードが構成されている。これはパスワードレスのサインインフローとは異なります。パスワードレスのサインインフローでは、バックグラウンドにパスワードがありますが、認証時にそのパスワードが使用されることはありません。真のパスワードレスユーザーには、設定されたパスワードがありません。
  • プラットフォームシングルサインオンアプリがorgに利用できる。アプリカタログでアプリが見つからない場合は、アカウント担当者までお問い合わせください。
  • 任意。orgでユーザー認証に生体認証が必要な場合、ユーザーは登録フローを開始する前にTouch IDをセットアップする必要があります。
  • デプロイする前に、MDMでmacOSパスワードの有効期限を無効にしてください。orgでパスワードのローテーションが必要な場合は、それを必要とするOktaアカウントにパスワードの有効期限を追加してください。

プラットフォームシングルサインオンアプリを作成して構成する

  1. Okta orgにスーパー管理者としてサインインします。

  2. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)][Catalog(カタログ)]に移動します。

  3. プラットフォームシングルサインオンを検索して、アプリを選択します。これは、 Admin Console内でデスクトップパスワード同期の新しい名前になります。

  4. [Add integration(統合を追加)]をクリックします。「This feature isn’t enabled(この機能は有効化されていません)」というエラーメッセージが返された場合は、アカウント担当者に連絡してください。

  5. [アプリケーション]リストから[プラットフォーム シングル サインオン]を開きます。

    • [一般]タブでは、アプリラベルを編集したり、デフォルトのラベルを使用したりできます。

    • [サインオン]タブで、[クライアントID]をメモします。これは、MDMで管理対象アプリの構成を作成するときに必要になります。

    • デスクトップパスワード 同期を使用するには、ユーザーにプラットフォームシングルサインオンアプリが割り当てられなければなりません。[Assignments(割り当て)]タブで、アプリを個々のユーザーまたはグループに割り当てます。

  6. [Save(保存)]をクリックします。

Okta Verify for macOSをダウンロードする

デスクトップパスワード同期は、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。

Admin Console[Settings(設定)][Downloads(ダウンロード)]に移動し、Okta Verify for macOSをダウンロードします。Okta VerifyパッケージはApple App Storeからダウンロードしてはいけません。

Okta Device Access製品が有効化されているorgであれば、デスクトップパスワード同期を構成してデプロイできます。詳しくは、アカウント担当者までお問い合わせください。

次の手順

デバイス管理プロファイルを構成する