デスクトップパスワード同期を開始する

macOS向けのOkta デスクトップパスワード同期は、Appleのプラットフォームシングルサインオン（Platform SSO）機能を使用して、ユーザーが覚えておく必要のあるパスワードの数を減らします。デスクトップパスワード同期を構成してデプロイすると、ユーザーは、デバイスの登録と、ローカルアカウントとOktaのリンクを求められます。登録が完了すると、ローカルアカウントのパスワードはOktaのパスワードと同期され、ユーザーはOktaのパスワードを使ってmacOSにサインインできます。デスクトップパスワード同期は、ユーザーのローカルmacOSパスワードをユーザーのOktaパスワードに置き換えます。

Admin Consoleでデスクトップパスワード同期アプリ統合をセットアップした上で、モバイルデバイス管理（MDM）ソリューションでデバイス管理プロファイルを構成します。プロファイルを特定のユーザーやグループにプッシュして、直ちに登録することができます。

構成によっては、デスクトップパスワード同期の登録フローがユーザーをOkta FastPassに登録し、Touch IDを有効化する場合があります。Okta FastPassで管理者とorgの構成に基づく生体認証が求められる場合、ユーザーはデスクトップパスワード同期の登録フローを開始する前にTouch IDをセットアップする必要があります。

Oktaは、Ventura（13.0）以降を使用するmacOSコンピューターのPlatform SSOをサポートします。Platform SSO 2.0のサポートは、Sonoma（14.0）以降を使用するmacOSコンピューターで利用できます。Platform SSO 2.0では、ユーザーはmacOSログインウィンドウから直接デスクトップパスワード同期を利用できます。

orgがPlatform SSO 2.0を利用している場合、ユーザーが登録できるOktaアカウントはデバイスごとに1つのみです。たとえば、ユーザーがuser@company.comとしてデスクトップパスワード同期に登録されていて、デバイスのローカルアカウントと同期されている場合、デバイスが工場出荷時の設定に復元されていない限り、user@company.comは同じOktaユーザーに2つ目のローカルアカウントを登録できません。「ユーザーをサポートする」を参照してください。

タスク

• デスクトップパスワード同期アプリ統合を作成して構成する
• デバイスアクセスSCEP証明書
• デバイス管理プロファイルを構成する
• macOS 14向けのデスクトップパスワード同期を更新する
• macOS 15向けのデスクトップパスワード同期を更新する
• ユーザーをサポートする

前提条件

次の要件が満たされていることを確認します。

• Okta Identity Engine orgを利用できる。
• orgでOkta Verify Authenticatorがセットアップされている。
• macOSコンピューターがmacOS Ventura（13.0以降、ベストプラクティスは13.5）を実行している。
  • コンピューターでmacOS Sonoma（14.0）以降を実行しているときは、Platform SSO 2.0プロトコルを使用します。
  • プラットフォームSSO 2.0を使用するには、アプリ統合を構成する前にデバイスアクセスSCEP証明書を使用します。
• デバイスは、ペイロードのデプロイをサポートするモバイルデバイス管理（MDM）ソフトウェアに登録されている必要があります。
• ユーザーのパスワードが構成されている必要がある。これは、パスワードレスのサインインフローとは異なることに注意してください。パスワードレスのサインインフローでは、バックグラウンドにパスワードがありますが、認証時にそのパスワードが使用されることはありません。真のパスワードレスユーザーには、パスワードは設定されません。
• Platform Single Sign-onアプリは、orgでご利用いただけます。アプリカタログでアプリが見つからない場合は、アカウント担当者までお問い合わせください。
• 任意：orgでユーザー認証に生体認証が必要な場合、ユーザーは登録フローを開始する前にTouch IDをセットアップする必要があります。
• デプロイする前にmacOSパスワードの有効期限を無効にしてください。
  • orgでパスワードのローテーションが必要な場合は、それを必要とするOktaアカウントにパスワードの有効期限を追加してください。

デスクトップパスワード同期アプリ統合を作成して構成する

1. Oktaテナントにスーパー管理者としてサインインします。

2. Admin Consoleで、［Applications（アプリケーション）］ ［Applications（アプリケーション）］ ［Catalog（カタログ）］に移動します。

3. Platform Single Sign-onを検索し、アプリを選択します。これは、 Okta Admin Console内でのデスクトップパスワード同期の新しい名前です。

4. ［Add integration（統合を追加）］をクリックします。「This feature isn’t enabled（この機能は有効化されていません）」というエラーメッセージが返されるときは、アカウント担当者に連絡してください。

5. デスクトップパスワード同期を［Applications（アプリケーション）］リストから開いて構成します。

   • ［General（一般）］タブでは、アプリケーションラベルを編集することも、デフォルトのラベルを使用することもできます。

   • ［Sign On（サインオン）］タブで、クライアントIDをメモします。これは、MDMでマネージド アプリ構成を作成するときに必要になります。

   • ［Assignments（割り当て）］タブで、アプリを個々のユーザーまたはグループに割り当てます。デスクトップパスワード同期を使用するには、ユーザーはアプリに割り当てられている必要があります。

6. ［Save（保存）］をクリックします。

Okta Verify for macOSをダウンロードする

デスクトップパスワード同期は、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。Admin Consoleで［Settings（設定）］［Downloads（ダウンロード）］に移動し、Okta Verify for macOSをダウンロードします。Okta Verifyパッケージは、アプリストアからではなくAdmin Consoleからダウンロードする必要があります。Okta Device Access製品が有効化されているorgであれば、デスクトップパスワード同期を構成、デプロイできます。詳しくは、アカウント担当者までお問い合わせください。

次の手順

デバイス管理プロファイルを構成する