macOS向けのデスクトップパスワード同期
macOS向けのデスクトップパスワード同期機能は、Appleのプラットフォームシングルサインオン(プラットフォームSSO)機能を使用して、ユーザーが覚えておく必要のあるパスワードの数を減らします。
デスクトップパスワード同期を構成してデプロイすると、ユーザーがデバイスを登録し、ローカルアカウントをOktaとリンクすることが求められます。登録が完了すると、ローカルアカウントのパスワードがOktaのパスワードと同期され、ユーザーはOktaのパスワードを使ってmacOSにサインインできます。デスクトップパスワード同期は、ユーザーのローカルmacOSパスワードをユーザーのOktaパスワードに置き換えます。
Admin Consoleでプラットフォームシングルサインオンアプリをセットアップしてから、モバイルデバイス管理(MDM)ソリューションでデバイス管理プロファイルを構成します。プロファイルを特定のユーザーやグループにプッシュして、直ちに登録することができます。
構成によっては、デスクトップパスワード同期の登録フローがユーザーをOkta FastPassに登録し、Touch IDを有効化する場合があります。Okta FastPassで管理者とorgの構成に基づく生体認証が求められる場合、ユーザーはデスクトップパスワード同期の登録フローを開始する前にTouch IDをセットアップする必要があります。
Oktaは、macOS 13 Ventura以降で動作するmacOSコンピューターのプラットフォームSSOをサポートします。プラットフォームSSO 2.0のサポートは、macOS 14 Sonoma以降で動作するmacOSコンピューターに利用できます。プラットフォームSSO 2.0では、ユーザーはmacOSログインウィンドウから直接デスクトップパスワード同期を利用できます。
orgがプラットフォームSSO 2.0を利用している場合、ユーザーは1つのデバイスに1つのOktaアカウントのみを登録できます。たとえば、ユーザーがuser@company.comとしてデスクトップパスワード同期に登録されていて、デバイスのローカルアカウントと同期されている場合、デバイスが工場出荷時の設定に復元されない限り、user@company.comでは同じOktaユーザーに2つ目のローカルアカウントを登録できません。「macOSユーザーをサポートする」を参照してください。
タスク
構成に関する問題を回避するために、次の順でタスクを実行します。
前提条件
次の要件が満たされていることを確認します。
- Okta Identity Engine orgを利用できる。
- orgでOkta Verify Authenticatorがセットアップされている。
- 使用しているmacOSコンピューターがmacOS 13 Ventura以降で動作している。
コンピューターがmacOS 14 Sonoma以降で動作している場合は、プラットフォームSSO 2.0プロトコルを使用します。
プラットフォームSSO 2.0を使用するには、アプリ統合を構成する前にデバイスアクセスSCEP証明書を使用します。
- ペイロードのデプロイメントをサポートするモバイルデバイス管理(MDM)ソフトウェアを使ってデバイスが登録されている。
- ユーザーにパスワードが構成されている。これはパスワードレスのサインインフローとは異なります。パスワードレスのサインインフローでは、バックグラウンドにパスワードがありますが、認証時にそのパスワードが使用されることはありません。真のパスワードレスユーザーには、設定されたパスワードがありません。
- プラットフォームシングルサインオンアプリがorgに利用できる。アプリカタログでアプリが見つからない場合は、アカウント担当者までお問い合わせください。
- 任意。orgでユーザー認証に生体認証が必要な場合、ユーザーは登録フローを開始する前にTouch IDをセットアップする必要があります。
- デプロイする前に、MDMでmacOSパスワードの有効期限を無効にしてください。orgでパスワードのローテーションが必要な場合は、それを必要とするOktaアカウントにパスワードの有効期限を追加してください。
プラットフォームシングルサインオンアプリを作成して構成する
-
Okta orgにスーパー管理者としてサインインします。
-
Admin Consoleで、 に移動します。
-
プラットフォームシングルサインオンを検索して、アプリを選択します。これは、 Admin Console内でデスクトップパスワード同期の新しい名前になります。
-
[Add integration(統合を追加)]をクリックします。「This feature isn’t enabled(この機能は有効化されていません)」というエラーメッセージが返された場合は、アカウント担当者に連絡してください。
-
[アプリケーション]リストから[プラットフォーム シングル サインオン]を開きます。
-
[一般]タブでは、アプリラベルを編集したり、デフォルトのラベルを使用したりできます。
-
[サインオン]タブで、[クライアントID]をメモします。これは、MDMで管理対象アプリの構成を作成するときに必要になります。
-
デスクトップパスワード 同期を使用するには、ユーザーにプラットフォームシングルサインオンアプリが割り当てられなければなりません。[Assignments(割り当て)]タブで、アプリを個々のユーザーまたはグループに割り当てます。
-
-
[Save(保存)]をクリックします。
Okta Verify for macOSをダウンロードする
デスクトップパスワード同期は、デバイスの登録とユーザーの認証にOkta Verifyを使用するOkta Device Accessの一部です。
Admin Consoleで に移動し、Okta Verify for macOSをダウンロードします。Okta VerifyパッケージはApple App Storeからダウンロードしてはいけません。
Okta Device Access製品が有効化されているorgであれば、デスクトップパスワード同期を構成してデプロイできます。詳しくは、アカウント担当者までお問い合わせください。